Desatero kyberbezpečnosti #4 ****************************************************************************************** * Vishing aneb podvodníci telefonují ****************************************************************************************** Ve čtvrtém článku z tohoto cyklu kyberbezpečnosti se dozvíte, co to je „Vishing“, jak útoč sociálního inženýrství s cílem vylákat z oběti citlivé osobní nebo platební údaje, a jak s proti těmto sofistikovaným útokům. ****************************************************************************************** * Jak takový útok probíha? ****************************************************************************************** - Zazvoní telefon. Číslo nemáte uložené, ale je vám povědomé. Zvednete to a představíte se - Ozve se neznámý hlas. Představí jako pracovník bezpečnostního oddělení vaší banky a sděl zachytili pokus o převod velké částky z vašeho účtu do zahraničí a chce si ověřit, jestli provedli vy coby majitel účtu. Popřete to a docela se vylekáte. - Volající řekne, že se to tedy pokusí zablokovat (snad se to ještě stihne, proč jste nevz a požaduje pár údajů, aby si ověřil, že mluví skutečně s vámi. V šoku odpovídáte a sdělujete své jméno, datum narození, číslo bankovního účtu a přihlašov slyšíte jen klapání klávesnice a pak "Tak se to podařilo". S úlevou pokračujete v rozhovor stočil na téma "A tušíte, jak se vám mohli dostat do účtu, nemáte moc slabé heslo? To by p vaše vina". S úlevou se rozpovídáte o kvalitě svého hesla a vyhláskujete ho. Druhá strana nemůže být na vaší straně. Požádá ještě o vaši autorizaci storna nadiktováním autorizačníh opravdu přijde SMS, kterou přečtete a volající zavěsí. Za chvíli dostanete z banky SMS s i zůstatku na účtu – aktuální zůstatek 0,- Kč. Naletěli jste. Co bylo na tom rozhovoru špatně? Byl v pořádku až do chvíle, kdy po vás volající začal požadovat řadu citlivých osobních in to byly údaje, které skutečná banka zná a nemusí je po klientovi chtít. Skutečný pracovník chvíli řekl jen "děkuji, transakci jsme stornovali a váš účet jsme zablokovali, aby se do nedostali. Zajděte si prosím s občanským průkazem do nejbližší pobočky, kde vám nastaví no údaje". Vaší největší chybou bylo samozřejmě své citlivé informace prozradit. Ale také jste si neo volající je skutečně tím, za koho se vydává. ****************************************************************************************** * Volajícímu se podařilo vás zmanipulovat. Jaké techniky použil? ****************************************************************************************** 1. Zfalšoval číslo volajícího – na displeji telefonu bylo skutečné telefonní číslo banky, nedávno volali. Ano, je to tak. Telefonní číslo volajícího jde podvrhnout – stejně jako jm e-mailu. 2. Představil se jako autorita – v tomto případě jako pracovník bezpečnostního oddělení, a může tvrdit, že je policista, asistent vašeho nadřízeného apod. 3. Dostal vás do stresu hrozbou velké finanční ztráty. 4. Vyvolal pocit časové tísně (snad se to ještě stihne, proč jste nebral telefon...). ****************************************************************************************** * Jak se takovému útoku bránit? ****************************************************************************************** 1. Nenechte se vystresovat údajnou časovou tísní nebo hrozící škodou. Následky chybného je větší, než údajná "hrozba". 2. Zamyslete se, jestli volající opravdu potřebuje citlivé informace, které požaduje nebo kterou po vás chce, nemohl udělat sám. Hlavně správce počítačové sítě rektorátu NIKDY nebu abyste mu řekli své heslo. A když dostanete služební notebook, program TeamViewer pro vzdá na něm je. 3. Pokuste se ověřit, že je volající skutečně tím, za koho se vydává. Ideální samozřejmě j osobně a poznáte ho s jistotou po hlase. Nesmíte se spolehnout na to, že jde o známé telef být podvržené. Pokud vám volá "pracovník podpory počítačové sítě rektorátu", můžete zavěsit, ověřit si čí (a jméno a funkci) v adresáři univerzity https://whois.cuni.cz [ URL "https://whois.cuni.c zpátky. Nebo si celou věc ověřit na telefonním čísle podpory (224 491) 555. Pokud vám volá "banka" a chce pro ověření vaše datum narození nebo rodné číslo, požádejte bankovní aplikaci. To proběhne podobně jako potvrzení platby kartou – v aplikaci se objeví potvrzení hovoru z banky s uvedením tel. čísla, jména volajícího a PINem, který vám na pož přečte. ****************************************************************************************** * Pár příkladů možných podvodných telefonátů ****************************************************************************************** Všimněte si manipulace – zaštítění autoritou a nátlaku vyvolaném časovou tísní a hrozbou n nepříjemného. ? Tady pracoviště Podpory. Někdo se vám dostal do mailu a teď si stahuje vaše e-maily. Mus změnit heslo. Nadiktujte mi své stávající heslo a potom dvakrát nové. ? Tady pracoviště Podpory. Máte plnou schránku a ztrácí se vám e-maily. Mám vám ji zvětšit omylu, řekněte mi prosím ještě své číslo osoby. Děkuji. Potvrďte mi to prosím ještě svým h ? Tady XY, nový asistent pana rektora. Přeje si, abych mu zpracoval stav řešení projektů a heslo, abych se k úložišti vašeho odboru dostal... Ne, nemůžete s ním mluvit, má jednání a rušen. A musí to být hotové, než skončí jednání. Mám mu říct, že jste to sabotoval? Děkuji ? Nadporučík Bouda, Krajského ředitelství Policie v Ruzyni. Dostali jsme z Interpolu infor vašeho počítače, u kterého zrovna sedíte se distribuuje dětská pornografie a právě teď je Podle §83 vás vyzývám ke spolupráci. Nainstalujte si okamžitě na počítač program, přes kte specialisté zkontrolují váš počítač. Nebudete-li spolupracovat, budete obviněn z šíření dě a informujeme o tom vašeho zaměstnavatele. Chcete-li se o tématu kyberbezpečnosti dozvědět více, navštivte web Kyberbezpečnost na Uni [ URL "https://security.cuni.cz "] . Autor článku: Ing. Vladimír Horák, vedoucí CSIRT [ URL "https://csirt.cuni.cz/cs/about/"] (Computer Secu Response Team) Pokud máte k článku připomínky, korektury, nebo dotazy, kontaktujte nás prosím na e- mailu: internikomunikace@ruk.cuni.cz [ URL "mailto:@"] .