Dokonalý SMS podvod, pri ktorom stačí malá nepozornosť, aby si naletel. Pozri sa, ako môže takáto správa vyzerať
Pozri sa, ako môže vyzerať dokonalý SMS podvod, pri ktorom stačí malé zaváhanie, aby si naletel a prišiel napríklad o peniaze.
Pravdepodobne aj tebe už niekedy prišiel do schránky e-mail, v ktorom ti chcel arabský princ, ktorý sa prestavil ako tvoj strýko, darovať majetok, lebo sa chystá na onen svet. Prípadne ti prišla SMS správa od kuriérskej firmy, ktorá ťa vábila na to, aby si aktualizoval adresu doručenia a spolu s ňou vyplnil aj údaje z platobnej karty.
Na tieto podvody sme si už zvykli a % úspešnosti, koľko ľudí sa nachytá, postupne klesá. Samozrejme, útočníci preto hľadajú nové spôsoby, ako presvedčiť obeť, že falošné SMS správy sú vierohodné a treba na ne reagovať. Nižšie ti ukážeme niekoľko techník, ako sa podvodníci snažia potenciálne obete obalamutiť a okradnúť.
Dokonalý SMS podvod
Poďme sa pozrieť nižšie na niekoľko techník, ktoré dokážu zdvihnúť dôveryhodnosť podvodných správ. Útočníci pritom často neváhajú tieto techniky kombinovať, aby zvýšili šancu, že uspejú.
Maskovanie mobilného čísla
Možno o tom nevieš, ale útočník dokáže maskovať svoje mobilné číslo. Táto metóda sa volá spoofing a útočníkovi umožňuje manipulovať s číslom, resp. menom kontaktu, ktoré ti volá alebo posiela SMS správu. Inými slovami, pri odosielateľovi SMS správy uvidíš napríklad meno svojej banky.
Cieľom útočníka je presvedčiť ťa, že ti píše organizácia, od ktorej ti prišla správa.
Neprehliadni
SMS ti príde do existujúceho vlákna
Ďalšia pokročila finta, ktorú útočníci často zneužívajú, je, že ti SMS správa príde do existujúceho vlákna. Tebe sa potom môže zdať, že ti skutočne píše napríklad už spomínaná banka, a že správa je vierohodná.
Potom nemáš dôvod, keď ťa banka napríklad vyzve, aby si si aktualizoval údaje, tak nespraviť.
Podvodník ťa osloví menom
Pravdepodobne to poznáš z reálneho života. Keď ti niekto povie menom, tak máš tendenciu ho počúvať pozornejšie, ako keby ti povedal len „pane, prosím,..“. Oslovenie menom je jednoduchým trikom, ako zvýšiť úspešnosti útoku.
Malý preklep v URL adrese
Pravdepodobne, ak by ti prišla URL adresa „dadtrabanka.sk“, tak by si všimol, že to nie je web tvojej banka. Útočníci často vytvárajú falošné kópie webstránok inštitúcií, za ktoré sa vydávajú, pričom URL adresu maskujú za drobný preklep. No, ak URL vyzerá napríklad tatrabanka.online.sk, prípade, tattrabanka.sk, tak ľudia majú často tendenciu to prehliadnúť. Preto je dôležité, aby si vždy riadne kontroloval URL adresu, či patrí skutočnej inštitúcii.
Podvod s mylnou platbou, ktorý kombinuje telefonát
Možno ti už niekedy prišli na účet peniaze, a nevieš odkiaľ. Tento podvod kombinuje falošnú SMS správu o novom zostatku na účet a telefonický hovor od útočníka. Ide o podvod, kedy ti prídu peniaze a následne ťa kontaktuje falošný bankár, prípadne údajný starý známy, aby si platbu vrátil. Osoba na druhej strane tlačí na to, aby si poslal peniaze späť na účet, ktorý ti príde v ďalšej SMS. Pri tomto útoku ťa podvodník naviguje krok po kroku, aby si peniaze, ktoré ti mali prísť, vrátil a snaží sa ťa udržať na linke a presvedčiť, že jeho peniaze došli omylom tebe.
Maj preto na pamäti, že veľa SMS podvod kombinuje aj telefonického podvodníka.
Zneužíva aktuálnu udalosť
Tí najviac šikovní podvodníci sa snažia zároveň zneužiť aktuálnu situáciu. Dobrým príkladom sú SMS správy z falošného daňového úradu v čase, kedy sa blíži termín podania daňového priznania.
Osoba s tebou na druhej strane aktívne komunikuje
Jednou z častých fínt, ktoré používajú útočníci pri SMS podvode, je, že s tebou aktívne komunikujú a reagujú na tvoje obavy. Pár dní dozadu sme napríklad upozorňovali podvodnú kampaň, kedy potenciálnu obeť mala osloviť údajná zamestnankyňa poisťovne cez chatovaciu aplikáciu. Zneužila nielen fotografie z webu poisťovne, ale aj mená zamestnancov. V správe informovala obeť o tom, že má nárok na nejaký benefit, ktorý si môže nárokovať.
V správe sú podhodené aj skutočné informácie
Mnoho podvodníkov v podvodných SMS správach „prihadzujú“ aj skutočné informácie. Spomenúť si môžeme napríklad na podvodné správy, v ktorých sa útočník vydával za známku lekárku z nemocnice. V rámci tela správy udával aj skutočné kontaktné údaje existujúcej osoby obeť, keď si dala do Google vyhľadať meno, tak skutočne našla informácie zo správy. Vďaka tomu časť obetí prestala byť obozretnou, keď našli informácie o údajnej osobe, za ktorú sa útočník vydával.
To, že tieto finty fungujú, nám v minulosti potvrdila aj Polícia v rozhovore. Maj sa preto na pozor a vždy si radšej niekoľkokrát skontroluj, či správa, ktorá ti prišla, nie je podvod.
Ako vyzerá dokonalý SMS podvod?
Vráťme sa ale k úvodu, ktorým je „dokonalý“ SMS podvod.
Za nás ide o správu, ktorá prenikne do existujúceho vlákna (teda okrem iného maskuje aj svoje mobilné číslo), ktorá následne kombinuje telefonický hovor od falošného pracovníka inštitúcie a aktuálnu udalosť. Vďaka tejto kombinácii techník môže útočník aktívne navigovať používateľa a tlačiť na neho, aby spravil to, čo od neho podvodník chce.
Pozor, aké dáta a kde vypĺňaš (bonusový tip, na čo si dať pozor)
Jeden z najviac sofistikovaných útokov, s akým sme sa stretli, bol, keď sme vyplnili údajnému študentovi dotazník ohľadne nášho nákupného správania. V domnienke, že pomáhame študentovi v jeho záverečnej práci, sme s ním zdieľali informácie o jednom z posledných nákupov, pri ktorom sme neboli spokojní vrátane podrobností o tovare a toho, kde nás e-shop sklamal. Pár dní na to nám volal údajný pracovník e-shopu a pýtal sa na našu skúsenosť s procesom nákupu. Akonáhle zistil, že sme boli nespokojní s nákupom, navrhol nám odškodnenie, hodnotný tovar za zlomok ceny. Samozrejme, ako sme ďalej spolu volali, tak pýtal od nás platobné údaje z karty.
Majte preto na pamäti, že všetko, čo vyplníte na internete, môže niekto na druhej strane potenciálne zneužiť pri rôznych typoch útokoch.
Komentáre