ODPORÚČANÉ ČLÁNKY
Rozpoznajte podvod na internete
Tieto internetové podvody ohrozujú najmä seniorov
Zavolala vám neznáma osoba? Naučte sa rozpoznať podvod po telefóne
Podvody zneužívajúce doručovacie služby
Smishing je podvodná praktika, pomocou ktorej útočníci rozposielajú podvodné SMS správy. Smishing je kombináciou slov SMS a phishing, niekedy sa môžete stretnúť aj s pomenovaním tejto taktiky ako SMS phishing. Cieľom útočníka je získať osobné a dôverné informácie od používateľa.
Prečo používatelia ľahšie naletia SMS podvodu?
- SMS správy sú skvelým spôsobom, ako nás zaujať. Čítanosť správ sa blíži k 100 % – jednoducho, ak nám príde SMS, väčšina z nás si ju prečíta. Na rozdiel od e-mailu, ktorý často zahodíme do koša aj bez otvorenia, ak vidíme podozrivé znaky, napríklad znaky, ktoré naznačujú, že ide o spam.
- Neexistuje spôsob, ako skontrolovať odosielateľa, iba telefónne číslo či meno odosielateľa, ktoré možno ľahko sfalšovať, vďaka čomu sa správa priradí legitímnemu odosielateľovi, hovoríme vtedy o tzv. technike spoofing.
Dobré vedieť
Falšovanie identity odosielateľa (v angličtine „spoofing“) je rozšírenou technikou, pri ktorej útočník úmyselne mení meno alebo e‑mailovú adresu odosielateľa v snahe oklamať príjemcu e‑mailu. Riziko spočíva v tom, že pre príjemcu nie je ľahké rozoznať takýto falošný e‑mail od pravého. Príkladom je posledná podvodná kampaň, v ktorej sa útočníci vydávali za spoločnosť Netlfix. Prostredníctvom techniky falšovania identity odosielateľa zmenili telefónne číslo odosielateľa SMS správy podľa ich potrieb. Správa teda vyzerala, akoby by prišla priamo z Netflixu.
Príklad spoofingu z praxe. Je vidieť, že sa podvodníci napojili na legitímnu komunikáciu Netflixu – meno odosielateľa.
zdroj: ESET
- V texte správy je zvyčajne menej slov, a preto je menej príležitostí rozpoznať slabú gramatiku.
- Neobsahujú žiadne identifikačné prvky ako napríklad logo prepravnej spoločnosti, banky či inej služby.
Ako smishing funguje?
- Na prvý pohľad to vyzerá, že vás kontaktuje známa spoločnosť, napríklad banka či doručovacia spoločnosť alebo iná zdanlivo dôveryhodná inštitúcia. Útočník vám jednoducho pošle správu, ktorá zvyčajne obsahuje skrátený odkaz na webovú stránku, prípadne inú výzvu k akcii.
- Odkaz obvykle vedie na phishingovú webovú stránku, prostredníctvom ktorej z vás môžu vylákať osobné údaje. Tie môžu byť neskôr použité na odcudzenie financií, ku krádeži identity či na ďalšiu nekalú činnosť. Odkaz môže taktiež viesť na škodlivú webovú stránku, z ktorej si môžete do zariadenia stiahnuť škodlivý kód.
Znaky smishingu
- Správa prišla z podozrivého čísla, napríklad zo zahraničného. Hoci ani to samo osebe nezaručuje, že správa je podvodná. Niekedy sa môžu útočníci prostredníctvom softvéru šikovne pripojiť k predchádzajúcim vláknam četu v rámci legitímnej korešpondencie vo vašom telefóne.
- Správa obsahuje obvykle naliehavý tón s výzvou na okamžitú alebo časovo obmedzenú akciu.
- Správa obsahuje nečakaný obsah, napríklad hovorí o problémoch s doručením vášho balíka, pričom ste si nič neobjednali.
- Správa obsahuje skrátené URL odkazy, ktoré obvykle vedú na falošnú stránku.
Príklad smishingu
Nižšie na obrázku môžete vidieť sreenshot podvodnej SMS správy. Čo je na tejto správe podozrivé?
- V prvom rade osoba, ktorá túto správu obdržala, si žiaden balík neobjednala.
- Správa prichádza z neznámeho čísla. Správy od doručovacích spoločností sú väčšinou označené názvom doručovacej spoločnosti. Nie je to ale pravidlo. Útočníci sa prostredníctvom techniky spoofing môžu za oficiálne doručovacie spoločnosti vydávať.
- Správa neobsahuje číslo balíka ani iné identifikačné prvky. Akákakoľvek oficiálna komunikácia od doručovacej spoločnosti tieto informácie obsahuje.
- Správa obsahuje skrátenú URL adresu, z ktorej nevieme identifikovať, či je stránka bezpečná.
Túto správu môžeme označiť ako ukážkový príklad podvodnej správy. Ako postupovať, ak ste obdržali takúto správu? Jednoducho na správu nereagujte, neklikajte na priložené URL adresy a správu odstráňte.
Príklad podvodnej SMS správy
zdroj: ESET
Ako sa chrániť pred smishingom?
Je dôležité vedieť, ako sú správy konštruované, a pochopiť psychológiu, ktorá za nimi stojí. Každá správa, ktorá vás požiada, aby ste konali rýchlo – či už preto, aby vás vystrašili, alebo preto, že ide o skvelú ponuku, je vždy riziková. Správy, ktoré ovplyvňujú vaše emócie, s vami manipulujú bez toho, aby o tom vedelo vaše podvedomie. A pod nátlakom môže byť podvedený aj skúsený používateľ.
Odporúčaný postup
Nekonajte unáhlene. Pár sekúnd pozornosti, ktoré venujete dôkladnému prečítaniu SMS správy, vás môžu ochrániť pred vážnymi dôsledkami.
Neklikajte na URL odkazy v SMS správe.
Žiadna spoločnosť od vás nebude pýtať osobné údaje ako číslo CVV alebo heslá, či informácie o platobnej karte.
Obsah správy si vždy môžete overiť. Napríklad zavolajte do spoločnosti, ktorá vás touto správou mala kontaktovať.