Digitálne hrozby – smishing

Technika, ktorej cieľom je prostredníctvom podvodnej SMS vylákať vaše citlivé údaje, má špeciálne pomenovanie, nazýva sa smishing. Je to špeciálny prípad phishingu, skratka SMS + phishing.
Charakterizuje ju tzv. stav núdze, pracuje s emóciou strachu – je to pokus donútiť vás rýchlo konať.

Jediným rozdielom pri týchto podvodoch je použitý komunikačný kanál. Pri smishingových útokoch podvodníci používajú na odosielanie správ namiesto e-mailov jednoduché SMS alebo aplikácie.

Phishingoví kyberpodvodníci, posielajú v rôznych podobách podvodné e-maily, ktorých cieľom je oklamať príjemcu, aby klikol na škodlivý odkaz, kým smishingoví kyberzločinci používajú SMS – textové správy namiesto e-mailu. Podvodníci uprednostňujú smishing pred inými typmi phishingových útokov z rôznych dôvodov. Jedným z nich je to, že väčšina ľudí má svoj smartfón horšie chránený ako počítač.

Cieľom je krádež vašich osobných údajov, ktoré neskôr môžu použiť na páchanie rôznych podvodov alebo iných kyberzločinov. Spravidla ich použijú na krádež peňazí – vašich, alebo peňazí vášho zamestnávateľa.

Podvodníci používajú v podstate na odcudzenie údajov dve metódy:

• Malvér: Odkaz na podvodnú URL adresu vás môže naviesť k tomu, aby ste si stiahli škodlivý program, ktorý sa nainštaluje do vášho telefónu. Môže vyzerať ako legitímna aplikácia, ktorá po vás bude chcieť, aby ste zadali dôverné informácie a poslali ich podvodníkom.
• Podvodná webová stránka: Odkaz v smishingovej správe môže viesť na falošnú stránku požadujúcu zadanie citlivých osobných údajov. Scammeri používajú často stránky podobné bežným stránkam firiem s dobrou povesťou, čím si zjednodušujú krádež vašich informácií. Podvodná web-stránka sa pritom môže líšiť od originálnej iba v URL adrese.

Podvodnícke SMS sa tvária ako správy z vašej banky a pod rôznymi zámienkami žiadajú obeť o osobné alebo finančné informácie, ako je prístup k účtu alebo údaje z bankovej karty. Poskytnutie týchto informácií sa rovná odovzdaniu kľúčov zlodejom k financiám na účte.

Ako funguje smishing?

Základom smishingu je oklamanie. Útočník prevezme identitu niekoho, komu dôverujete, aby bol dôveryhodnejší a zvýšil tak pravdepodobnosť, že podľahnete jeho požiadavkám.

Princípy tohto sociálneho inžinierstva spočívajú v manipulácii s rozhodovaním obete.
Predpoklady úspešnosti smishingu sú tri:

• Dôvera: Počítačoví zločinci vystupujú ako legitímni jednotlivci alebo organizácie, čím znižujú u svojej obete pochybnosti. SMS texty používané ako osobnejší komunikačný kanál prirodzene znižujú obranyschopnosť človeka pred nečakaným útokom.
• Kontext: Vytvorenie situácie, ktorá by mohla byť akceptovateľná obeťou, umožňuje útočníkovi vytvoriť efektívne maskovanie odpútaním pozornosti z osoby žiadateľa na situáciu. SMS pôsobí veľmi osobne, čo jej pomáha prekonať podozrenie, že by mohlo ísť o spam.
• Emócie: Zvýšením emócií u obete môžu útočníci obísť jej kritické myslenie a podnietiť ho k požadovanej rýchlej akcii.

Využitím kombinácie týchto metód scammeri píšu správy, ktorými nútia obeť vykonať požadované úkony. Zvyčajne chcú, aby príjemca otvoril odkaz na adresu URL v SMS, ktorý presmeruje obeť na phishingový nástroj očakávajúci odovzdanie súkromných informácií. Tento phishingový nástroj môže mať formu webovej stránky alebo aplikácie – obe vystupujú pod falošnou identitou.

Obete si scammeri vyberajú rôznymi spôsobmi – spravidla sú založené na veku, ak ho vedia zistiť inými kanálmi, príslušnosti k organizácii alebo geografickou oblasťou. Cieľmi môžu byť zamestnanci alebo zákazníci konkrétnej inštitúcie, predplatitelia mobilnej siete, vysokoškoláci, starší ľudia, dôchodcovia menej zorientovaní s používaním modernej techniky, obyvatelia konkrétnej oblasti atď.

