Smishing patrí v dnešnej dobe medzi jeden z najpopulárnejších podvodov. Tento pojem je kombináciou pojmov SMS a phishing, a teda sa jedná o phishing prostredníctvom SMS správ. Ako mnohí už tušíte, phishing je manipulatívny podvod (technika sociálneho inžinierstva), kde cieľom podvodníka (či útočníka) je zisk citlivých údajov – osobných, bankových či iných.
Vzhľadom k tomu, že smishing sa stáva čoraz častejším podvodom, pokladáme za dôležité uviesť bežné techniky, ktoré útočníci využívajú prostredníctvom reálnych scenárov a takisto objasniť spôsoby ako smishing rozpoznať.
Bežný scenár smishingu
Klasický scenár pri útokoch tohto typu je nasledovný:
- útočník zašle potenciálnej obeti SMS správu so žiadosťou o kliknutie na podvodný odkaz
- obeť netušiac, že sa jedná o podvod klikne na odkaz
- na odkaze sa nachádza podvodný „formulár“ (jeho cieľom je napríklad zisk osobných, prihlasovacích či bankových údajov)
- obeť tieto údaje vyplní a následne sa dostanú k útočníkovi, ktorý tieto údaje môže zneužiť
Tento scenár sa samozrejme môže líšiť v závislosti od kreativity a schopností útočníka. Jedná sa len o jeden z možných scenárov, avšak podstata je vždy tá istá.
Konkrétne príklady
Medzi aktuálne trendy patria napríklad podvody súvisiace s doručovaním balíka. Na obrázkoch nižšie vidieť zaznamenané konkrétne príklady smishingu.
Keďže takmer každý je klientom nejakej banky, aj podvody súvisiace so zablokovaním karty, resp. zamrazením účtu sú časté. Pri podvodoch tohto typu je potrebné si uvedomiť, že banka Vás v prípade zablokovania karty nebude kontaktovať SMS správou. Takisto je nutné zamyslieť sa, či v predmetnej banke máte otvorený účet – ak nie, je zjavné, že sa jedná o podvod.
Ďalšími aktuálnymi podvodmi sú správy, ktoré imitujú rôzne ministerstvá či spoločnosti. V tomto prípade sa jedná konkrétne o Ministerstvo dopravy SR a spoločnosť TikTok.
Ako rozpoznať smishing?
Tu sa vynára otázka, ako taký smishing rozpoznať. Znaky ako zlá gramatika, odkazy či divný kontext sú pre podvodné správy bežné. V prípade SMS správ, resp. správ cez rôzne komunikačné aplikácie, je dôležité venovať pozornosť aj telefónnym číslam, z ktorých správa prichádza.
Uvádzame pomerne rozsiahly zoznam najčastejších predvolieb identifikovaných pri podvodných správach, avšak je nutné rátať s tým, že sa môžu vyskytnúť aj iné.
Predvoľba | Krajina | Identifikované v súvislosti |
+33 | Francúzsko | doručovanie balíka UPS, zablokovanie karty, neuskutočnené platby |
+55 | Brazília | doručovanie balíka Slovenská pošta |
+60 | Malajzia | doručovanie balíka Slovenská pošta |
+63 | Filipíny | doručovanie balíka pošta |
+91 | India | doručovanie balíka rôzne |
+229 | Benin | ponuka prác TikTok |
+223 | Mali | doručovanie balíka Slovenská pošta |
+232 | Sierra Leone | ponuka práce – veľa príležitostí |
+234 | Nigeria | doručovanie balíka rôzne |
+237 | Kamerun | diaľničná známka SR |
+254 | Kenya | doručovanie balíka Slovenská pošta |
+256 | Uganda | neuhradená faktúra diaľnice |
+855 | Kambodža | doručovanie balíka Slovenská pošta, ponuka prác TikTok |
+880 | Bangladéš | nadviazanie kontaktu cez WhatsApp |
+996 | Kirgizsko | doručovanie balíka Slovenská pošta |
Rovnako dôležité je venovať pozornosť odkazom, ktoré sa nachádzajú v doručených správach. Existuje niekoľko znakov, ktoré môžu indikovať, že sa jedná o podvod:
- použitie služieb na skrátenie odkazov (napr. bit.ly, t.ly, rebrand.ly, a ďalšie) – tu je však potrebné poznamenať, že aj legitímne správy môžu obsahovať skrátené odkazy, čiže nie vždy sa nutne jedná o podvod
- „chyby“ v doméne – napr. possta namiesto posta, tatrabank namiesto tatrabankaa podobne cielene podsúvané deformácie adresy
- manipulácia so vzhľadom písmen v URL adresách – tzv. homoglyfy a homografy, a teda využívanie znakov z rôznych jazykových sád
Pár slov na záver…
Podvody, nielen prostredníctvom SMS správ sa každým dňom vyvíjajú, preto tieto príklady neberte ako jediné, s ktorými sa môžete stretnúť. Dôležité je zamerať sa na to, akým spôsobom podvodnú správu rozpoznať. Uvedené príklady predstavujú len zlomok toho, s čím sa môžeme v digitálnom prostredí stretnúť. Preto Vás vyzývame k opatrnosti a ostražitosti pri interakcii nielen s SMS správami.
Vyjadrite váš názor v komentároch