Podvodník při spoofingu zneužívá nepovinný parametr CLI (Calling Line Identification) přenášející síťovou signalizací informace o telefonním čísle, z něhož je hovor realizován. Zfalšováním tohoto parametru se v zařízení volaného může takový hovor identifikovat třeba jako z banky. Cílem podvodníka je vylákat z příjemce hovoru citlivé informace, především přihlašovací údaje nebo hesla, a připravit jej tak o finance. Takové podvody dokážou potírat společnými silami všichni tři operátoři.
Každý z mobilních operátorů používá ve své síti vlastní řešení, jak takové hovory odhalit a zamezit jejich spojení – např. T-Mobile svůj ochranný firewall ve své síti aplikoval v září 2023, O2 pak své řešení ve své síti loni v létě. Operátoři O2 a T-Mobile pak koncem loňského roku zavedli také ochranný systém Firewall 2.2 fungující na principu obousměrného ověřování hovorů mezi sítěmi – tedy jak směrem ze sítě T-Mobile do O2, tak opačně. Posledním článkem k vyšší úspěšnosti antispoofingových opatření bylo zapojení posledního síťového operátora, Vodafonu. Ten se zapojil nyní, obousměrné ověřování tak funguje již napříč sítěmi všech tuzemských mobilních operátorů.
Vodafone v minulosti upozornil na to, že většinou takový provoz přichází ze zahraničí, ovšem plošná blokace českých čísel zkoušejících se dovolat ze zahraničí nepřichází v úvahu. Neexistuje jednotný standard, podle kterého by bylo možné jednoznačně určit, že hovor je ověřený.
„Podvodníci se schovávají za telefonní čísla daleko v cizině a není snadné takové falešné mobilní hovory zastavit, aniž byste blokovali ty lidi, kteří jsou opravdu na cestách a telefonují třeba ze zahraniční dovolené,“ vysvětlil ředitel korporátní bezpečnosti společnosti Vodafone Czech Republic Jan Šánek s tím, že se operátorům podařilo najít společné účinné řešení, jak své zákazníky před spoofingem chránit.
Manažer korporátní bezpečnosti společnosti T-Mobile Jakub Ludvík upřesnil, že „ochranný firewall umí zjistit, zda volající číslo není podvržené, a pokud je hovor podvodný, zablokuje ho.“ Před dvěma roky bylo možné toto řešení používat pouze mezi čísly v síti T-Mobilu, stávající spolupráce s O2 a nově i Vodafonem podle Ludvíka zajistí maximální možnou ochranu mobilních čísel na celém území.
Z Microsoftu vám volat nebudou, varuje režisér Troška ve slovenské kampani |
Spojení tří mobilních operátorů za účelem boje proti podvodným voláním vnímá ředitel bezpečnosti v O2 Radek Šichtanc jako zásadní krok vedoucí k maximální ochraně uživatelů. „Propracovaný bezpečnostní systém nyní zajišťuje ochranu napříč všemi hlavními mobilními sítěmi Česka, takže dokážeme opravdu efektivně blokovat podvodné hovory,“ dodal.
Asociace provozovatelů mobilních sítí (APMS) informovala, že i nadále bude probíhat testování správné funkcionality a všech aspektů tohoto složitého technického řešení. V souvislosti s ochranným systémem proti spoofingu APMS připomenula zásady, které by z důvodu celosvětově neustále rostoucího počtu kybernetických útoků měli dodržovat i uživatelé.
„Hesla, ověřovací kódy nebo PINy nikdy neposílejte žádnému jinému uživateli nebo firmě. Důvěryhodná organizace nikdy nežádá o zaslání vašich autorizačních kódů e-mailem, telefonicky nebo jiným způsobem. Pokud se vám hovor zdá podezřelý, zavěste a zavolejte zpět na oficiální číslo z webu instituce,“ zdůraznila APMS.
Spoofing je i legitimní, využívají ho firmy
Existují výjimky, kdy je spoofing legitimní. Příkladem jsou třeba zákaznické linky, kdy se volaným zobrazí na displeji telefonu jiné číslo, než ze kterého je hovor reálně uskutečňován. Důvodem je, aby se lidé v případě potřeby dovolali zpět na konkrétní, pro tento účel kontaktu vyhrazené telefonní číslo dané společnosti.
Postup, který telekomunikační technologie umožňuje a který podvodníci zneužívají, používají hojně zejména firmy s více zaměstnanci. Mohou se tak svým klientům prezentovat pod jednotným číslem, třeba tím, které mají uvedené v reklamě. V takových případech ovšem každý operátor ví, jaká konkrétní čísla firma používá, zná takzvanou identitu volajícího čísla. V případě podvodného jednání tedy lze dohledat, kdo hovor vytočil. To však platí pouze v případech, kdy je hovor vytočen v České republice.
