Podvodných telefonátů zneužívajících čísla bank a dalších institucí s cílem vylákat osobní údaje či finanční prostředky neustále přibývá. Jen v loňském roce počet útoků na klienty českých bank vzrostl na více než čtyřnásobek, s průměrnou škodou ve výši 161 500 korun na každého podvedeného klienta – a dokonce 250 000 korun v případě podvodných telefonátů. T-Mobile proto jako první z českých operátorů spouští v pilotním provozu vlastní bezpečnostní řešení na bázi „voice firewallu“, které dokáže významně snížit riziko zneužití telefonního čísla a ochránit tak koncové zákazníky před podvodníky. Na pilotním testování a implementaci nového „spoofing-secure“ řešení spolupracoval T-Mobile i s Policí ČR a Českou spořitelnou.
Podvodné volání (spoofing) pracuje s napodobením identity třetí strany. Díky určitým vlastnostem mobilních sítí dokáže útočník sestavit hovor pod legitimním (a často známým) telefonním číslem, které patří například zákaznické lince banky či mobilního operátora nebo i Policii ČR a následně se snaží od volaného získat přístupové údaje do bankovnictví či jiná citlivá data, nebo si rovnou vynutit převod peněz na svůj účet. Běžným scénářem takového hovoru je například přesvědčivě naléhavé varování klienta banky před pokusem o podvod, kterému lze zabránit jedině převodem peněz na jiný účet nebo sdělením přihlašovacích údajů k internetovému bankovnictví. Pokud oběť spoofingu takovou žádost odmítne, může následovat i falešný hovor od policie, kde je klient banky důrazně vyzýván ke spolupráci podle požadavku.
„Případy podvodného volání se objevují stále častěji, a protože bezpečnost zákazníků je pro nás prioritou, rozhodli jsme se pro bezplatné systémové řešení, které pokusy o spoofing výrazně omezí a zvýší úroveň ochrany našich firemních klientů,“ komentuje situaci Jakub Ludvík, manažer korporátní bezpečnosti v T-Mobilu, a doplňuje: „Pro tento velmi sofistikovaný a vysoce specifický způsob ochrany potřebujeme úzce spolupracovat s našimi firemními zákazníky, se kterými během pilotního provozu společně nastavíme a odladíme jednotlivé aspekty a vstupy pro řešení spoofing-secure ochrany tak, aby všichni jejich zákazníci v síti T-Mobilu byli v bezpečí.“
I přes častá varování operátorů, policie, bankovního sektoru a dalších subjektů eviduje Policie České republiky za poslední dva roky značný nárůst případů podvodných volání: „Počet případů se blíží číslu 1 500 a škody jsou skutečně velmi vysoké. Policie vnímá spoofing jako velmi rizikový, neboť pachatel může výrazně podpořit svou legendu, kdy se vydává za určitou autoritu, a běžný uživatel prakticky nemá možnost rozeznat autenticitu hovoru. Spoofing je v tomto případě rizikový i v kombinaci s výřečností podvodníků, kteří v případech telefonních hovorů zneužívají i principu důvěry v lidský hlas. Cílem pachatele nemusí být jen finanční prospěch, ale třeba i vylákání citlivých informací,“ uvedlpplk. Ondřej Kapr, rada odboru hospodářské kriminality, Úřadu služby kriminální policie a vyšetřování Policejního prezidia ČR.
Telefonní firewall pro firemní zákazníky Nové bezpečnostní řešení od T-Mobilu dokáže výrazně omezit zneužití definovaných telefonních čísel díky filtrování hovorů speciálním telefonním firewallem, pracujícím se seznamy povolených a blokovaných číselných řad.
Jeho firemní zákazníci mají možnost sestavit si seznamy legitimních telefonních čísel bank a dalších institucí, se kterými běžně komunikují. Pokud firewall následně zachytí pokus o podvržený hovor z těchto čísel, tak jej automaticky v síti T-Mobilu zablokuje. Databázi telefonních čísel, ze kterých by mohl být aktivován spoofingový hovor, lze mezi zákazníky T-Mobilu sdílet a výrazně tak omezit prostor pro podvržené hovory. Nové spoofing-proof opatření bude zcela zdarma k dispozici pro všechny firemní zákazníky T-Mobilu – jak pro jejich mobilní telefony, tak i pevné telefonní linky – a automaticky tak i pro jejich koncové zákazníky v síti T-Mobile.
Hovory z České spořitelny pod ochranou
Na testování nového bezpečnostního řešení T-Mobilu spolupracovala i Česká spořitelna. Co do počtu vedených účtů největší česká banka definovala konkrétní řady telefonních čísel, které užívá a opatření implementovala. Nyní tedy telefonní firewall T-Mobilu prověří neautorizovaná čísla z dané telefonní řady či nestandardní vstup do sítě a automaticky vyhodnotí jejich propojení na koncové zákazníky. Zachytí-li pokus o podvržený hovor, automaticky jej zablokuje, čímž zákazníky této bankovní instituce pomůže preventivně ochránit před případným podvodem.
„Věříme, že nové bezpečnostní opatření významně sníží počet podvodných hovorů, kdy se útočníci vydávají za zaměstnance banky, pracovníky České národní banky či policie a snaží se z klientů pod různými záminkami vylákat peníze. Nadále zároveň platí, že všichni naši klienti, kteří mají na svém chytrém telefonu aplikaci George klíč, si mohou během hovoru snadno ověřit, zda jim volá skutečný bankéř Spořitelny,“ říká Pavel Běhal, manažer bezpečnosti v České spořitelně.
Spuštění novinky je vlastní iniciativou T-Mobilu v rámci bezpečnostní strategie operátora. Chce tím omezit prostor pro nebezpečný typ podvodů, zneužívajících důvěru ve známá telefonní čísla různých institucí, a pokračuje v nastavené strategii vysokého důrazu na kybernetickou bezpečnost svých firemních i koncových klientů. T-Mobile je prvním a zatím jediným českým operátorem, který tento typ bezpečnostního řešení ochrany proti podvrženým hovorům nabízí bez poplatku.
Dalším krokem, který může v budoucnu vést k systémovému zamezení pokusů o podvodné volání na evropské úrovni, může být technologie STIR/SHAKEN (Secure Telephony Identity Revisited/Secure Handling of Asserted information using Tokens). Ta využívá propojených telefonních sítí a validace hovorů ještě předtím, než se dostanou k zákazníkovi. Operátor pak může ověřit, že hovor skutečně pochází z čísla zobrazeného jako identifikátor volajícího. „Vývoj v oblasti moderních bezpečnostních technologií sledujeme velmi pozorně. Na trhu se jich objevuje celá řada – od různých softwarových řešení až po inovativní aplikace. Všechna řešení komplementárně mohou být dalším dílem do skládačky možných bezpečnostních opatření. Ideální by bylo vybrat nějaké vhodné pro integraci na evropské bázi v úzké spolupráci evropských regulátorů a mobilních operátorů, aby pomohlo ochránit zákazníky všech operátorů,“ doplňuje Adam Falus, manažer fraudu v T-Mobile.
