Uncategorized

Smishing: Ako sa nenechať napáliť podvodnými SMS

Smishing — SMS podvody, ktoré sa tvária ako správy od bánk, doručovateľov alebo úradov. Ako ich rozpoznať, čo robiť po kliknutí a ako sa chrániť.

Jakub Čuřík 11 minúta čítania
Smishing: Jak se nenechat napálit podvodnými SMS

SMS podvody, známe ako smishing, predstavujú rastúce nebezpečenstvo pre používateľov mobilných zariadení, keď útočníci kombinujú tradičné phishingové techniky s textovými správami čoraz dômyselnejším spôsobom.

Stretávame sa s rastúcim počtom podvodných SMS, ktoré sa najčastejšie tvária ako správy od bánk, doručovacích spoločností alebo oznámenia o výhrach. Podvodníci pritom cielia predovšetkým na získanie našich prihlasovacích údajov, platobných informácií alebo prístupu k internetovému bankovníctvu. Je dôležité si uvedomiť, že legitímne inštitúcie nikdy nevyžadujú citlivé údaje prostredníctvom SMS.

V tomto článku vám ukážeme, ako rozpoznať smishingové útoky, a predovšetkým, ako sa pred nimi účinne brániť. Dozviete sa tiež, čo robiť v prípade, že sa stanete terčom takého útoku.

Čo je smishing a ako funguje

Termín „smishing“ vznikol spojením slov „SMS“ a „phishing“, čo presne vystihuje podstatu tohto kybernetického útoku. Ide o podvodnú techniku, pri ktorej útočníci používajú textové správy na oklamanie obetí a získanie citlivých informácií alebo inštaláciu škodlivého softvéru do ich smartfónov.

Definícia smishingu a jeho vzťah k phishingu

Zatiaľ čo tradičný phishing využíva predovšetkým e-maily a podvodné webové stránky, smishing sa zameriava výhradne na SMS správy ako distribučný kanál. Princípy oboch útokov sú však totožné — útočníci sa vydávajú za dôveryhodné zdroje a snažia sa vylákať od obete citlivé údaje. Podľa výskumu spoločnosti Proofpoint zažilo v roku 2023 smishingové útoky až 75 % organizácií.

Smishing sa stáva čoraz obľúbenejším typom podvodu predovšetkým preto, že SMS správy majú výrazne vyššiu mieru otvorenia ako e-maily. Podľa štúdie Klaviyo sa pohybuje miera preklikov pri SMS správach medzi 8,9 % a 14,5 %, zatiaľ čo pri e-mailoch je priemerná miera preklikov len 2 %.

Ako podvodníci získavajú telefónne čísla

Podvodníci sa k telefónnym číslam dostávajú niekoľkými spôsobmi:

  • Nákup dát na dark webe — útočníci môžu hromadne nakupovať telefónne čísla získané z predchádzajúcich únikov dát.

  • Automatické vytáčanie — používajú softvér, ktorý generuje a volá náhodné čísla, čím overujú ich aktivitu.

  • Web scraping — zbierajú čísla zo sociálnych sietí, webových stránok a online adresárov.

  • Verejné zdroje — získavajú čísla z profilov na sociálnych sieťach alebo pracovných portáloch.

  • Odcudzené účty — pri napadnutí online služieb môžu získať prístup k telefónnym číslam používateľov.

Techniky používané pri smishingových útokoch

Smishingové útoky obvykle sledujú podobný vzorec. Najprv podvodník vytvorí presvedčivú textovú správu, v ktorej sa vydáva za banku, štátnu inštitúciu, doručovaciu službu alebo inú dôveryhodnú organizáciu. Správa často obsahuje urgentnú výzvu na akciu, ktorá má v obeti vyvolať strach, zvedavosť alebo pocit, že musí konať okamžite.

