Vishing

Podvodných telefonátů přibývá, zneužívání čísel se ale daří omezit opatřeními operátorů. Zranitelná je vůči vishingu výroba a strojírenství, kde naletěla pětina pracovníků

Podvodné telefonáty jsou čím dál častějším způsobem kyberútoku. Velký nárůst napadených při kyberpodvodu zaznamenala Česká bankovní asociace. Přibývá podvodů zahrnujících falešného bankéře, podle České spořitelny způsobené škody meziročně vzrostly o 41 % a počty takových podvodů dále výrazně narůstají. Trendem mezi útočníky je nejen zneužívání telefonních čísel institucí, ale také manipulace k osobní předávce hotovosti na parkovišti či kurýrovi. Čím dál častěji se také stává, že transakci nepotvrzuje útočník, ale sama oběť. Podvody zahrnující zneužité číslo nicméně výrazně znemožňují technologická opatření na straně mobilních operátorů. Typicky se oběťmi vishingu stávají lidé středního věku, ze zaměstnanců v testu odolnosti vůči vishingu nejčastěji podlehli s podílem 19,2 % pracovníci v oblasti výroby a strojírenství.

V roce 2023 byl podle zprávy Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) v Česku vishing jedním z nejčastějších druhů kyberútoků. V daném roce se s ním setkalo podle zahrnutého průzkumu celých 15 % respondentů z řad ze zákona regulovaných i neregulovaných organizací. Jde o novější formu phishingu, kdy podvodníci pod falešnou identitou manipulují s obětí skrze hlasové hovory a snaží se od ní vylákat citlivé údaje nebo ji přimět k určitému jednání. Kromě kvantity vishingových útoků rostla bohužel také jejich sofistikovanost. Jak potvrdila Policie ČR, postupně se zlepšují podvody využívající kombinaci vícero telefonátů, SMS zpráv nebo e-mailových zpráv, přičemž častým krokem ke vzbuzení důvěry bývá falšování identity cestou spoofingu – podvodníci se prezentují telefonním číslem, které reálně přísluší existující instituci.

Nárůst vishingu zaznamenala ke konci roku 2024 například i společnost OpSec Security. Zatímco celkových případů z oblasti phishingu v posledním čtvrtletí oproti třetímu kvartálu ubylo, počet vishingových incidentů se naopak zvýšil a společnost očekává, že právě metoda falešných hovorů na popularitě neztratí ani nadále. Mezi cíle útočníků se nově zařadily veřejné služby, parkovací systémy nebo systémy pro výběr mýtného na mostech.

Průměrnou škodu vzniklou při kyberpodvodech se dle ČBA daří snižovat

Vishing s využitím falešné identity v případě podvodů na své klienty vnímá jako jednoznačný trend Česká spořitelna (ČS). „Počet podvodných telefonátů se podle našich indicií výrazně zvyšuje, zejména podvody typu falešný bankéř, který jen za tři týdny v březnu představuje už 61 % objemu podvodů na transakcích klientů v České spořitelně. Ještě koncem roku 2024 byl podíl těchto podvodů 15 %,” popisuje expert na klientskou bezpečnost ČS Teo Filip a zdůrazňuje, že spoofing čísel pro případy úspěšných útoků v poslední době není zásadní. Identita pracovníků bank není jedinou, kterou na sebe útočníci berou. „Falešní bankéři aktuálně figurují ve zhruba 40 % kyberpodvodů na klienty, v dalších 40 % se vydávají za investiční makléře a ve 20 % na sebe berou roli bohatých vdovců, dědiců nebo válečných veteránů,” dodává tiskový mluvčí ČS Filip Hrubý.

Zatímco škoda na klientech ČS vzniklá následkem investičních podvodů se meziročně zmenšila o třetinu, u podvodů s falešnými bankéři škody naopak narostly o 41 %. Srazit se nicméně mezi lety 2023 a 2024 podařilo průměrnou sumu, o kterou podvodníci klienty banky připravili. „U různých typů kyberpodvodů jsme průměrnou částku snížili a eliminovali jsme hlavně větší podvody. V roce 2023 se pohybovala okolo 14 000 Kč, v roce 2024 pak okolo 10 000 Kč,” konkretizuje Teo Filip z ČS.

