Z voicebotů se během posledních let vývoje staly propracované automatizované systémy, které dokážou samy komunikovat s lidmi a společnostem zvýšit efektivitu. Nyní je začali využívat i hackeři, kteří nedisponují vynikajícími konverzačními technikami.
Automatizovaný hlasový telefonní asistent zavolá majiteli PayPal účtu s varováním, že se někdo snažil použít jeho účet k zaplacení 500 korun. Po tomto sdělení pokračuje s tím, že aby mohl převod zablokovat, potřebuje ověřit uživatelovu identitu. „Abychom zabezpečili váš účet, zadejte prosím kód, který jsme nyní zaslali na váš mobilní telefon,“ oznámil hlas. Po zadání řetězce šesti číslic voicebot sdělí: „Děkuji, váš účet byl zabezpečen a požadavek k platbě byl zablokován.“ A tady by mohl příběh skončit, ale nekončí. Voicebot ještě dodá, že pokud by majitel zaznamenal stržení této platby, tak bude vrácena do 48 hodin. „Vaše referenční ID je 1589297. Nyní můžete zavěsit,“ uzavře telefonát hlas.
Když majitel pomáhá nevědomky
Vše může vypadat na první pohled, jako že je v pořádku, ale opak je pravdou. Podobný hovor je ve skutečnosti od voicebota ovládaného hackerem. Podvodník použije robota, který zjednodušuje zneužití procesu ověření identity. V tomto případě již útočník disponuje jménem a heslem do účtu PayPal, které mohl získat v rámci úniku uživatelských dat z jiné, méně zabezpečené stránky, a jen se přes voicebota pokusil získat další faktor zabezpečení, čímž byl právě zaslaný kód. Sama oběť tak de facto dovolí hackerovi se přihlásit nebo autorizovat převod hotovosti. Takto automatizovaný asistent se zaměřuje na účty vedené u PayPalu, Amazonu a různých bank.
Voicebot je tak skvělým pomocníkem podvodníků, kteří neovládají dovednosti sociálního inženýrství (manipulace lidí za účelem provedení určité akce). Ne každý je po telefonu milý a přesvědčivý. „Hlasové asistenty lze pořídit za několik stovek dolarů. Použít je k obejití vícefaktorového ověření totožnosti přitom může prakticky kdokoliv. Proto se ani zde nesmí zapomínat na ostražitost, a to i přesto, že je tato bezpečnostní metoda aktuálně širokou veřejností považována za bezpečnou,“ vysvětluje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti SOITRON. A dodává, že je známo vícero případů, kdy se útočníci snažili o zneužití vícefaktorového ověření – ne však prolomením technických vlastností, ale právě s pomocí sociálního inženýrství.
Jak se zachovat v případě neznámých hovorů:
- zbystřete a ptejte se;
- legitimní společnosti dokážou zodpovědět otázky a dají vám čas se rozhodnout. Naopak podvodníci vás budou tlačit, abyste se okamžitě rozhodli a k něčemu zavázali;
- obchodní nabídky prozkoumejte, a to včetně těch od charitativních organizací nebo obchodních a investičních společností;
- dávejte si pozor na ty, kteří vám tvrdí, že jste vyhráli cenu nebo nějaký dárek;
- nenechte se přemluvit k platbě ve virtuálních měnách;
- pokud vám přijde hovor podezřelý, zavěste.
Jak se rozhodně nechovat v případě neznámých hovorů:
- nevolejte zpět na čísla, která neznáte a jen vás prozvoní. Mohou to být podvody, které vás přimějí volat na extra placené telefonní linky v cizích zemích;
- neřiďte se obdrženými pokyny, jako například stiskněte jedničku, pokud si přejete hovořit se živým operátorem. Může to být také součást phishingového podvodu, kdy se voicebot „ujistí“, že se dovolal živému člověku, který reaguje na vyzvání;
- neposkytujte osobní, finanční ani žádné další údaje, jako je vaše rodné číslo nebo číslo účtu či platební karty, volajícím, které neznáte;
- pokud vám sdělí, že vaše údaje již mají a že je potřebují pouze potvrdit, je to trik, jak je teprve z vás vylákat;
- neplaťte registrační ani drobné poplatky, abyste získali údajně bezplatný produkt nebo výhru. Takovéto poplatky mají za úkol získat vaše platební údaje.
Jestliže v hovoru někdo tvrdí, že telefonuje z instituce, které jste klientem, ať už jde o banku, telefonního operátora, dodavatele energií apod., a zeptá se vás na jakékoliv údaje či si vás chce ověřit zodpovězením vybraných otázek, je vhodné hovor vždy ukončit.
„S konkrétní institucí se následně v dané záležitosti spojte proaktivně vy sami. Tedy zavolejte na jejich oficiální telefonní číslo, které znáte nebo je uvedeno na jejich webových stránkách, a vše s nimi prodiskutujte. Protože interakci iniciujete vy, máte zaručeno, že voláte tam, kam jste chtěl, a hovoříte se správnými lidmi,“ dodává Lohnert.
Autor: Jiří Böhm