Smishing: prečo tak ľahko naletíme na tento podvod?

hlavny banner smishing bezpecne na nete

Málo známy, zato účinný podvod pomocou SMS správy. Smishing je odvodené slovo od SMS a phishing.

Dostali ste niekedy SMS správu od prepravnej spoločnosti s informáciou o tom, že je váš balík na ceste a ani na chvíľu ste neuvažovali, že by táto správa mohla byť podvodná? Prečo aj? Veď v čase pandémie často nakupujeme online. Pri veľkom množstve sa vám tieto informačné správy môžu zlúčiť do jednej.

Aj keď vám možno na pár sekúnd hlavou prebehlo: „Predsa som si nič neobjednal“, je prirodzené, že budete mať nutkanie kliknúť na priložený odkaz, na ktorom údajne nájdete viac informácií.

Náš kolega Jake Moore sa pozrel detailnejšie na to, ako smishing funguje v praxi.

Ako funguje smishing?

Svokra Jake Moora mu preposlala podozrivú správu, ktorá ju informovala o aktuálnom stave objednávky. Nechýbala informácia o pozastavení odoslania z dôvodu nezaplatených zákazníckych poplatkov.

Zdroj: WeLiveSecurity

Je zrejmé, že išlo o smishing, ktorého cieľom bolo od obete vylákať finančnú sumu, prípadne platobné informácie. 

Jake sa rozhodol zistiť, čo je za odkazmi, ktoré sa v správach nachádzajú. Použil na to počítač v samostatnej sieti, ktorý je navrhnutý tak, aby odolal všetkým potenciálnym škodlivým stránkam, na ktoré by mohol vstúpiť. Odkaz bola skrátená adresa URL, ktorá ho zaviedla sem:

Zdroj: WeLiveSecurity

URL adresa sa nepodobala žiadnej známej doručovacej spoločnosti. Obsahovala slová podľa našich očakávaní.

Na úvodnej stránke bolo potrebné naplánovať doručenie so spomínaným zákazníckym poplatkom. Jake navštívil túto stránku pomocou vlastnej virtuálnej privátnej siete (VPN). Zistil však, že funguje iba zo Spojeného kráľovstva – znamenie, že tento podvod nie je až taký sofistikovaný. Čo však hneď bije do očí, je skutočnosť, že podvodníci použili názov spoločnosti „IPS“ a nie UPS.

Zdroj: WeLiveSecurity

Po kliknutí na výzvu sa dostal na stránku naznačujúcu, že „balík“ príde do 24 až 48 hodín.

Zdroj: WeLiveSecurity

Keď však klikol na „Zadať doručovacie informácie“, bol presmerovaný úplne na inú stránku so špeciálnou ponukou, kde ste si mohli kúpiť iPhone len za 1 libru! Stránka pokračovala klasicky so žiadosťou o vyplnenie osobných údajov vrátane údajov o kreditnej karte a CVV čísla.

Smishing využili aj pri ďalšich podvodoch

Ako ďalší príklad smishingu uvádza Jake podvodnú SMS správu, ktorá obsahovala odkaz na falošnú stránku Royal Mail. Aj keď sa adresa URL ani len nesnaží vyzerať podobne, webová stránka má autentickejší dojem ako predchádzajúca stránka spoločnosti „IPS“.

Zdroj: WeLiveSecurity

Po kliknutí na odkaz „naplánovať nové doručenie“ bol požiadaný o zadanie osobných údajov, ako je meno, adresa, dátum narodenia, bankové údaje a rodné meno jeho matky. Prečo by to Royal Mail niekedy vyžadoval?

Zdroj: WeLiveSecurity

Po vyplnení všetkých týchto údajov sa ukázalo, že musí zaplatiť malý poplatok (2,95 GBP) za „doručenie zásielky“, pričom bolo potrebné vyplniť niektoré údaje o kreditnej karte. Pokúsil sa teda vyplniť formulár niekoľkými riadkami falošných údajov, ale boli tam kontroly; napríklad číslo kreditnej karty muselo byť 16-miestne číslo.

