Podvodníci našli dokonalý trik, ako ti vybieliť bankový účet. Takýto podvod tu ešte nebol a je brutálny!

Bezpečnostný analytik si všimol podvodný email, ktorý okamžite strhol jeho pozornosť. Funguje totiž spôsobom, aký tu ešte nebol.

hacker-bankova-karta_titulka
Zdroj: Unsplash (Adnan Khan, engin akyurt), Pixaby.com (Tumisu a Nikin), Vosveteit.sk

Na našom portáli pomerne často hovoríme o nových sofistikovaných phishingových metódach, pomocou ktorých sa podvodníci dostávajú k našim prihlasovacím údajom alebo peniazom. No čo robiť v prípade, ak phishingový podvod nie je vôbec phishingom?  

Na nový druh podvodu upozorňuje bezpečnostný analytik z Fortinet, ktorý ho opisuje ako “jednoducho geniálny”. Jedného dňa počas práce dostal nevyžiadaný mail, ktorý okamžite rozzvonil v hlave varovný alarm. Na prvý pohľad ide pre skúseného IT experta o jasný prípad phishingu, no keď sa na správu pozrel bližšie, čakalo ho pár prekvapení.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Podvodníci využívajú legitímne prostriedky

Keď na našom portáli hovoríme o phishingu, v drvivej väčšine prípadov podvodníci posielajú podvodné odkazy, ktoré imitujú známe platformy či využívajú množstvo ďalších spôsobov ako ťa oklamať, aby si im poskytol svoje prihlasovacie údaje. V tomto prípade ale všetky odkazy boli skutočne legitímne a pre to je tento podvod obzvlášť nebezpečný. 

phishing_ako ho identifikovat
Zdroj: Backcountry / shutterstock.com a Media Koldunov / shutterstock.com, koláž Vosveteit.sk

Alfou a omegou ochrany pred phishingom je skontrolovať si adresu odosielateľa a URL prilepenej v správe. Keď sa pozrieš na emailovú adresu odosielateľa, tá nevyzerá byť upravená. Bezpečnostný expert vysvetľuje, že podvodník v tomto prípade registroval testovaciu doménu služby Microsoft 365 a vytvoril “distribučný list”, v ktorom sa nachádzali emailové adresy potenciálnych obetí.  

Následne podvodník vytvoril PayPal účet a vytvoril žiadosť o platbu, pričom ako adresáta uviedol “distribučný list” z Microsoft 365 platformy. V tejto žiadosti si podvodník vypýtal tisíce dolárov.  

Keď útočník potvrdí žiadosť o platbu, táto žiadosť sa rozpošle všetkým užívateľom, ktorých mailová adresa sa nachádza na zozname. V praxi to znamená, že ak by tam bola napríklad tvoja adresa, do mailovej schránky by ti prišla správa od PayPalu, v rámci ktorej by chcela od teba platforma zaplatiť 2-tisíc dolárov a možno aj viac. Tu je ale háčik.  

V skutočnosti ťa odkaz zavedie na prihlasovaciu stránku PayPal služby, kde je malým písmom napísané, že ak sa prihlásiš do služby, mailovú adresu, ktorá ti poslala tento “nephishingový” mail, prepoja s tvojim účtom. Takýmto šikovným podvodom ti zločinec ukradne peniaze.  

Na tento "nephishingový" phishing si dávaj pozor, vybieli ti účet
Zdroj: Fortinet

Hlavne netreba spanikáriť

Keď obeť uvidí žiadosť s tak vysokou sumou, je šanca že spanikári a pokúsi sa rýchlo prihlásiť sa do účtu, aby žiadosť zrušila. To je v tomto prípade veľká chyba. V tomto momente získa útočník kontrolu nad jej PayPal účtom a môže ho celý vybieliť.  

“Tento útok je naozaj krásny. Útočník používa dokonalý trik, tak dokonalý, že prechádza aj cez oficiálne rady PayPalu ohľadom ochrany pred phishingom. Útočník našiel spôsob, ako pomocou legitímnych prostriedkov vytvoriť podvod, ktorý nepoužíva tradičné phishingové praktiky,” píše bezpečnostný expert.  

URL adresa, emailová adresa, všetko je platné. Expert vysvetľuje, že najlepšou ochranou je v tomto prípade “ľudský firewall”. Na začiatku sme spomenuli, že email, ktorý ti do schránky príde, má potenciál okamžite spustiť varovné kontrolky. Až následná analýza obeť zneistie, pretože všetko vyzerá legitímne. Ak nepracuješ v spoločnosti, ktorá s PayPalom pracuje na dennej báze, tento útok rozpoznáš oveľa jednoduchšie. Stačí, aby si nereagoval na nevyžiadané výzvy cez PayPal od ľudí, o ktorých si v živote nepočul.  

Ak ale pracuješ s PayPalom na dennej báze a častokrát posielaš alebo prijímaš peniaze, opatrnosť je na hlavnom mieste. Najlepšie samozrejme je, ak máš úplný prehľad o prevodoch peňazí a vieš, komu ešte treba peniaze poslať alebo od koho máš ešte peniaze dostať. Pri každom neočakávanom emaily automaticky postupuj s mierou podozrenia. Hackeri a podvodníci totiž vo väčšine prípadov stavujú hlavne na našu nepozornosť.  

Sleduj kanál Vosveteit.sk v aplikácii WhatsApp

Komentáre