Věděli jste, že jediný telefonát nebo SMS zpráva může ohrozit bezpečnost vaší firmy? Vishing a smishing jsou na vzestupu a cílí na to nejcennější, co máte – vaše zaměstnance a data. Zjistěte, jak tyto útoky rozpoznat a jak svou firmu účinně ochránit.
Co Vás zajímá?
- Co je vishing?
- Jak vishing funguje?
- VoIP spoofing: jak útočníci vytvářejí iluzi důvěry
- Whaling jako zákeřná forma vishingového útoku na firmy
- 4 signály, že jste obětí vishingu
- Co je smishing?
- Jak smishing funguje?
- 4 znaky, jak rozpoznat smishing neboli podvodnou SMS
- Jak se bránit vishingovým a smishingovým útokům?
- Bez komplexní kybernetické ochrany jsou firmy snadným cílem
Co je vishing?
Vishing je typ phishingového útoku, při kterém útočníci volají obětem a vydávají se za důvěryhodné instituce, jako jsou banky nebo úřady, aby získali citlivé údaje, například hesla nebo platební informace.
Jak vishing funguje?
Představte si, že finančnímu manažerovi zazvoní telefon. Na displeji se objeví číslo, které přesně odpovídá kontaktu jeho banky. Volající tvrdí, že na firemních účtech došlo k podezřelým transakcím, a naléhá na okamžité zablokování účtů. Pro zajištění bezpečnosti žádá o ověření přihlašovacích údajů a přístupových kódů.
Dalším příkladem může být podvodný telefonát, kdy útočník předstírá, že je z finančního úřadu, a tvrdí, že oběť má „nedoplatek na daních“. Hrozí vážnými následky, jako je exekuce, a požaduje citlivé údaje pro okamžitou úhradu. Tón bývá autoritativní a naléhavý, aby oběť vystrašil.
Podobně lze identifikovat typické scénáře vishingových útoků – útočník volá s naléhavým tvrzením, že je nutné okamžitě řešit „urgentní záležitost“. Může požadovat ověření účtu, potvrzení transakce nebo poskytnutí citlivých údajů, přičemž se snaží oběť vystavit časovému tlaku a zmást ji.
VoIP spoofing: jak útočníci vytvářejí iluzi důvěry
Jak je možné, že se finančnímu manažerovi zobrazilo správné číslo banky, i když šlo o podvod? Odpověď leží v technice zvané VoIP spoofing (Voice over Internet Protocol spoofing).
Útočníci dokážou zfalšovat telefonní číslo tak, že se oběti zobrazí známý kontakt. Tímto způsobem útočníci vytvoří iluzi legitimního hovoru a snadno získají důvěru oběti. Ta, pak ochotně poskytne citlivé údaje, jako jsou přihlašovací informace, hesla nebo platební údaje, aniž by tušila, že jde o podvod.
Whaling jako zákeřná forma vishingového útoku na firmy
Whaling je forma vishingu, která představuje mimořádně nebezpečnou hrozbu pro firmy. Tento typ podvodu se totiž zaměřuje na konkrétní zaměstnance, přičemž podvodníci se vydávají za vysoce postavené manažery nebo vedoucí pracovníky.
V rámci útoku často využívají naléhavý tón a vyžadují rychlé provedení citlivých úkolů. Zaměstnanci, kteří čelí takovéto výzvě, mohou vzhledem k autoritě, kterou volající předstírá, jednat bez důkladného ověření požadavku. To zvyšuje riziko, že firma přijde o značné finanční prostředky nebo bude vystavena úniku důvěrných dat.
4 signály, že jste obětí vishingu
1. Podezřelé telefonní číslo: na displeji telefonu se objeví neobvyklé číslo – může být příliš krátké, obsahovat zvláštní předvolbu nebo působit jinak podezřele. Mějte však na paměti, že podvodníci mohou využít tzv. spoofing, kdy falešně napodobí jakékoliv číslo.