Útočníci typicky používajú dve hlavné metódy krádeže dát:

  1. Malvér — odkaz v SMS správe presmeruje obeť na stiahnutie škodlivého softvéru, ktorý sa maskuje ako legitímna aplikácia.

  2. Falošné webové stránky — odkaz vedie na podvodný web, ktorý sa tvári ako legitímna služba a žiada o zadanie prihlasovacích údajov alebo platobných informácií.

Na zvýšenie dôveryhodnosti využívajú útočníci techniky ako spoofing telefónnych čísel alebo používajú tzv. „burner phones“ (jednorazové telefóny), aby zamaskovali skutočný pôvod správy. Navyše, na rozdiel od e-mailov, pri SMS správach nie je možné pred kliknutím na odkaz zistiť, kam skutočne vedie.

Najčastejšie typy podvodných SMS

Podvodníci neustále vyvíjajú nové spôsoby, ako získať naše osobné údaje a finančné prostriedky. Podvodné SMS správy sa stali jedným z najobľúbenejších nástrojov kybernetických zločincov. Poďme sa pozrieť na štyri najčastejšie typy podvodných SMS, s ktorými sa môžete stretnúť.

Falošné bankové správy

Bankové podvodné SMS sú jednou z najnebezpečnejších kategórií — ich počet celosvetovo prudko narastá. Tieto správy typicky varujú pred „podozrivou aktivitou“ na vašom účte alebo tvrdia, že vaša karta bola zablokovaná. Navyše často obsahujú výzvu na okamžitú akciu, ktorá má vyvolať paniku a prinútiť vás reagovať bez rozmýšľania. Pamätajte, že legitímne banky nikdy nevyžadujú osobné údaje alebo prihlasovacie informácie prostredníctvom SMS a nepoužívajú skrátené odkazy.

Podvodné doručovacie notifikácie

S nárastom online nakupovania sa objavilo mnoho podvodov súvisiacich s doručovaním balíkov. Tieto správy obvykle tvrdia, že:

  • Bola neúspešne pokúsené o doručenie balíka

  • Musíte aktualizovať svoje doručovacie preferencie

  • Balík bude vrátený odosielateľovi, ak okamžite nereagujete

Ak kliknete na odkaz v takej správe, môžete byť presmerovaní na falošnú webovú stránku, ktorá vyzerá ako stránka skutočnej doručovacej služby (napríklad Slovenská pošta, GLS, Packeta), ale v skutočnosti zbiera vaše osobné údaje.

SMS o výhrach a zľavách

Správy o výhrach v lotérii alebo zľavových kupónoch sú ďalším bežným typom podvodných SMS. Podvodníci vám oznámia, že ste vyhrali cenu, ale na jej získanie musíte zaplatiť „manipulačný poplatok“ alebo „daň“.

Skutočné súťaže sú vždy bezplatné a legitímni organizátori nikdy nepožadujú platbu za výhru. Súčasne používajú podvodníci časový nátlak slovami ako „ponuka platí len obmedzený čas“ alebo „reagujte ihneď“, aby vás prinútili konať impulzívne.

Falošné správy od štátnych inštitúcií

Podvodníci sa často vydávajú za daňové úrady, Sociálnu poisťovňu alebo iné štátne inštitúcie. Okrem toho vám môžu tvrdiť, že:

  • Je na vás vydaný zatykač pre daňové úniky

  • Máte nárok na dodatočné finančné prostriedky

  • Musíte zaplatiť pokutu za fiktívny priestupok

Tieto správy zneužívajú autoritu štátnych inštitúcií, čím zvyšujú svoju dôveryhodnosť. Preto je dôležité vedieť, že štátne inštitúcie komunikujú predovšetkým prostredníctvom oficiálnych listov, zabezpečenej elektronickej schránky (slovensko.sk) alebo Ústredného portálu verejnej správy.