Napadených při kyberpodvodu každoročně přibývá, jak ukazují data České bankovní asociace (ČBA). Dle bankovních dat mělo v roce 2023 zkušenost s kyberpodvodem 69,7 tisíc lidí, loni se jejich počet zvedl na 87,4 tisíc. Zvýšila se také celková škoda, a to z 1,35 miliardy Kč v roce 2023 na 1,39 miliardy Kč loni. I v případě ČBA se nicméně pozitivního vývoje dočkala výše průměrné škody. Ta meziročně poklesla z více než 19 tisíc Kč na necelých 16 tisíc Kč. Za úspěchem stojí investování bank do pokročilých technologií včetně AI identifikujících podezřelé transakce a do vzdělávání veřejnosti.

Vishing bývá součástí vícestupňového podvodu

Podvodníci uchylující se k vishingu v roce 2024 zapojovali několik zajímavých praktik. Na oběť často směřovaly různé kombinace vishingu s dalšími phishingovými metodami. „Oběť nejprve dostane SMS, pak následuje hovor, a celé je to podpořené spoofovaným číslem,” vysvětluje Pavel Matějíček z kyberbezpečnostní firmy BOIT. Trendem je také vícestupňovost a promyšlenost podvodného procesu zahrnujícího vishing. „Útočníci často nevystupují sami – zapojují do hovoru druhou ‚autoritu‘, typicky falešného policistu. Nejdřív vám volá údajný pracovník banky s informací, že došlo k pokusu o podvod, a že vám musí pomoci ‚zabezpečit účet‘. Následně vás přepojí na ‚policii‘, která to potvrdí. Často oběti pošlou i falešný průkaz policisty – v PDF nebo jako fotku přes e-mail či WhatsApp,” popisuje Matějíček.

Obě autority se vyznačují tím, že jsou velmi proaktivní. Vzbuzují dojem, že chtějí oběti pomoci, provádí ji domnělým záchranným procesem, ale ve skutečnosti se ji snaží manipulací dovést k tomu, aby převedla peníze nebo poskytla přístupové údaje. Takové útoky jsou dobře načasované, působí reálně, a těží z toho, že čím více je oběť v šoku, tím více má pocit, že by měla spolupracovat. Nejedná se o improvizaci, ale o pečlivě připravovaný scénář. „Útočník má často připravený skriptovaný plán hovoru s různými větvemi podle toho, jak oběť reaguje. Ví, jak člověka udržet v hovoru, jak ji znejistit a jak přepnout mezi přátelským přístupem a tlakem. Pokud oběť začne pochybovat, dokážou být extrémně agresivní,“ upozorňuje Pavel Matějíček.

Parkoviště jako místo činu, osudové transakce zadané samotnými oběťmi

Možná překvapivě je další současný trend v oblasti vishingu spojený s přesunem z virtuálního do reálného světa. Přibývá případů, kdy podvodníci po obětech peníze nechtějí posílat na účet, ale navádí je k osobní předávce hotovosti – například na parkovišti nebo kurýrovi. Častěji než dříve také míří se smyšleným příběhem zahrnujícím osobu falešného bankéře na klienty z řad firem. Zároveň ve stále větší míře platí, že pokud dojde ze strany banky k ověřování podezřelé transakce, klienti o skutečném účelu platby lžou. Podle expertů výrazně klesá počet vishingových podvodů, při kterých transakci provedl sám podvodník. „V roce 2024 okolo 80 % objemu škod generovaly transakce zadané a potvrzené zmanipulovaným klientem. Pokud tedy o peníze přijde, není to kvůli tomu, že by se mu někdo dostal do bankovnictví, ale že sám (byť pod vlivem manipulace) chce transakci zadat,“ dodává Filip.

Útočníci mnohdy nekončí u falšování identity bank, ale s cílem vylákat z lidí peníze se vydávají také za pracovníky jiných institucí, jako je policie nebo samotný NÚKIB. Jak úřad varoval v únoru letošního roku, v rámci spoofingové kampaně podvodníci zneužívají také pohotovostní číslo NÚKIB pro hlášení incidentů.

Při simulovaném vishingu naletěli s podílem 19,2 % nejčastěji pracovníci ve výrobě a strojírenství

Podle zprávy 2024 Voice Phishing (Vishing) Response Report kyberbezpečnostní firmy Keepnet Labs jsou lidé z různých odvětví jinak náchylní k tomu, aby podlehli vishingovému útoku. Při simulované kampani vishing nejčastěji nepoznali pracovníci ze sektoru výroby a strojírenství, mezi kterými si útok neuvědomilo 19,2 % obvolaných zaměstnanců. Větší zranitelnost zde může mít na svědomí skutečnost, že v tomto sektoru není na školení v kyberbezpečnosti kladen takový důraz. V těsném závěsu skončili s podílem 18,1 % pracovníci ze zábavního a mediálního sektoru, naopak díky podstatě zaměření se na technologie i přísnějším regulacím dopadlo nejlépe odvětví technologií a IT, kde vishing nepoznalo pouhých 3,8 % obvolaných.

