Ste prejeli klic iz banke o sumljivi transakciji in zahtevo po nujnem ukrepanju? Če se vam zdi številka na zaslonu prava, to še ne pomeni, da je klicatelj resničen.
Telefonsko sleparstvo ali »vishing« je v strmem porastu. Goljufi s pomočjo tehnologije VoIP ponaredijo telefonsko številko in zlorabijo vaše zaupanje. V tem članku razkrivamo tehnično ozadje lažnih klicev in korake, kako zaščititi svoj denar.
Predstavljajte si naslednji scenarij: zazvoni vam telefon. Na zaslonu se izpiše ime vaše banke ali celo njena uradna telefonska številka za podporo strankam. Oglasite se in prijazen, a nadvse resen in zaskrbljen glas vam sporoči, da so na vašem bančnem računu pravkar zaznali sumljivo aktivnost – nekdo naj bi poskušal dvigniti večjo vsoto denarja ali pa je bila vaša plačilna kartica zlorabljena nekje v tujini. Srčni utrip se vam pospeši, zajame vas panika. Klicatelj vas pomiri in zagotovi, da lahko prenos takoj blokirata, če le sledite njegovim navodilom in na telefon namestite posebno varnostno aplikacijo.
Če se vam ta situacija zdi zastrašujoča in imate občutek, da bi v tistem trenutku naredili vse, da rešite svoj denar, niste edini. To je klasičen primer t. i. vishinga (iz angleške skovanke voice phishing oziroma glasovno ribarjenje), ki v zadnjem času postaja ena najbolj donosnih, prefinjenih in uničujočih oblik spletnega kriminala v Sloveniji in po svetu.
Kako je mogoče, da me kliče uradna številka banke, pa to v resnici ni banka?
Tukaj trčimo ob glavni tehnični problem, ki bega tako laike kot zelo napredne uporabnike pametnih naprav. Kako lahko goljuf, ki morda sploh ne sedi v isti državi, na mojem zaslonu prikaže točno številko moje slovenske banke? Odgovor se skriva v temeljni ranljivosti sodobnih telekomunikacijskih omrežij in tehniki, imenovani Caller ID Spoofing (ponarejanje identifikacije klicatelja).
V starih časih analognih bakrenih telefonskih central je bila identifikacija klicatelja strogo vezana na fizično linijo, s katere je bil klic opravljen. Danes pa večina telefonskih klicev, vsaj v določenem delu svoje poti do vas, potuje preko interneta z uporabo tehnologije VoIP (Voice over IP). Pri takšnih klicih so zvočni podatki pretvorjeni v digitalne pakete informacij, ki potujejo po spletu precej podobno kot vaša e-poštna sporočila.
Vsak tak digitalni paket vsebuje glavo (ang. header), ki prenaša podatke o pošiljatelju in prejemniku (za to skrbi t. i. protokol SIP – Session Initiation Protocol). Težava je v tem, da je polje, ki določa pošiljatelja (od kod prihaja klic), tehnično mogoče poljubno urejati. Če zadevo poenostavimo s preprosto analogijo: to je natanko tako, kot če bi na zadnjo stran klasične pisemske ovojnice napisali poljuben, izmišljen ali tuj naslov pošiljatelja. Poštar (v tem primeru vaš mobilni operater) bo pismo dostavil, saj preverja predvsem veljavnost naslova prejemnika, za pošiljatelja pa slepo verjame tistemu, kar piše na kuverti.
Goljufi uporabljajo specializirane, pogosto tuje spletne storitve, ki jim omogočajo, da v polje klicatelja vpišejo katerokoli številko želijo. Ko tak klic prispe v omrežje vašega operaterja, ta prebere “ponarejeno” številko in jo posreduje vašemu telefonu. Če imate to uradno številko shranjeno v imeniku pod imenom “Moja Banka”, bo vaš pametni telefon na zaslonu z velikimi črkami celo izpisal to ime. Sistem identifikacije klicev namreč ni bil zasnovan z mislijo na sodobno kriptografsko preverjanje avtentičnosti.
Aplikacije za oddaljen dostop
Ko klicatelj pridobi vaše zaupanje s ponarejeno številko in vas s tehnikami socialnega inženiringa (ustvarjanjem lažnega občutka nujnosti in strahu pred izgubo) spravi v stanje panike, sledi drugi del napada.