Maskovanie podvodníka môže (ale nemusí) súvisieť s inštitúciou, ku ktorej chce získať prístup. Môže to však byť akákoľvek maska, ktorá mu pomôže získať vašu identitu alebo citlivé finančné informácie.

Spôsoby maskovania

Pomocou metódy známej ako spoofing môže útočník skryť svoje skutočné telefónne číslo za také, ktorému obeť dôveruje – váš kamarát, známy, príbuzný, niekto, koho máte v telefónnom zozname. Scammer používajúci phishing môže tiež použiť na maskovanie pôvodcu útoku lacné jednorazové predplatené telefóny. Z ďalších spôsobov je známy ten, pri ktorom ukryjú svoje číslo použitím služby odoslania správ cez SMS brány.

Väčšina ľudí vie o rizikách e-mailových podvodov. Pravdepodobne aj vy ste sa už naučili byť podozrievaví voči všeobecným e-mailom s obsahom: „Ahoj – pozri si tento odkaz.“ Neosobnosť takej správy je varovným signálom pre bežné spamové e-mailové podvody. Keď ľudia používajú telefóny, sú menej opatrní. Mnohí predpokladajú, že ich smartfóny sú bezpečnejšie ako počítače. V skutočnosti býva zabezpečenie vášho smartfónu obmedzenejšie ako zabezpečenie vášho počítača a nechráni vás rovnako účinne pred napadnutím.

Bez ohľadu na použité spôsoby podvodu jeho úspešnosť vyžaduje len veľmi málo – trochu dôvery a momentálny nedostatok triezveho posúdenia situácie. Scammer môže zaútočiť smishingom na akékoľvek mobilné zariadenie s možnosťou prijímania a odosielania textových správ.

Telefóny so systémom Android majú na trhu väčšinový podiel a preto sú častým cieľom útočníkov. V bezpečí nie sú ani zariadenia so systémom iOS (Apple) – sú pre scammerov rovnakou príležitosťou, ak nie lákavejšou. Kto si kúpi drahý iPhone, môže maž na účte viac financií, no nie? Mobilná technológia Apple iOS má dobrú povesť z hľadiska bezpečnosti, ale žiadny mobilný operačný systém sám o sebe nechráni pred útokmi typu phishing. Falošný pocit bezpečia môže spôsobiť, že používatelia sú obzvlášť zraniteľní, bez ohľadu na platformu.

Ako sa chrániť pred smishingom

Pred možnými následkami takýchto útokov sa dá pomerne ľahko chrániť. Zostanete v bezpečí tým, že nebudete robiť vôbec nič. Útoky vám ublížia a spôsobia škodu len vtedy, ak sa na návnadu chytíte tým, že budete reagovať.

Neznamená to, že budete ignorovať všetky SMS. Textové správy sú legitímnym spôsobom, ako vás môžu predajcovia a inštitúcie kontaktovať. Je preto žiadúce mať na pamäti pár vecí, ktoré vám účinne pomôžu ochrániť svoje financie a citlivé údaje pred následkami takýchto útokov:

• Neodpovedajte. Trikom na zistenie, či telefónne číslo niekto používa – teda či naň môže scammer útočiť – môžu byť napríklad výzvy na odoslanie textovej správy „STOP“ na zrušenie fiktívneho odberu. Útočníci potrebujú vašu zvedavosť alebo úzkosť v nejakej situácii. Ak na ich hru nepristúpite, nie ste zaujímavý.
• Ak je správa naliehavá, brzdite. Naliehavé požiadavky na aktualizáciu účtu, časovo obmedzené ponuky a pod. by mali aktivovať vo vašej hlave oranžový maják – varovné svetlo útoku. Postupujte uvážlivo a opatrne.
• V prípade pochybností volajte – príbuznému, ktorý vás o niečo žiada, svojej banke alebo obchodníkovi. Legitímne inštitúcie nepožadujú aktualizácie účtu ani prihlasovacie údaje prostredníctvom SMS, príbuzní môžu potrebovať požičať peniaze, ale tiež vám asi zavolajú a nebudú to robiť formou SMS. Akékoľvek naliehavé oznámenia overte radšej priamo zavolaním odosielateľovi alebo prostredníctvom oficiálnej telefonickej linky pomoci.
• Ak sa rozhodnete reagovať, nepoužívajte odkazy na svoje účty ani kontaktné údaje. Vyhnite sa používaniu odkazov alebo kontaktných informácií v odpovediach na SMS, ktoré vo vás vzbudili podozrenie. Použite radšej na overenie pravosti a ďalšiu komunikáciu oficiálne kontaktné kanály.
• Skontrolujte telefónne číslo odosielateľa. Nezvyčajne vyzerajúce telefónne čísla, napríklad 4-miestne, môžu byť dôkazom služieb odosielania e-mailov na textové správy. Toto je jedna z mnohých taktík, ktoré môže podvodník použiť na maskovanie svojho skutočného telefónneho čísla.
• Neuchovávajte čísla kreditných kariet v telefóne. Najlepší spôsob, ako zabrániť odcudzeniu finančných informácií z digitálnej peňaženky, je nikdy ich tam nevkladať. Ak si ich chcte pre rôzne potreby zapísať, urobte to tak, aby ste im rozumeli len vy, zašifrujte si ich. Napísanie odzadu nie je dostačujúce, verte.
• Použite viacfaktorové overenie (MFA). Odhalené heslo môže byť útočníkovi stále k ničomu, ak prelomený účet vyžaduje na overenie druhý „kľúč“. Najbežnejším variantom MFA je dvojfaktorová autentifikácia (2FA), ktorá využíva napríklad overovací kód došlej SMS. Teda okrem bežných prístupových údajov je potrebné zadať napríklad číselný kód, ktorý ste práve obdržali prostredníctvom došlej SMS z bankového systému. Silnejšie varianty zahŕňajú použitie vyhradenej aplikácie na overenie (napríklad Google Authenticator).
• Nikdy neposkytujte heslo ani kód na obnovenie účtu prostredníctvom SMS. Heslá aj kódy na obnovenie dvojfaktorovej autentifikácie (2FA) textových správ môžu ohroziť váš účet v nesprávnych rukách. Tieto informácie nikdy nikomu nedávajte a tiež ich používajte iba na oficiálnych stránkach inštitúcie (pritom neakceptujte automaticky prvé miesto v zozname vygooglených stránok, nemusí to byť oficiálna stránka, čítajte nájdené adresy).
• Nainštalujte si antivírusový program. Či už je to ESET pre mobilné zariadenia, Kaspersky Internet Security pre Android a i. – pomôžu vám ochrániť telefón pred inštaláciou škodlivých aplikácií, ako aj samotnými SMS phishingovými odkazmi.
• Nahláste všetky pokusy o podvodné konanie bezpečnostným orgánom. Podobne ako e-mailové phishingy, aj smishing je trestný čin podvodu, líši sa len štádiom dokonania úmyslu. Teda nezávisle od toho, či obeť podvodník oklame, alebo nie, je spoločensky nebezpečný a je potrebné ho v rámci možností obmedziť v páchaní ďalších podobných skutkov.

Pamätajte, že najjednoduchšou ochranou proti týmto útokom je nerobiť vôbec nič. Ak nereagujete, škodlivý text vám nemôže nič urobiť.

Čo robiť, ak sa stanete obeťou smishingu

Útoky podvodníkov smishingom bývajú neraz veľmi premyslené, prefíkané a ak útočník pozná vaše slabé miesta, môže zaútočiť znova. Potrebujete si pripraviť plán reakcie i plán obnovy, ak už nejaké straty nastali.

Týmito krokmi obmedzíte následky úspešného pokusu, ak ste už reagovali a údaje útočníkovi poslali:

• Podozrenie na útok nahláste všetkým inštitúciám, ktorých sa týkajú a ktoré by vám mohli pomôcť.
• Zablokujte svoj úverový účet (kredit), aby ste zabránili možnému budúcemu alebo pokračujúcemu podvodu s vašou identitou.
• Zmeňte čo najskôr všetky heslá a PIN kódy účtov.
• Pravidelne sledujte svoje financie, úvery a rôzne online účty, či sa v nich nenachádzajú zvláštne platby, ak je to možné, skontrolujte i miesta prihlásenia či iné aktivity (mnohé bankové aplikácie majú možnosť kontroly prístupov priamo v účte).

Každý z týchto krokov má veľký význam pre vašu ochranu po útoku. Nahlásenie útoku vám pomôže nielen rýchlejšie sa zotaviť, ale môže zabrániť, aby sa stali obeťou ďalší ľudia.