„Při porovnání dle typů pracovních oddělení uvnitř organizace naopak vyšlo IT s podílem 7,1 % lidí, kteří nepoznali vishing, jako druhé nejzranitelnější. Nejhůře dopadly s podílem 11,5 % pozice v zákaznické podpoře, kde je náchylnost dána intenzivní komunikací s lidmi mimo organizaci,“ popisuje výsledky simulovaného vishingu Keepnet Labs analytička Evropy v datech Hana Vincourová. Během simulované kampaně založené na AI bylo obvoláno celkem 3 279 pracovníků napříč sektory. V součtu pozitivní výsledek ukázal, že zatímco 6,5 % zaměstnanců by se stalo obětí vishingu, přes 53 % zapojených vishing poznalo.

Při porovnání věkových skupin se útočníkům nejvíce vyplatí metodu vishingu cílit nikoli na seniory, jak by se mohlo nabízet, ale na mladší ročníky. Podle Keepnet Labs spíše podlehnou tomuto typu podvodu lidé mezi 18 a 44 lety. Jiná data Keepnet Labs nicméně naznačují, že přesto útočníci cílili na důchodce neúměrně více než na jiné generace, když u nich v předchozích dvou letech narostl podíl vishingových útoků o 40 %. „Mnohem častěji podléhají lidé ve středním věku, kteří se nacházejí v pracovním nebo rodinném stresu,“ potvrzuje první tezi o zranitelnějších mladších ročnících Pavel Matějíček z BOIT. Podle dat České bankovní asociace (ČBA) si útočníci jako cíl bankovních kyberpodvodů také volí nejčastěji Čechy ve věku 36 až 44 let. „Jde o lidi ekonomicky aktivní, kteří mají teoreticky nejvíce peněz,“ uvádí do kontextu Radek Šalša, který stojí v čele komunikace ČBA. Co se týče genderového porovnání, ženy se terčem stávaly častěji. „Jsou důvěřivější, podléhají více tzv. romantickým podvodům,“ vysvětluje Šalša z ČBA. I přesto muži v předchozím roce přicházeli o více peněz, což mohlo být podle Šalši dáno tím, že se jich častěji týkaly investiční podvody, kde škody dosahují vysokých částek. Podle Keepnet Labs se muži stávají obětí vishingu častěji.

AI v roli pokročilé zbraně i štítu

Umělá inteligence a jiné pokročilé technologie jsou neopomenutelným trendem jak v případě ochranných mechanismů bank či operátorů, kteří spolupracují s Policií ČR, NÚKIB, nebo ČBA na vývoji řešení proti kyberzločincům, tak na straně útočníků. Společnost Mandiant například v rámci případové studie otestovala, že AI hlasy trénované na vzorku hlasu reálného člověka jsou již dostatečně přesvědčivé, aby oběť útoku nerozpoznala, že jí nevolá její šéf, ale že plní instrukce pocházející od AI modelu vedoucí ke spuštění škodlivého programu. Pavel Matějíček z BOIT jmenuje mezi výhodami využití generovaných hlasů při vishingu jejich škálovatelnost, nižší náklady i menší riziko pro útočníka. „Zatím jsme v začátcích, ale už teď se AI využívá jako rozcestník – první kontakt probíhá automatizovaně, a teprve pokud oběť reaguje, převezme to živý operátor,“ popisuje Matějíček a dodává, že přesto zatím zejména kvůli schopnosti přizpůsobit se oběti v reálném čase dominují útoky skutečných lidí.

Umělá inteligence je také součástí tzv. telefonního firewallu společnosti T-Mobile, která na něm spolupracovala s Českou spořitelnou a Policií ČR. Firewall pro identifikaci podvodného volání využívá modely strojového učení založené na algoritmech typu logistická regrese či „random forest“. V součtu fixních i mobilních rozsahů se nyní takto daří měsíčně blokovat okolo milionu aktivit, u kterých vzniká podezření na pokus o spoofing zneužívající čísla operátora. Zavedením firewallu před dvěma lety se podařilo spoofing probíhající skrze služby T-Mobile výrazně omezit. „Logicky i ze strany útočníků dochází k mapování celého trhu, takže své praktiky velmi rychle adaptují na jakákoli nová opatření. Po zavedení firewallu na naší straně jsme zaznamenali, že se především snížil počet takových volání využívajících služby a síť společnosti T-Mobile. Útočníci mohou používat SIM karty poskytovatelů, kteří nemají zavedená žádná, nebo pouze minimální ochranná opatření,“ uvádí manažer fraudu v T-Mobile Adam Falus a dodává, že zatímco dříve bylo takové řešení možné využít jen mezi čísly v síti T-Mobile, momentální spolupráce s ostatními hráči v oblasti znamená efektivnější ochranu: „Věříme, že díky spolupráci dojde k ještě většímu poklesu těchto případů.“