Ako rozpoznať smishingový útok

Rozpoznanie podvodnej SMS správy nie je vždy jednoduché, predovšetkým preto, že útočníci neustále zdokonaľujú svoje techniky. Napriek tomu existujú určité znaky, ktoré vám môžu pomôcť odhaliť smishingový útok skôr, než bude neskoro.

Typické znaky podvodných SMS

Prvý varovný signál často prichádza v podobe samotného telefónneho čísla. Podvodné správy prichádzajú z neznámych čísel, ktoré môžu byť náhodné alebo spoofnuté. Útočníci dokážu maskovať skutočný pôvod správy a napodobiť číslo skutočnej inštitúcie alebo použiť názov organizácie namiesto telefónneho čísla. Preto samotné číslo odosielateľa by nemalo byť jediným kritériom na posúdenie legitímnosti správy.

Ďalším znakom je kontext správy — ak dostanete správu o sledovaní balíka, ktorý ste si neobjednali, alebo o bankovom účte, ktorý nemáte, ide takmer isto o podvod.

Varovné signály v texte správy

Urgentný tón je jedným z najčastejších znakov podvodných SMS. Útočníci používajú frázy ako „okamžite konajte“ alebo „vaše konto bude do 24 hodín zablokované“, aby vás prinútili reagovať bez rozmýšľania. Navyše legitímne spoločnosti nikdy nevyžadujú heslá, čísla sociálneho poistenia alebo PIN kódy prostredníctvom SMS.

Gramatické chyby alebo nezvyčajné formulácie sú ďalším signálom. Podozrivé sú tiež neadresné oslovenia ako „Vážený zákazník“ namiesto vášho mena a ponuky, ktoré sa zdajú príliš dobré na to, aby boli pravdivé.

Podozrivé odkazy a ich analýza

Takmer každá smishingová správa obsahuje odkaz. Pri SMS správach žiaľ nie je možné skontrolovať cieľ odkazu pred kliknutím ako pri e-mailoch. Preto je dôležité pochopiť štruktúru domén a odhaliť podvod.

Skrátené URL adresy (bit.ly, tinyurl a pod.) sú obzvlášť nebezpečné, pretože skrývajú skutočnú cieľovú adresu. Legitímne spoločnosti zvyčajne používajú vlastné domény druhej úrovne (napríklad amazon.com), zatiaľ čo podvodníci často využívajú techniky ako „typosquatting“ (amaz0n.com) alebo „combosquatting“ (amazon-security.com).

Pri pochybnostiach o pravosti správy či odkazu vždy kontaktujte údajného odosielateľa prostredníctvom oficiálnych kanálov — telefónneho čísla uvedeného na webových stránkach alebo v oficiálnej aplikácii.

Praktická obrana proti smishingu

Ochrana pred smishingom začína proaktívnym prístupom a niekoľkými základnými opatreniami, ktoré môžu výrazne znížiť riziko, že sa stanete obeťou podvodu.

Nastavenie filtrov a blokovanie neznámych čísel

Väčšina moderných telefónov ponúka vstavané nástroje na filtrovanie nežiaducich správ. Na iPhone môžete aktivovať filter neznámych odosielateľov v Nastavenia > Správy > Filtrovať neznámych odosielateľov. Pri telefónoch s Androidom otvorte aplikáciu Správy, kliknite na profilovú ikonu, vyberte Nastavenia správ > Ochrana proti spamu a aktivujte prepínač.

Slovenskí mobilní operátori (Orange, Slovak Telekom, O2, 4ka) tiež ponúkajú vlastné nástroje na blokovanie nežiaducich správ a hovorov. Informujte sa o aktuálnych službách priamo u svojho operátora.

Overovanie pravosti správ

Pri obdržaní podozrivej správy nikdy neklikajte na odkazy ani neodpovedajte. Namiesto toho kontaktujte údajného odosielateľa prostredníctvom oficiálnych kanálov. Legitímne inštitúcie ako banky a štátne úrady nikdy nevyžadujú citlivé údaje cez SMS správy.