Zavedajo se, da so ljudje danes vse bolj pozorni in da ne bodo kar tako povedali svojega gesla za spletno banko. Zato ubrerejo drugačno pot. Prosili vas bodo, da iz uradne trgovine (Google Play ali App Store) prenesete “orodje za podporo strankam” ali “varnostni dodatek”. Najpogosteje gre za povsem legitimna in legalna programska orodja za oddaljen dostop, kot so AnyDesk, TeamViewer, RustDesk ali Zoho Assist.
- Za tehnično manj podkovane uporabnike: Te aplikacije so zasnovane za pomoč na daljavo. Če jih namestite in nekomu posredujete kodo, je to enako, kot bi mu izročili ključe vašega stanovanja, vas pa posedli na kavč in vam zavezali oči. Ko goljufu poveste identifikacijsko številko iz te aplikacije, dobi dobesedno popoln nadzor nad vašim telefonom ali računalnikom. Vidi vse, kar je na vašem zaslonu, in lahko premika miško ali pritiska po zaslonu namesto vas.
- Za napredne uporabnike: Ti napadi izkoriščajo RDP (Remote Desktop Protocol) in tehnologijo deljenja zaslona, ki obide tradicionalne protivirusne programe. Zakaj? Zato ker ne gre za zlonamerno kodo (malware), ampak za legalno programsko opremo, ki ste jo sami zavestno namestili in ji podelili sistemske pravice (npr. Accessibility Services na Androidu). Še huje – z oddaljenim dostopom napadalec popolnoma obide dvostopenjsko preverjanje (2FA). Ker napadalec upravlja vaš telefon na daljavo, se prijava v bančno aplikacijo zgodi iz vaše fizične naprave in z vašega domačega IP naslova. Bančni “Anti-Fraud” sistemi (sistemi za preprečevanje zlorab) pri tem ne zaznajo anomalije in ne sprožijo rdečega alarma.
Vishing (telefonski klic) proti klasičnemu phishingu (e-pošta)
Zakaj lažni klici povzročijo toliko večje finančne izgube in zakaj jim nasedejo tudi sicer izjemno previdni ljudje?
| Značilnost | Klasičen Phishing (E-pošta) | Vishing (Telefonski klic) |
| Interaktivnost | Statična. Prevarant pošlje tisoče sporočil in čaka. Sporočilo se ne prilagaja vašim dvomom. | Dinamična. Goljuf v živo na liniji prilagaja scenarij, pomirja vaše dvome in odgovarja na vprašanja. |
| Čas za razmislek | Visok. E-pošto lahko ignorirate, jo prespite, preverite domeno pošiljatelja ali vprašate znanca. | Ničen. Goljuf je na liniji in ustvarja takojšen pritisk (“Gospod, denar se pravkar prenaša, ukrepati morava ZDAJ!”). |
| Tehnični detektorji | Filtri za vsiljeno pošto (Spam) in protivirusni programi pogosto prestrežejo grožnjo še preden jo vidite. | Telefonski klic s ponarejeno številko z lahkoto zaobide vse varnostne mehanizme pametnega telefona. |
| Psihološki vpliv | Nizek do srednji. Uporabnik večinoma ostaja v racionalnem, analitičnem stanju. | Izjemno visok. Klic o kraji denarja sproži “ugrabitev amigdale” (fight or flight odziv). Racionalno razmišljanje se izklopi. |
Pri elektronski pošti ali celo pri SMS sporočilu (smishing) imate čas za kritično analizo. Pri telefonskem klicu pa vas napadalec prisili v sočasno izvajanje nalog (iskanje bančne kartice, nameščanje aplikacije, branje kod z zaslona), kar hitro povzroči kognitivno preobremenitev možganov. V takšnem stresnem stanju napake delajo tudi najbolj tehnično pismeni posamezniki.
5 korakov: Kako se ubraniti?
Rešitev ni v iskanju popolnega tehnološkega ščita na vašem telefonu, temveč izključno v spremembi vašega odziva. Banke imajo stroge protokole in nikoli ne bodo od vas zahtevale določenih stvari po telefonu.