Operátor O2 nasadil obdobné opatření loni a společným ochranným řešením pak posunuli T-Mobile, O2 i Vodafone obranu proti spoofingu na další úroveň od dubna 2025, když spustili mechanismus chránící napříč všemi hlavními mobilními sítěmi v tuzemsku. „Kyberšmejdi by se teď lidem vůbec neměli dovolat, což představuje ten nejlepší možný scénář. Potenciální oběti o tom vůbec nebudou vědět. Pokud budou podvodníci pokračovat, budou muset použít skutečné telefonní číslo bez vazby na jakoukoli instituci,“ komentuje situaci prezident Asociace provozovatelů mobilních sítí Jiří Grund, a připomíná, že i přes všechna zaváděná opatření a osvětu veřejnosti stále platí, že nejslabším článkem nakonec zůstává samotný zákazník.

Postupně zaváděná opatření proti spoofingu se ukázala být účinná i podle Českého telekomunikačního úřadu, již v listopadu 2024 díky nim docházelo k blokování jednotek milionů pokusů o spoofing a počet takových podvodů obecně klesl.

V Česku mezi lety 2023 a 2024 ubylo činů spáchaných na internetu téměř o 6 %

Na rozdíl od narůstajícího trendu vishingu, který zaznamenávají instituce, se v Česku mezi lety 2023 a 2024 podle statistik Policie ČR snížil díky prevenci celkový počet trestných činů spáchaných v kyberprostoru skoro o 6 % na hodnotu kolem 18 tisíc. Oproti roku 2015, kdy policie v kyberprostoru registrovala okolo 5 tisíc skutků, v poslední dekádě počet činů výrazně vzrostl. Hodnoty z roku 2024 představují oproti roku 2015 nárůst o 368 %. K rapidnímu skoku v počtu skutků došlo zejména mezi lety 2021 a 2022, část trestné činnosti se totiž přesunula do kyberprostoru v důsledku pandemie. Neboť policie neeviduje jako kyberkriminalitu trestnou činnost, ke které došlo pomocí mobilu či telefonu, vishing v rámci těchto statistik sledován není. „Vishing je formou spáchání trestného činu, nikoliv čin samotný, tím pádem ze statistik vyčíst nelze, a ani se nesleduje. Jelikož je často doprovázený osobním setkáním, bylo by velmi problematické jeho zařazení. O kvalifikovanou kyberkriminalitu se tedy nejedná a tyto metody naleznete zpravidla pod klasickými podvody,“ vysvětluje vedoucí tiskového oddělení PČR Ondřej Moravčík.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) sleduje v klasifikaci nahlášených incidentů phishing a krádeže identity také v rámci kategorie podvodů. Ačkoli ty subjekty, které úřadu hlásí bezpečnostní incidenty, se s vishingovými útoky spíše nesetkávají, pokud už k nim dojde, coby druh phishingu do této kategorie potažmo spadají. Podíl podvodů na celkovém počtu incidentů hlášených tomuto úřadu dle zpráv o stavu kybernetické bezpečnosti ČR klesl mezi rokem 2022 a 2023 z 11 % na pouhá 2 %. Nejčastěji měly v těchto letech ohlašované bezpečnostní incidenty charakter narušení dostupnosti (např. DDoS útok), v roce 2023 takové útoky dosáhly podílu 64 %.

V eurounijním porovnání si pak Česko vede poměrně dobře, co se týče množství podniků, které se potýkaly s případy narušení kyberbezpečnosti, které vedly k odhalení důvěrných údajů útočníkům. V roce 2024 podle dat Eurostatu zaznamenalo v Česku 1,9 % podniků o velikosti 10 a více zaměstnanců incident, kdy se útočníci dostali k důvěrným informacím cestou phishingu, průniku, pharmingu nebo následkem úmyslného i neúmyslného jednání zaměstnanců. Co do pořadí si tak v EU vedeme průměrně. Nejvíce se s takovými incidenty potýkaly s hodnotou 8,9 % podniky v Rumunsku, naopak nejnižší podíl patřil s 0,9 % Řecku.