Môžeš dostať vírus do telefónu len tým, že otvoríš podvodnú SMS správu?
Hackeri sú nesmierne šikovní ľudia a do zariadenia sa vedia dostať tými najrôznejšími cestami.
Natrafiť dnes na online podvod je nesmierne jednoduché. Môžeš napríklad kliknúť na podvodnú reklamu. Tá ťa môže presmerovať do falošného obchodu s aplikáciami, na podvodnú stránku tvojej banky a podobne. Tých situácií, ktoré môžu nastať, je kvantum.
Jeden typ podvodu však u nás prekvitá. Ide o podvodné SMS správy, v ktorých sa hackeri vydávajú za rôzne oficiálne inštitúcie alebo štátne orgány. Nedávno sme dostali do redakcie zaujímavú otázku, a to, či už len prijatie podvodnej správy predstavuje riziko, že sa do zariadenia dostane vírus. Poďme sa na túto tému pozrieť bližšie.
Väčšinou, keď ti príde podvodná SMS správa, a to buď priamo do aplikácie Správy, prípadne cez WhatsApp, Telegram a podobne, útočník sa snaží v tebe vyvolať pocit naliehavosti. Napríklad, že musíš aktualizovať svoje bankové údaje do 24 hodín, inak dôjde k zablokovaniu tvojho účtu. V tomto prípade ide o typ správ, ktoré nepredstavujú zásadné riziko, ak nespanikáriš. V ideálnom prípade by si mal takúto správu ignorovať a neklikať na ňu. V tejto situácii pre teba nepredstavuje hrozbu.
Pozor, keď klikneš na podvodný odkaz
Všetko sa však môže zmeniť, keď klikneš na takýto odkaz. Zväčša ťa zavedie na falošný web, cez ktorý sa útočník pokúsi získať tvoje citlivé údaje, napríklad z platobnej karty.
Odporúčame ti na odkazy v SMS správach neklikať, a hneď ti vysvetlíme prečo. Zabudni na to, že by si svoje údaje vyplnil niekde na webe a nevedomky ich odovzdal podvodníkom.
Neprehliadni
Tieto URL odkazy často obsahujú sledovací parameter. Akonáhle klikneš na takýto odkaz, podvodník získa informáciu, že tvoje mobilné číslo je aktívne, a tento typ správ ťa začne zaplavovať vo veľkom.
Prejdime však k ďalšiemu problému, ktorým je to, že kliknutím na odkaz sa môžeš dostať na web, cez ktorý si stiahneš do zariadenia vírus. Nemusíš pritom sám iniciovať stiahnutie. Problémom je, že web môže využívať nejakú známu (alebo aj neznámu) zraniteľnosť a infikovať tvoje zariadenie.
Môžeš len prijatím správy dostať vírus do telefónu?
Podobne je to aj so správami. Skvelým príkladom je spyware Graphite, ktorý nedávno udrel na používateľov WhatsAppu. V tomto prípade stačilo obeti poslať PDF súbor v správe, ktorý nainštaloval do zariadenia špionážny softvér bez toho, aby používateľ s dokumentom nejako interagoval. Krátka odpoveď teda na otázku, či môžeš dostať vírus do zariadenia len tým, že ti príde podvodná správa, preto znie: áno.
Hackeri často do správ ukrývajú prílohy, ktoré obsahujú rôzne skripty, makrá a podobne. Častokrát stačí kliknúť na súbor a ten „načíta“ vírus z externého zdroja a infikuje tvoje zariadenie.
Nie je ale dôvod na paniku
Druhým dychom však treba povedať, že nie je dôvod na paniku. Tento typ podvodu, kedy dostaneš správu a infikuje tvoje zariadenie, nie je častý. Zväčša ide o cielené útoky, nie o masové podvody. Dôvod je jednoduchý, sú pomerne finančne nákladné.
Tento typ útoku využíva nejakú zraniteľnosť v softvéri, či už v operačnom systéme, alebo priamo v aplikácii.
V minulosti sa šírilo viacero vírusov, napríklad cez infikované obrázky. Najznámejší prípad je asi Stagefright, ktorý sa šíril dokonca cez MMS správy. Podvodníci v tomto prípade zneužívali chybu v multimediálnej knižnici Androidu (libStageFright). Na to, aby sa smartfón infikoval, stačilo prijať infikovanú správu s obrázkom. Útočník mohol získať prístup k mikrofónu, kamere a súborom.
Treba podotknúť, že nejde len o problém Androidu, ale aj iOS. V prípade iPhonov môžeme spomenúť kritickú chybu v systéme iOS, ktorá umožnila infikovať zariadenie len tým, že si používateľ otvoril špeciálne upravený .TIFF obrázok. Išlo o chybu známu ako iOS TIFF exploit a tento útok bol súčasťou väčšieho špionážneho nástroja nazývaného Pegasus. Výsledkom bolo, že bez interakcie používateľa mohol útočník získať úplný prístup k zariadeniu.
Ako sme však naznačili, nie je dôvod na paniku. Hoci sa takéto situácie občas odohrajú, sú zväčša raritné a keď takýto podvod vypláva na povrch, vývojári naň reagujú v priebehu niekoľkých dní. To je dôvod, prečo by si nemal nikdy podceňovať aktualizácie operačného systému a aplikácií.
Komentáre