Podvody a ďalšie hrozby, ktoré kolujú v četovacích aplikáciách, ako je WhatsApp, jasne ukazujú, aké ľahké je zneužiť aj dôveryhodné platformy.
Jedna zo zákerných taktík, ktorá v poslednom čase naberá na sile, spočíva v tom, že podvodníci presvedčia ľudí, aby počas videohovoru cez WhatsApp zdieľali obrazovku svojho telefónu.Funkcia zdieľania obrazovky, ktorá je v aplikácii WhatsApp dostupná od roku 2023, sa čoraz častejšie obracia proti samotným používateľom aplikácie s cieľom ukradnúť ich údaje, identitu a peniaze.
Prípady, ktoré sú v podstate variáciou na podvod so vzdialeným prístupom, boli hlásené z rôznych kútov sveta vrátane Spojeného kráľovstva, Indie a Hongkongu, kde jedna z obetí prišla o najmenej 5,5 milióna hongkonských dolárov (približne 600 000 eur) v starostlivo naplánovanej schéme.
Podvod hlásený z Brazílie (zdroj: Reddit)
Ďalej v článku sa dozviete viac o tomto podvode a ako sa pred ním chrániť.
Ako podvod prebieha?
Cieľom je vybudovať dôveru alebo vyvolať paniku, aby ste konali impulzívne. Podvodník sa preto spolieha skôr na psychologickú manipuláciu než na technické triky. Typický scenár vyzerá takto:
1. Hovor
Všetko sa začína videohovorom cez WhatsApp z neznámeho čísla. Podvodník sa vydáva za pracovníka banky, zákazníckej podpory, agenta spoločnosti WhatsApp alebo Meta, prípadne za priateľa či príbuzného v núdzi. Na to, aby pôsobil dôveryhodne, použije sfalšované lokálne telefónne číslo. Jeho video býva vypnuté, tmavé alebo rozmazané, aby zakryl svoju skutočnú identitu.
2. Problém
Nasleduje vytvorenie pocitu naliehavosti. Volajúci tvrdí, že na vašej platobnej karte došlo k neautorizovanej transakcii, že máte otvorenú reláciu na inom zariadení, ktorú treba ukončiť, že na vás čaká výhra, ktorú musíte potvrdiť, alebo že hrozí pozastavenie vášho účtu. Cieľ je jasný: vyvolať paniku a prinútiť vás konať bez uváženia.
3. Zdieľanie obrazovky
Podvodník vás následne požiada, aby ste zdieľali obrazovku svojho telefónu – vraj preto, aby vám „pomohol“ na diaľku vyriešiť údajný problém. Môže vás dokonca požiadať o inštaláciu legitímnej aplikácie na vzdialený prístup, ako je AnyDesk alebo TeamViewer. Ak to urobíte, útočník uvidí všetky vaše prichádzajúce textové správy a overovacie kódy pre WhatsApp. S týmito kódmi môže okamžite prevziať kontrolu nad vaším účtom WhatsApp. A to ešte nie je to najhoršie.
4. Prístup k osobným údajom
Keď má útočník priamy prístup k vašej obrazovke, môže ukradnúť vaše heslá, kódy dvojfaktorovej autentifikácie, jednorazové heslá (OTP), robiť snímky obrazovky alebo vás presvedčiť, aby ste otvorili bankovú aplikáciu a uskutočnili prevod – všetko pod zámienkou vyriešenia údajného problému. Dokonca vás môže oklamať, aby ste si nainštalovali malvér, napríklad keylogger, ktorý potajomky zaznamenáva citlivé informácie na neskoršie zneužitie.
5. Krádež účtov a peňazí
Po získaní overovacích kódov a bankových údajov môžu podvodníci vybieliť vaše účty, prevziať kontrolu nad vašimi sociálnymi sieťami a ďalšími online účtami či dokonca sa za vás vydávať a pokračovať v podvodoch – tentoraz sa však zamerajú na vašich príbuzných a priateľov.
Ako sa môžete chrániť?
Komplexná ochrana vášho digitálneho života
Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.
Tento podvod funguje, pretože kombinuje tri silné prvky: dôveru (vybudovanú prostredníctvom videohovoru od dôveryhodnej osoby), naliehavosť (vyvolanú vymysleným problémom) a kontrolu (poskytnutú zdieľaním obrazovky alebo vzdialeného prístupu). Táto kombinácia dáva zločincom takmer úplný prehľad o vašom telefóne.
Ochrana pred týmto podvodom závisí viac od informovanosti a disciplíny než od technických opatrení. Dodržiavajte preto tieto odporúčania:
- Nikdy nezdieľajte obrazovku s niekým, koho osobne nepoznáte, a už vôbec nie počas nevyžiadaného hovoru. Ak vám volá neznáme číslo a volajúci tvrdí, že zastupuje banku, poskytovateľa online služieb alebo inú dôveryhodnú inštitúciu, zložte a kontaktujte danú organizáciu cez overený kanál.
- Nikdy neposkytujte heslá, overovacie kódy ani osobné či finančné údaje cez telefón. Poskytovatelia online služieb, banky ani iné seriózne spoločnosti nikdy nežiadajú heslá, PIN kódy či údaje o karte prostredníctvom nevyžiadaných hovorov alebo správ.
- Neinštalujte aplikácie na vzdialený prístup na žiadosť cudzích osôb. Nástroje ako AnyDesk alebo TeamViewer môžu útočníkom poskytnúť plnú kontrolu nad vaším zariadením.
- Nezávisle overujte alarmujúce informácie. Podvodníci sa pokúsia prinútiť vás okamžite konať, zvyčajne tým, že vo vás vyvolajú paniku. Zastavte sa, zhlboka sa nadýchnite a nad celou situáciou sa zamyslite.
- Ak niekto tvrdí, že je problém s vaším bankovým účtom alebo že váš priateľ či príbuzný potrebuje pomoc, skôr než čokoľvek spravíte, kontaktujte banku alebo danú osobu priamo prostredníctvom iného kanála.
- Zapnite dvojfaktorovú autentifikáciu v aplikácii WhatsApp (nájdete ju pod názvom dvojfázové overenie): kliknite na Nastavenia → Účet → Dvojfázové overenie → Zapnúť alebo Nastaviť PIN. Aj keby kyberzločinci získali vaše prihlasovacie údaje, na prístup k vášmu účtu budú potrebovať tento druhý faktor.
Bezpečnosť sa začína skepticizmom
Tento podvod je ďalším dôkazom, že sociálne inžinierstvo zostáva jednou z najsilnejších zbraní kyberzločincov. Ukazuje tiež, ako môže chvíľkové zlyhanie úsudku ohroziť vaše životné úspory. Preto je informovanosť vašou prvou a najlepšou obranou.
Nové epizódy, nové výzvy a stále viac záhad na obzore! Pripojte sa k Bajtovcom na ich ďalšej ceste, kde sa digitálny svet prelína s každodennými dobrodružstvami.
Spracoval: tím ESET
Zdroj: Christian Ali Bravo – Sharing is scaring: The WhatsApp scam you didn’t see coming
