Vaše telefonní číslo je zlatý důl pro podvodníky. Na co ho mohou využít a jak se bránit?

Proč je telefonní číslo víc než jen číslo

Většina lidí bere telefonní číslo jako něco naprosto nevinného. Dává se na vizitky, píše do e-shopů, zadává při registraci všude možně. Jenže to, co vypadá jako neškodný kontaktní údaj, je ve skutečnosti klíčem k celé řadě citlivých služeb.

Dnešní digitální svět je na telefonním čísle silně závislý. Banky ho používají k ověření plateb, sociální sítě k obnově hesel, e-mailové služby k dvoufaktorovému přihlášení. Kdo ovládá vaše číslo, ovládá i přístup k těmto službám. A přesně to hackeři velmi dobře vědí.

Smishing: phishing přes SMS

Jedním z nejčastějších způsobů zneužití čísla je takzvaný smishing, tedy phishing prostřednictvím SMS zpráv. Dostanete zprávu, která vypadá věrohodně, třeba od České pošty, banky, přepravní služby, policie nebo mobilního operátora. Obsahuje webový odkaz a výzvu k okamžité akci, například „Potvrďte doručení zásilky“ nebo „Váš účet byl zablokován“.

Odkaz vede na podvodnou stránku, která napodobuje originál, a jakmile zadáte přihlašovací údaje, ty jsou okamžitě v rukou útočníků. Někdy ale ani kliknout nemusíte. Stačí, že zpráva obsahuje přílohu nebo odkaz, který do vašeho telefonu nainstaluje spyware, sleduje vaše chování a odesílá data útočníkům.

SIM swapping: přepis čísla na cizí kartu

Sofistikovanějším a nebezpečnějším útokem je takzvaný SIM swap, tedy přenesení vašeho telefonního čísla na SIM kartu, kterou vlastní podvodník. Jak na to jde?

Útočník o vás nejprve zjistí co nejvíce informací – rodné číslo, adresu, jméno operátora – a poté kontaktuje zákaznické centrum vašeho mobilního operátora. Vydá se za vás, tvrdí, že přišel o telefon, a žádá přenesení čísla na novou SIM. 

Pokud zákaznická podpora dostatečně neověří totožnost volajícího, podvodník získá vaše číslo. Od té chvíle mu přicházejí všechny vaše SMS zprávy, včetně ověřovacích kódů pro přihlášení do banky nebo k e-mailu. Vy přitom najednou přijdete o signál a nemusíte zpočátku vůbec tušit, co se děje.

Přesměrování hovorů a spoofing

Méně výraznou, ale stejně nebezpečnou metodou je přesměrování hovorů. Útočník přesvědčí operátora nebo přímo zneužije nastavení v síti, aby všechny příchozí hovory a zprávy směřovaly na jeho číslo. Vy nic nezaznamenáte, protože signál i číslo vám zůstanou.

Dalším trikem je spoofing, tedy falšování čísla volajícího. Útočník může zavolat komukoli, a bude to vypadat, že mu voláte vy. Toho se pak využívá při podvodech, kdy někdo zavolá vašemu šéfovi nebo kolegům a vydává se za vás.

Firemní prostředí je pro podvodníky obzvlášť lákavé. Útok zvaný CEO fraud funguje tak, že útočník zavolá účetnímu nebo na finanční oddělení firmy a vydává se za generálního ředitele nebo jiného vedoucího pracovníka. Tvrdí, že je nutné okamžitě provést platbu pro důležitého obchodního partnera.

Protože volání přichází z „ředitelova čísla“ a je navozena atmosféra naléhavosti, oběť nezpochybňuje legitimitu požadavku. Takové podvody ročně způsobují firmám po celém světě škody v řádu desítek miliard korun. V některých zdokumentovaných případech přišly firmy najednou o více než šest milionů korun jen jedním převodem.

Moderní útočníci navíc stále více využívají umělou inteligenci ke klonování hlasu. Stačí jim pár nahrávek cílové osoby z veřejně dostupných zdrojů a dokážou syntetizovat hlas, který je téměř nerozeznatelný od originálu.

Jak se bránit zneužití čísla?

Dobrou zprávou je, že se dá většině těchto hrozeb předejít, pokud víte, na co si dát pozor.

• Nezadávejte a nesdělujte číslo zbytečně: Zamyslete se, zda opravdu musíte uvádět telefonní číslo při každé online registraci. Čím méně míst ho má, tím menší je šance, že se dostane do rukou podvodníků skrze únik dat.
• Přejděte od SMS ověřování na autentizační aplikaci: SMS kódy jsou nejzranitelnějším článkem dvoufaktorového přihlášení. Aplikace jako Google Authenticator nebo Microsoft Authenticator jsou výrazně bezpečnější, protože nekomunikují přes mobilní síť.
• Požádejte operátora o ochranu SIM karty: Většina českých operátorů nabízí možnost nastavit PIN nebo heslo pro jakoukoli změnu na účtu. Tato ochrana výrazně ztíží provedení SIM swapu.
• Ověřujte neočekávané požadavky: Pokud vám přijde SMS s výzvou k akci nebo dostanete neočekávaný hovor od „banky“ nebo „šéfa“, položte sluchátko a volejte zpět na oficiální číslo dané instituce. Nikdy nezadávejte citlivé údaje na základě příchozí zprávy nebo hovoru, který jste neiniciovali vy.
• Sledujte podezřelé výpadky signálu: Náhlá ztráta signálu bez zjevného důvodu může být prvním příznakem SIM swapu. Okamžitě kontaktujte operátora.
• Používejte bezpečnostní software v mobilu: Kvalitní mobilní antivir dokáže odhalit phishingové stránky i škodlivé aplikace dříve, než napáchají škodu.
• Informujte se a vzdělávejte: Můžete si například zkusit kybertest.

Vaše číslo není jen číslo

Telefonní číslo je dnes v digitálním světě něco jako druhý průkaz totožnosti. Přistupujte k němu stejně opatrně jako k rodnému číslu nebo číslu občanského průkazu. Nesdílejte ho na veřejných profilech, pečlivě zvažte, komu ho dáváte, a pravidelně kontrolujte, ke kterým účtům je přiřazeno.

Podvodníci jsou trpěliví, vynalézaví a stále lépe vybavení technologiemi. Jediná účinná obrana je kombinace zdravé nedůvěry, dobrých návyků a trochy technické sebeobrany.

Zdroj: ESET, Welivesecurity, NZZ, kybertest