Chráňte sa pred smishingom

Útočníci v kybernetickom priestore neustále hľadajú cesty, ako od svojich obetí vylákať informácie alebo peniaze. Azda najobľúbenejším spôsobom je phishing, teda podvodné správy, ktorých cieľom je práve donútiť obeť, aby útočníkovi odovzdala finančné alebo osobné údaje.

Phishing môže mať mnoho podôb – cez mail, chatovacie služby a aj telefonické hovory. Phishing však neobišiel ani SMS správy.

Smishing je súhrnné označenie phishingových aktivít, ktoré prebiehajú cez SMS alebo iné služby, ktoré poskytujú možnosť textovo komunikovať v reálnom čase (samozrejme okrem e-mailu).

Spôsoby útokov je veľmi podobné ako pri klasickom e-mailovom phishingu. Útočník môže SMS alebo textovú správu napísať rôznymi spôsobmi. Napríklad do SMS správy vloží odkaz na škodlivú stránku z ktorej nainštaluje na zariadenia škodlivý kód či vylákať prostredníctvom nej od obete rôzne typy údajov (osobné údaje, údaje o platobných kartách alebo prihlasovacie údaje do finančných služieb – internetbanking a podobne). Alebo do SMS napíše napríklad telefónne číslo, na ktoré má obeť ihneď zavolať a konať podľa pokynov útočníka.

Výhodou SMS alebo textových správ je ich rýchlosť doručenia a relatívna krátkosť. Útočník tak nemusí riešiť zložitý príbeh, ale stačí mu správne napísať urgentnú správu, ktorá na prvý pohľad vyzerá legitímne. Dokonca názov odosielateľa môže upraviť tak, aby nezobrazoval číslo, ale text – často sa stretávame s prípadmi, keď sa útočník maskuje za Slovenskú poštu.

Ako sa útočník dokáže dostať k vášmu telefónnemu číslu? Spôsobov je hneď niekoľko – napríklad kúpi databázu údajov na čiernom trhu, ktoré pochádzajú z únikov údajov z minulosti. Je tam veľká šanca, že telefónne čísla sú stále platné, nakoľko také heslo si dokážete zmeniť rýchlo, no telefónne číslo asi kvôli úniku údajov nezmeníte. Ďalšia možnosť je jednoduchšia – existujú nástroje, ktoré dokážu čísla náhodne určovať na základe určitých pravidiel v tej-ktorej krajine. Útočník tak posiela smishingové správy náhodne. V neposlednom rade sa útočník môže dostať aj k veľkým databázam telefónnych čísel, ktorými disponujú napríklad marketingové agentúry. Buď ich ukradnú, alebo sa k nim dostanú normálnou kúpou. Pri ostatných platformách, ktoré nie sú viazané na telefónne číslo (napr. Facebook Messenger) je to ešte jednoduchšie – databáza používateľov je viac menej otvorená a dostupná, pričom útočník môže jednotlivým používateľom písať bez väčších obmedzení.

Odhalenie takejto správy je v princípe veľmi jednoduché. Spoločným menovateľom takýchto správ sú dôveryhodnosť (odosielateľ sa tvári ako dôveryhodná inštitúcia – napríklad banka, poštový doručovateľ a podobne), urgencia (obeť má niečo vykonať okamžite) a kontext (útočník zneužíva aktuálnu situáciu). Napríklad útočník môže vytvoriť správu, ktorá pochádza od Slovenskej pošty (alebo kuriérskej spoločnosti), že vám má byť doručený balík a je potrebné kliknúť na linku v správe, ktorá vás presmeruje na webovú stránku, kde máte zadať svoje údaje – najčastejšie meno, priezvisko, adresu bydliska, číslo karty a podobne. Správa je podporená naliehavosťou, že ak na linku nekliknete a údaje nezadáte, balík bude vrátený odosielateľovi. Najmä v dnešnej dobe je doručovanie balíkov každodennou záležitosťou a človek sa môže dať ľahko nachytať.

Ako sa proti smishingu brániť? Ochrana je podobná, ako pri klasických phishingových útokoch:

  • v prvom rade – neodpovedajte a nereagujte. Ak sa vám zdá správa podozrivá, nereagujte a neklikajte na odkazy,
  • ak vám takáto SMS alebo textová správa prišla, spomaľte a zamyslite sa. Položte si jednoduché otázky – naozaj som si objednal balík? Robil som nejaké platby? Môže toto odo mňa niekto žiadať?
  • nikdy neposkytujte cez SMS a textové správy alebo odkazy v nich svoje osobné a finančné údaje. Nikto okrem vás na ne nemá nárok,
  • ak vám píše napríklad banka, preverte si správu iným kanálom – napríklad zavolajte na infolinku vašej banky alebo vášmu osobnému bankárovi, ak ho máte,
  • neverte odosielateľovi, či už je to telefónne číslo alebo meno. Útočník sa môže maskovať za dôveryhodný názov alebo telefónne číslo. Preto si vždy takéto správy overte cez oficiálne kanály.

Ak vám došla takáto smishingová správa prostredníctvom SMS, nahláste nám ju. Môžete to spraviť dvoma spôsobmi:

  • preposlať túto SMS spolu s uvedením telefónneho čísla odosielateľa aj prijímateľa (vášho telefónneho čísla), na naše telefónne číslo 0903 993 706.
  • skopírovať SMS správu spolu s telefónnym číslom odosielateľa a prijímateľa a zaslať nám ju na e-mail incident@nbu.gov.sk. Tento postup prosím použite aj pri textových službách ako Whatsapp a Facebook Messenger.

« Späť na zoznam