Pri skrátených URL adresách buďte obzvlášť opatrní — sú častým znakom podvodných správ. Skutočné spoločnosti zvyčajne používajú rozpoznateľné adresy zodpovedajúce ich oficiálnym doménam.

Čo robiť, keď ste už klikli na podozrivý odkaz

Ak ste už klikli na podozrivý odkaz, je dôležité konať rýchlo:

  1. Neposkytujte žiadne informácie — ak vás stránka žiada o zadanie údajov, okamžite ju opustite

  2. Odpojte sa od internetu — tým prerušíte prebiehajúce sťahovanie malvéru alebo odosielanie vašich dát

  3. Vykonajte antivírusovú kontrolu — spustite kompletné skenovanie zariadenia

  4. Zálohujte dôležité dáta — malvér môže poškodiť alebo zmazať vaše súbory

  5. Zmeňte heslá — predovšetkým k bankovníctvu a e-mailom, a to z iného zariadenia

Navyše zvážte nahlásenie incidentu. Na iPhone stlačte správu, kliknite na „Nahlásiť nevyžiadanú poštu“ a potom „Zmazať a nahlásiť nevyžiadanú poštu“. Na Slovensku môžete podozrivé SMS preposielať na medzinárodné číslo 7726 (SPAM), ktoré používa väčšina hlavných operátorov. Závažné prípady kybernetickej kriminality nahláste na Národnú jednotku boja proti počítačovej kriminalite alebo na tiesňovú linku 158.

Záver

Smishing predstavuje skutočne závažnú hrozbu, ktorá sa neustále vyvíja. Predovšetkým rastúca sofistikovanosť útokov a ich častosť zdôrazňujú potrebu zvýšenej ostražitosti pri práci so SMS správami.

Základom účinnej obrany je bezpochyby kombinácia technických opatrení a zdravého rozumu. Nastavenie filtrov, dôsledné overovanie správ a odmietanie urgentných výziev na akciu výrazne znižujú riziko, že sa staneme obeťou podvodu.

Pamätajte, že legitímne inštitúcie nikdy nevyžadujú citlivé údaje prostredníctvom SMS. Ak máte pochybnosti, vždy kontaktujte údajného odosielateľa cez oficiálne kanály. Bezpečnosť našich osobných údajov a financií závisí predovšetkým od našej obozretnosti a schopnosti rozpoznať podvodné správy skôr, než je neskoro.

Súvisiace články

Ochraňte své úspory: Jak odhalit falešné hovory z banky
Uncategorized

Ochráňte svoje úspory: Ako odhaliť falošné hovory z banky

Podvodné telefonáty z bánk — ako fungujú, čo požadujú podvodníci a ako sa brániť. Praktický návod plus kontakty na slovenské…

Jakub Čuřík
Jak bezpečně odhalit kdo volá z neznámého čísla [Ověřený postup]
Uncategorized

Ako bezpečne odhaliť kto volá z neznámeho čísla [Overený postup]

Kompletný sprievodca identifikáciou neznámych telefónnych čísel — od online vyhľadávania a aplikácií po službu identifikácie obťažujúcich hovorov u slovenských operátorov.

Jakub Čuřík
Telefonní podvody: Jaké citlivé údaje nikdy nesdělovat po telefonu a proč
Uncategorized

Telefónne podvody: Aké citlivé údaje nikdy neoznamovať cez telefón a prečo

Prihlasovacie údaje, čísla kariet, rodné číslo — čo nikdy nehovoriť cez telefón a prečo. Praktický návod, ako sa brániť podvodným…

Jakub Čuřík

Staňte sa súčasťou komunity

Každé nahlásenie neznámeho čísla pomáha chrániť tisíce ďalších ľudí. Pridajte svoju skúsenosť aj vy.

Nahlásiť číslo

Používame cookies

Pre zlepšenie zážitku používame cookies. Môžete si vybrať, ktoré kategórie povolíte.