2. Nekonkrétní informace: útočník často nemá konkrétní informace, jako je název vaší banky, firemní údaje nebo detaily o organizační hierarchii. Místo toho mumlá své falešné jméno a pozici a využívá obecné fráze, aby působil důvěryhodně. Jeho cílem je manipulací získat vaše skutečné osobní údaje.
3. Pocit naléhavosti/urgentnost: volající vás tlačí do rychlé akce a tvrdí, že pokud nebudete jednat okamžitě, dojde k závažným problémům.
4. Role zachránce: útočník se vás snaží přesvědčit, že poskytnutím informací „zachráníte“ svého kolegu, šéfa nebo celou firmu, čímž vás vtáhne do psychologické hry.
Co je smishing?
Smishing je podobný vishingu, ale namísto telefonních hovorů útočníci využívají SMS zprávy. Cílem je přimět příjemce, aby klikl na podvodný odkaz nebo přímo poskytl osobní a citlivé informace.
Jak smishing funguje?
Podobně jako u vishingu, i zde útočníci spoléhají na důvěřivost, moment překvapení a techniky sociálního inženýrství, které využívají manipulaci a psychologický nátlak.
Útočníci při smishingu často tlačí oběť k okamžité reakci pomocí falešných SMS s odkazy na podvodné weby, které vypadají důvěryhodně. Typickým příkladem je zpráva od falešné doručovací společnosti s žádostí o malý poplatek za doručení. Po kliknutí a zadání citlivých údajů je útočníci ihned zneužijí. Na obrázku vpravo vidíte skutečný smishingový útok z ČR, kde se útočníci vydávali za Českou poštu.
Příklad smishingu v ČR, zdroj: Česká pošta
4 znaky, jak rozpoznat smishing neboli podvodnou SMS
1. Naléhavost: smishing často tlačí na rychlou reakci, například „Vas bankovni ucet byl zablokovan. Prihlaste se ted hned…“.
2. Žádost o osobní informace: důvěryhodné firmy nikdy nepožadují citlivé údaje přes SMS. Například: „Potvrdte prosim vase udaje, abyste udrzeli svuj ucet aktivni…“
3. Podezřelé odkazy: odkazy vedoucí na neznámé stránky, které vypadají podezřele, jsou vždy červenou vlajkou. Např.: „Pojistna platba ceka na pripsani: https//cz...“.
4. Neznámé číslo: pokud neznáte odesílatele, buďte obezřetní a číslo si ověřte ve vyhledávači, kde často najdete varování od jiných uživatelů.
Jak vishing a smishing ohrožují firmy?
Vishingové útoky patřily mezi nejčastější kybernetické útoky roku 2023, přičemž podle průzkumu NÚKIB se s nimi setkalo až 15 % respondentů. S nástupem AI se navíc očekává, že počet vishingových útoků výrazně vzroste. AI totiž útočníkům umožňuje efektivnější napodobování hlasů a vytváření složitějších scénářů, což tyto útoky činí častějšími a obtížněji rozpoznatelnými.
Firmy se často stávají terčem vishingu a smishingu kvůli množství citlivých dat, ke kterým jejich zaměstnanci mají přístup. Útočníci cílí na konkrétní pracovníky, aby z nich vylákali přihlašovací údaje nebo platební informace. Pokud se zaměstnanec stane obětí takového podvodu, útočníci mohou získat přístup k firemním účtům, interním systémům nebo finančním prostředkům. Tento scénář může mít devastující dopad.
Firmy se musí aktivně bránit proti těmto útokům tím, že investují do kybernetické bezpečnosti a vzdělávání svých zaměstnanců. Důležité je, aby zaměstnanci byli schopni rozpoznat podezřelé hovory a zprávy a věděli, jak na ně správně reagovat, aniž by ohrozili bezpečnost firmy.
Jak se bránit vishingovým a smishingovým útokům?
1. Pravidelné vzdělávání zaměstnanců
Kybernetická bezpečnost začíná u zaměstnanců. Pravidelná školení, která zahrnují rozpoznávání smishingových a vishingových útoků, jsou zásadní. Zaměstnanci by měli vědět, jak identifikovat podezřelé hovory, e-maily a zprávy, a měli by být školeni v tom, jak správně reagovat.