Čo bolo nečakané, je fakt, že bol opäť presmerovaný na inú webovú stránku. Tentoraz to bola v skutočnosti legitímna webová stránka doručovacej služby. Tá však bola napadnutá a použitá na tento podvodný účel. Administrátori stránky boli upozornení.

BBC minulý rok upozorňovala na zvýšený výskyt podobných podvodov a to nielen prostredníctvom SMS správy. Jedna z obetí bola takto oklamaná po tom, čo dostala takýto e-mail, ktorý údajne pochádzal od doručovacej firmy DPD. Bola požiadaná, aby zaplatila 2 £ za opätovné doručenie a, žiaľ, zadala svoje bankové údaje, podobne ako uvádzame v príkladoch vyššie. Keď o dva dni neskôr skontrolovala zostatok na svojom účte, objavila nový nákup od Apple UK za 409 £, ktorý neautorizovala. Hoci banka obeti vrátila celú sumu, ktorá vznikla týmto podvodom, nie každý má také šťastie.

Prečo sa smishingu teraz tak darí?

Pandémia zmenila naše nákupné správanie. Z kamenných predajní sme sa presunuli do online obchodov. Nehovoriac o množstve príležitostí, ktoré našu „nákupnú mániu“ len podporujú, ako napríklad predvianočné výpredaje, Valentín alebo nekončiace Black Fridays.

Útočníkom pri smihisngu hrá do karát hneď niekoľko faktorov:

  • Mnohí z nás si už zvykli na klasické phishingové e-maily a stále viac ľudí pozná osvedčené postupy, ako sa chrániť. Útočníci však neustále pracujú na nových technikách, ako ľudí zmanipulovať a oklamať. Preto siahajú po iných spôsoboch, akým je klasická SMS správa, ktorá obchádza bezpečnostné riešenia.
  • Smishingové podvodné správy nie vždy získajú rovnakú publicitu, akú napríklad majú útoky ransomvérom či podvodné e-mailové útočné kampane. Preto mnoho ľudí o nich nevie.
  • Tieto SMS správy nemajú adresu odosielateľa, ktorú by ste si mohli vizuálne rýchlo overiť, napríklad ako je to v prípade e-mailu. Hoci ani to samo osebe nezaručuje, že správa je autentická. Niekedy sa môžu útočníci dokonca šikovne pripojiť k predchádzajúcim vláknam četu v rámci legitímnej korešpondencie vo vašom telefóne.

Získajte praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

Ako sa chrániť pred smishingom?

Je dôležité vedieť, ako sú správy konštruované, a pochopiť psychológiu, ktorá za nimi stojí. Každá správa, ktorá vás požiada, aby ste konali rýchlo – či už preto, aby vás vystrašili, alebo preto, že ide o skvelú ponuku, je vždy riziková. Správy, ktoré ovplyvňujú vaše emócie, s vami manipulujú bez toho, aby o tom vedelo vaše podvedomie. A pod nátlakom môže byť podvedený aj skúsený používateľ.

Všetky spomenuté príklady sú na prvý pohľad ukážkové príklady podvodných praktík, ktoré možno so základnými znalosťami odhaliť, ak im venujete dostatočnú pozornosť.

Preto sa vždy riaďte týmito krokmi:
  • Neklikajte na skrátené odkazy.
  • Nekonajte unáhlene.
  • Žiadna spoločnosť od vás nebude pýtať osobné údaje ako číslo CVV alebo rodné meno vašej matky.
  • Overte si pravdivosť informácie. Napríklad zavolajte do prepravnej spoločnosti.
  • Používajte bezpečnostný softvér, ktorý vás po kliknutí môže upozorniť, že ide o phishingovú stránku.
  • Okrem toho je dôležité o podvodoch hovoriť. Najmä tým, ktorí môžu byť náchylnejší, ako sú deti alebo seniori.

Autor: tím Bezpečne na nete
Zdroj: JAKE MOORE – Smishing: What it is and why we fall for these scams so easily