Da zaščitite svoje prihranke, si zapomnite naslednje preverjene korake:
1. Uporabite najmočnejše orožje: Prekinite klic
Če vas klicatelj kakorkoli prestraši glede vašega denarja, zahteva osebne podatke, PIN kodo ali takojšnje ukrepanje na telefonu, preprosto odložite slušalko. Ne bodite vljudni, ne opravičujte se in ne spuščajte se v debato. Goljufi so šolani mojstri manipulacije; vsaka sekunda pogovora je priložnost, da vas zmedejo in prepričajo v nasprotno.
2. Rdeči alarm: Aplikacije za oddaljen dostop
Zapomnite si zlato pravilo, ki ne pozna izjem: Nobena slovenska ali tuja banka od vas nikoli, pod nobenim pogojem, ne bo zahtevala namestitve aplikacij, kot so AnyDesk, TeamViewer, RustDesk ali Supremo za reševanje varnostnih težav. Če po telefonu slišite ime ene od teh aplikacij ali zahtevo po namestitvi “varnostnega modula iz trgovine Play/App Store”, gre stoodstotno za prevaro. Klic prekinite v tistem trenutku.
3. Bodite proaktivni: Sami pokličite banko
Potem ko ste klic prekinili, vzemite svojo bančno kartico in poiščite uradno telefonsko številko za pomoč uporabnikom, ki je natisnjena na zadnji strani (ali pa obiščite uradno spletno stran vaše banke). Pokličite to številko in preverite, ali je z vašim računom vse v redu. Klicni center banke bo takoj videl pravo stanje.
4. Pozorno berite potisna (push) sporočila in SMS-e
Včasih napadalci ne uporabijo aplikacij za oddaljen dostop, temveč poskušajo sami opraviti nakup, vas pa prepričajo, da ga potrdite. V aplikaciji vaše mobilne banke se bo prikazalo obvestilo za potrditev s prstnim odtisom, PIN-om ali prepoznavo obraza. Goljuf vam bo rekel, da s tem “blokirate” transakcijo. Vedno natančno preberite besedilo na zaslonu. Če na zaslonu piše “Potrditev plačila 3.500 EUR”, vi pa mislite, da preprečujete krajo, ne potrdite! Za preklic ali blokado kartice banka ne potrebuje vaše avtorizacije plačila.
5. Kaj storiti, če ste že postali žrtev in nasedli prevari?
Če ste med klicem že namestili omenjeno aplikacijo in goljufu posredovali podatke ali kodo:
- Takoj izklopite internet: Prekinite Wi-Fi povezavo in izklopite mobilne podatke (LTE/5G) na napravi, ali pa telefon preprosto in hitro ugasnite. S tem boste napadalcu v trenutku prerezali povezavo in mu onemogočili oddaljen nadzor nad napravo.
- Kontaktirajte banko z druge naprave: Uporabite telefon partnerja, soseda ali stacionarni telefon in takoj pokličite banko. Zahtevajte blokado vseh kartic, bančnih računov in digitalnih kanalov (onemogočitev spletne in mobilne banke). Hitrost je tu absolutnega pomena.
- Prijavite policiji: Zberite vso razpoložljivo dokumentacijo (čase klicev, posnetke zaslona, izpiske) in se čim prej odpravite na najbližjo policijsko postajo ter podajte prijavo zlorabe.
- Očistite napravo: Preden na svojem telefonu ponovno namestite in aktivirate mobilno banko, je nujno, da napravo tovarniško ponastavite (formatirate in izbrišete vse podatke), saj so goljufi med oddaljenim dostopom morda namestili skrito zlonamerno programsko opremo.
Tehnološki napredek prinaša izjemne prednosti, hkrati pa v roke spletnih kriminalcev polaga vedno nova in nevarnejša orodja. Kot smo spoznali, tehnologija ponarejanja klicatelja (spoofing) omogoča napadalcem, da zlorabijo naše zaupanje v na videz povsem legitimne telefonske številke. Vendar pa goljufi na koncu dneva ne vdirajo neposredno v dobro zaščitene IT trdnjave bančnih sistemov – vdirajo v človeško psihologijo in naš odziv na strah.
Z razumevanjem, kako te telefonske prevare tehnično delujejo, in doslednim upoštevanjem preprostega varnostnega pravila – »prekini klic, premisli in preveri sam« – lahko zelo učinkovito zaščitite svoje premoženje. Vaša najboljša obramba ni najdražji antivirusni program na telefonu, temveč trezna glava in zavedanje, da banka ne rešuje varnostnih incidentov s prenašanjem tujih aplikacij.