TIP: Na vzdělávací platformě Knowee najdete online školení o kybernetické bezpečnosti, které je interaktivní a praktické. Lekce jsou snadno dostupné např. přes aplikaci Microsoft Teams. Zaměstnanci se tak mohou vzdělávat flexibilně a efektivně chránit firmu před hrozbami
2. Zavedení vícefázového ověřování (MFA)
Vícefázové ověřování je efektivní opatření, které poskytuje dodatečnou úroveň zabezpečení. I když útočníci získají přihlašovací údaje, druhý stupeň ověření, například SMS kód nebo biometrický otisk, jim znemožní přístup do firemních systémů.
3. Ověřování identity volajícího
Zaměstnanci by nikdy neměli poskytovat citlivé informace na základě telefonního hovoru nebo SMS bez důkladného ověření totožnosti volajícího nebo odesílatele. Ověření by mělo proběhnout prostřednictvím zpětného kontaktu s danou institucí přes oficiální kanály, nikoliv přes informace poskytnuté během hovoru nebo zprávy.
4. Používání pokročilých bezpečnostních řešení
Investice do robustního bezpečnostního softwaru je důležitá. Moderní řešení dokážou blokovat podezřelé hovory, detekovat phishingové e-maily a smishingové zprávy. Tato ochrana dokáže zabránit vniknutí útočníků do firemních systémů v rané fázi útoku.
5. Testování a simulace útoků
Firmy by měly pravidelně provádět simulace phishingových útoků, aby zjistily, jak zaměstnanci reagují na potenciální hrozby. To pomáhá nejen zlepšit jejich reakce, ale také identifikovat slabá místa v obraně firmy proti kybernetickým hrozbám.
Bez komplexní kybernetické ochrany jsou firmy snadným cílem
Rok 2023 přinesl v České republice 80% nárůst kybernetických incidentů. Sociální inženýrstvíse stává stále sofistikovanější. To útočníkům umožňuje efektivněji manipulovat oběťmi. Firmy musí čelit novým hrozbám, jako jsou vishing a smishing, které se zaměřují na jejich největší slabinu – lidský faktor.
Sociální inženýrství dokáže oklamat i zkušené zaměstnance a ohrozit firmu na všech úrovních. Bez efektivních preventivních opatření je jakákoliv firma zranitelná, a to i v případech, kdy má zdánlivě silnou technickou infrastrukturu. Klíčem k ochraně je tedy nejen pokročilá technologie, ale i správné procesy a vzdělaní zaměstnanci.
Kybernetická ochrana od Seyforu nabízí ucelený přístup, který pokrývá všechny tyto aspekty:
1. Prevence a detekce hrozeb – proaktivní přístup k identifikaci potenciálních útoků dříve, než způsobí škody.
2. Ochrana proti technikám sociálního inženýrství – školení zaměstnanců, jak rozpoznat manipulativní pokusy, a zavedení organizačních postupů, které minimalizují riziko.
3. Rychlá a efektivní reakce na incidenty – naše strategie vám umožní rychle reagovat na případné narušení, minimalizovat škody a zajistit kontinuitu provozu.
4. Přizpůsobení potřebám vaší firmy – každé řešení je upravené na míru, ať už se jedná o šifrování, zabezpečení systémů nebo preventivní opatření pro specifické hrozby.
„Kybernetická bezpečnost už není volitelná, ale naprostou nezbytností. Bez adekvátní ochrany digitálních dat je nemožné udržet dlouhodobou stabilitu a úspěch firmy.“
Milan Ryšavý
Team Leader / Security | Seyfor
Zjistit více o kyberbezpečnosti od Seyforu
Pokud preferujete osobní setkání, rádi vám nabídneme nezávaznou konzultaci s našimi odborníky. Popovídáme si o vašich potřebách a navrhneme řešení na míru, které vaši firmu spolehlivě ochrání před kybernetickými útoky.