Před nárůstem kyberútoků na zaměstnance pracující z domova varuje Check Point Research, výzkumný tým společnosti Check Point Software Technologies. Hackeři používají informace z LinkedInu, aby vytipovali nejvhodnější zaměstnance. Na podvodné hovory si najímají zkušené operátory a poskytují jim návod, jak postupovat. Pravidelně mění telefonní čísla, aby nebyli v databázích podvodných hovorů.
Vishing je hlasový phishing a jedná se o telefonní podvody, které se snaží z obětí vylákat cenná data. Během telefonního hovoru útočníci napodobují zástupce společnosti, často z finančního, personálního nebo právního oddělení, a využívají sociální inženýrství, aby přiměli oběti sdílet přihlašovací údaje nebo bankovní informace. Útočníci pak tyto informace používají ke krádežím financí a šíření nebezpečného malwaru.
Před vishingovými útoky varovaly také CISA (Cybersecurity and Infrastructure Security Agency) a FBI (https://krebsonsecurity.com/wp-content/uploads/2020/08/fbi-cisa-vishing.pdf). Útočníci podle zprávy obvykle volají zaměstnancům pracujícím z domova a snaží se získat přihlašovací údaje do podnikové sítě, které následně prodávají dalším útočným skupinám.
Za podobnými útoky obvykle stojí jednotlivci nebo malé kyberzločinecké skupiny, ale nedávno byly odhaleny i velké APT skupiny, které využívají podobnou taktiku. Vládami podporované skupiny, jako jsou íránská Charming Kitten nebo severokorejská skupina Lazarus, používají vishing jako součást komplexních útoků. Špionážní skupina Evilnum, která útočí zejména na FinTech společnosti zabývající se elektronickým obchodováním a investicemi v Evropě, se například snaží pomocí vishingu přimět zaměstnance ke spuštění škodlivého souboru. Takové útoky často začínají telefonátem obchodnímu manažerovi a projevením zájmu stát se zákazníkem vytipované organizace.
„Vishingové útoky patří k největším kybernetickým hrozbám, kterým zaměstnanci při práci z domova čelí. Kyberzločinci využívají informace ze sociálních sítí, takže může být složité poznat, co je skutečné a co podvod. A vishing je z mnoha důvodů stále častěji využíván jako součást multivektorových kyberútoků. Hackerům pomáhá v průzkumné fázi, protože se dozví více o svém cíli. Navíc v kombinaci s SMS zprávou umocňuje důvěryhodnost podvodu. A vishing je také účinným nástrojem, jak oklamat oběti a vylákat z nich například ověřovací kódy zasílané smskami nebo přístup k určitému systému. Práce z domova má mnoho výhod, ale také řadu rizik. Nikdy nesdílejte důvěrné informace a vždy pečlivě ověřte, s kým přesně telefonujete,“ říká Peter Kovalčík, Regional Director, Security Engineering EE ve společnosti Check Point.
Jak se před podobnými podvody chránit?
1. Nesdílejte důvěrné informace. Pokud si nejste absolutně jisti, s kým mluvíte, nikdy po telefonu nesdělujte osobní a platební údaje.
2. Ověřte pravost. Pokud si nejste zcela jisti totožností volajícího, požádejte o jeho telefonní číslo a zavolejte mu zpět. Zároveň si ověřte pravost čísla na internetu a podívejte se, jestli se nevyskytuje v nějakých databázích škodlivých čísel.
3. Žádné platby do neznáma. Při jakýchkoli bankovních převodech nebo sdílení informací buďte velmi obezřetní a nikdy neposílejte peníze jen na základě telefonátu.
4. Vzdělávejte se. Znalosti a vědomosti jsou klíčem k bezpečí. Čím lepší budete mít povědomí o možných podvodech, tím pravděpodobněji se stanete obětí.
5. Zavěste. Nestyďte se zavěsit, pokud hovor vypadá podezřele, není na tom nic neslušného.
6. Nahlaste podezřelou aktivitu. Jakoukoli podezřelou aktivitu ihned nahlaste své bance nebo zaměstnavateli.