EN CZ DE PL HU SK

Volá vám voicebot? Potom zbystřete! Možná právě zneužívá vaši dvoufázovou autentifikaci

Z voicebotů se během posledních let vývoje staly propracované automatizované systémy. Systémy, které dokážou samy vést interakci s lidmi a společnostem zvýšit efektivitu. Dokonce jsou to tak vynikající nástroje, že už je do svého portfolia zařadili i hackeři, kteří nedisponují vynikajícími konverzačními technikami.

Automatizovaný hlasový telefonní asistent zavolal majiteli PayPal účtu s varováním, že se někdo snažil použít jeho účet k zaplacení 38 USD. Po tomto sdělení pokračoval tím, že aby mohl převod zablokovat, potřebuje ověřit uživatelovu identitu. „Abychom zabezpečili váš účet, zadejte prosím kód, který jsme nyní zaslali na váš mobilní telefon,“ oznámil hlas. Po zadání řetězce šesti číslic voicebot sdělil: „Děkuji, váš účet byl zabezpečen a požadavek k platbě byl zablokován.“ A tady by mohl příběh skončit, ale nekončí. Voicebot ještě dodal, že pokud by majitel zaznamenal stržení této platby, tak bude vrácena do 48 hodin. „Vaše referenční ID je 1589297. Nyní můžete zavěsit,“ uzavřel telefonát hlas.

Když majitel pomáhá nevědomky

Vše může vypadat na první pohled, jako že je v pořádku, ale opak je pravdou. Tento hovor byl ve skutečnosti od voicebota ovládaného hackerem. Podvodník použil robota, který zjednodušuje zneužití procesu ověření identity. V tomto případě již útočník disponoval jménem a heslem do účtu PayPal, které mohl získat v rámci úniku uživatelských dat z jiné, méně zabezpečené stránky, a jen se přes voicebota pokusil získat další faktor zabezpečení, čímž byl právě zaslaný kód. Sama oběť tak defacto dovolí hackerovi se přihlásit, nebo autorizovat převod hotovosti. Takto automatizovaný asistent se zaměřuje na účty vedené u PayPal, Amazon, Coinbase a různých bank.

Voicebot je skvělým pomocníkem podvodníků, kteří neovládají dovednosti sociálního inženýrství (manipulace lidí za účelem provedení určité akce). Ne každý je po telefonu milý a přesvědčivý. „Hlasové asistenty lze pořídit za několik stovek dolarů. Použít je k obejití vícefaktorového ověření totožnosti je přitom může prakticky kdokoliv. Proto se ani zde nesmí zapomínat na ostražitost, a to i přestože je tato bezpečnostní metoda aktuálně širokou veřejností považována za bezpečnou,“ vysvětluje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron a dodává, že je známo vícero případů, kdy se útočníci snažili o zneužití vícefaktorového ověření – ne však prolomením technických vlastností, ale právě s pomocí sociálního inženýrství

Jak se zachovat v případě neznámých hovorů:

zbystřete a ptejte se;
legitimní společnosti dokážou zodpovědět otázky a dají vám čas se rozhodnout. Naopak podvodníci vás budou tlačit, abyste se okamžitě rozhodli a k něčemu zavázali;
obchodní nabídky prozkoumejte, a to včetně těch od charitativních organizací nebo obchodních a investičních společností;
dávejte si pozor na ty, kteří vám tvrdí, že jste vyhráli cenu nebo nějaký dárek;
nenechte se přemluvit k platbě ve virtuálních měnách
pokud vám přijde hovor podezřelý, zavěste.

Jak se rozhodně nechovat v případě neznámých hovorů:

nevolejte zpět na čísla, která neznáte a jen vás prozvoní. Mohou to být podvody, které vás přimějí volat na extra placené telefonní linky v cizích zemích;
neřiďte se obdrženými pokyny, jako například stiskněte jedničku, pokud si přejete hovořit s živým operátorem. Může to být také součást phishingovému podvodu, kdy se voicebot „ujistí“ že se dovolal živému člověku, který reaguje na vyzvání
neposkytujte osobní, finanční ani žádné další údaje, jako je vaše rodné číslo nebo číslo účtu či platební karty, volajícím, které neznáte;
pokud vám sdělí, že vaše údaje již mají, a že je potřebují pouze potvrdit, je to trik, jak je teprve vylákat;
neplaťte registrační ani drobné poplatky, abyste získali údajně bezplatný produkt nebo výhru. Takovéto poplatky mají za úkol získat vaše platební údaje.

Jestliže v hovoru někdo tvrdí, že telefonuje z instituce, které jste klientem, ať už jde o banku, telefonního operátora, dodavatele energií apod. a zeptá se vás na jakékoliv údaje, či si vás chce ověřit zodpovězením vybraných otázek, je vhodné hovor vždy ukončit. „S konkrétní institucí se následně v dané záležitosti spojte proaktivně vy sami. Tedy zavolejte na jejich oficiální telefonní číslo, které znáte, nebo je uvedeno na jejich webových stránkách a vše s nimi prodiskutujte. Protože interakci iniciujete vy, máte zaručeno, že voláte tam, kam jste chtěl a hovoříte se správnými lidmi,“ dodává závěrem Martin Lohnert.

TZ

@RadekVyskovsky

Zdroj: IT SECURITY NETWORK NEWS

Napsat komentář