Pozor na smishing – chráňte sa pred podvodmi

Smishing patrí v dnešnej dobe medzi jeden z najpopulárnejších podvodov. Tento pojem je kombináciou pojmov SMS a phishing, a teda sa jedná o phishing prostredníctvom SMS správ. Ako mnohí už tušíte, phishing je manipulatívny podvod (technika sociálneho inžinierstva), kde cieľom podvodníka (či útočníka) je zisk citlivých údajov – osobných, bankových či iných.

Vzhľadom k tomu, že smishing sa stáva čoraz častejším podvodom, pokladáme za dôležité uviesť bežné techniky, ktoré útočníci využívajú prostredníctvom reálnych scenárov a takisto objasniť spôsoby ako smishing rozpoznať.

Bežný scenár smishingu

Klasický scenár pri útokoch tohto typu je nasledovný:

  1. útočník zašle potenciálnej obeti SMS správu so žiadosťou o kliknutie na podvodný odkaz
  2. obeť netušiac, že sa jedná o podvod klikne na odkaz
  3. na odkaze sa nachádza podvodný „formulár“ (jeho cieľom je napríklad zisk osobných, prihlasovacích či bankových údajov)
  4. obeť tieto údaje vyplní a následne sa dostanú k útočníkovi, ktorý tieto údaje môže zneužiť

Tento scenár sa samozrejme môže líšiť v závislosti od kreativity a schopností útočníka. Jedná sa len o jeden z možných scenárov, avšak podstata je vždy tá istá.

Konkrétne príklady

Medzi aktuálne trendy patria napríklad podvody súvisiace s doručovaním balíka. Na obrázkoch nižšie vidieť zaznamenané konkrétne príklady smishingu.

Keďže takmer každý je klientom nejakej banky, aj podvody súvisiace so zablokovaním karty, resp. zamrazením účtu sú časté. Pri podvodoch tohto typu je potrebné si uvedomiť, že banka Vás v prípade zablokovania karty nebude kontaktovať SMS správou. Takisto je nutné zamyslieť sa, či v predmetnej banke máte otvorený účet – ak nie, je zjavné, že sa jedná o podvod.

Ďalšími aktuálnymi podvodmi sú správy, ktoré imitujú rôzne ministerstvá či spoločnosti. V tomto prípade sa jedná konkrétne o Ministerstvo dopravy SR a spoločnosť TikTok.

Ako rozpoznať smishing?

Tu sa vynára otázka, ako taký smishing rozpoznať. Znaky ako zlá gramatika, odkazy či divný kontext sú pre podvodné správy bežné. V prípade SMS správ, resp. správ cez rôzne komunikačné aplikácie, je dôležité venovať pozornosť aj telefónnym číslam, z ktorých správa prichádza. 

Uvádzame pomerne rozsiahly zoznam najčastejších predvolieb identifikovaných pri podvodných správach, avšak je nutné rátať s tým, že sa môžu vyskytnúť aj iné.

Predvoľba KrajinaIdentifikované v súvislosti
+33Francúzskodoručovanie balíka UPS, zablokovanie karty, neuskutočnené platby
+55Brazíliadoručovanie balíka Slovenská pošta
+60Malajziadoručovanie balíka Slovenská pošta 
+63Filipínydoručovanie balíka pošta
+91Indiadoručovanie balíka rôzne
+229Beninponuka prác TikTok
+223Malidoručovanie balíka Slovenská pošta
+232Sierra Leoneponuka práce – veľa príležitostí
+234Nigeriadoručovanie balíka rôzne
+237Kamerundiaľničná známka SR
+254Kenyadoručovanie balíka Slovenská pošta 
+256Ugandaneuhradená faktúra diaľnice
+855Kambodžadoručovanie balíka Slovenská pošta, ponuka prác TikTok 
+880Bangladéšnadviazanie kontaktu cez WhatsApp 
+996Kirgizskodoručovanie balíka Slovenská pošta

Rovnako dôležité je venovať pozornosť odkazom, ktoré sa nachádzajú v doručených správach. Existuje niekoľko znakov, ktoré môžu indikovať, že sa jedná o podvod:

  • použitie služieb na skrátenie odkazov (napr. bit.ly, t.ly, rebrand.ly, a ďalšie) – tu je však potrebné poznamenať, že aj legitímne správy môžu obsahovať skrátené odkazy, čiže nie vždy sa nutne jedná o podvod
  • chyby“ v doméne – napr. possta namiesto posta, tatrabank namiesto tatrabankaa podobne cielene podsúvané deformácie adresy
  • manipulácia so vzhľadom písmen v URL adresách – tzv. homoglyfy a homografy, a teda využívanie znakov z rôznych jazykových sád

Pár slov na záver…

Podvody, nielen prostredníctvom SMS správ sa každým dňom vyvíjajú, preto tieto príklady neberte ako jediné, s ktorými sa môžete stretnúť. Dôležité je zamerať sa na to, akým spôsobom podvodnú správu rozpoznať. Uvedené príklady predstavujú len zlomok toho, s čím sa môžeme v digitálnom prostredí stretnúť. Preto Vás vyzývame k opatrnosti a ostražitosti pri interakcii nielen s SMS správami.

Vyjadrite váš názor v komentároch