Podvodná SMS od „banky“, „kuriéra“ alebo „pošty“ často vyzerá ako krátka naliehavá správa, ktorá vás tlačí ku kliknutiu na odkaz, zaplateniu malého poplatku alebo zadaniu údajov z platobnej karty. Práve v tom je smishing nebezpečný: neútočí technicky zložito, ale cieli na stres, nepozornosť a dôveru v známe značky.
Smishing je podvod cez SMS alebo inú krátku textovú správu. Útočník sa tvári ako banka, kuriér, pošta, úrad alebo známa služba a snaží sa vás dostať na falošnú stránku, kde zadáte prihlasovacie údaje, údaje z karty, SMS kód alebo inú citlivú informáciu. Najväčším varovaním je naliehavosť, nečakaný odkaz a požiadavka na údaje, ktoré by seriózna inštitúcia cez SMS nepýtala.
Čo je smishing a prečo funguje tak dobre
Smishing je forma phishingu, ktorá namiesto e-mailu využíva SMS, iMessage, WhatsApp alebo inú textovú správu. Názov vznikol spojením slov SMS a phishing. Cieľom nie je len to, aby ste si správu prečítali, ale aby ste urobili konkrétny krok: klikli na odkaz, zavolali na podvodné číslo, nainštalovali aplikáciu alebo zadali údaje, ktoré útočník následne zneužije.
Mohlo by vás zaujímať
Podvodníci využívajú to, že SMS ľudia často čítajú rýchlejšie a menej opatrne ako e-mail. Správa je krátka, príde priamo do mobilu a môže sa tváriť ako upozornenie z banky, kuriérskej spoločnosti alebo Slovenskej pošty. Ak práve čakáte balík, riešite platbu alebo vám banka reálne posiela notifikácie, podvod môže pôsobiť dôveryhodnejšie než bežný spam.
Ďalším problémom je, že názov odosielateľa nemusí byť spoľahlivý dôkaz. Útočník sa môže pokúsiť napodobniť názov známej firmy alebo vytvoriť dojem, že správa prišla z oficiálneho zdroja. Preto nestačí pozerať iba na to, čo sa zobrazuje ako meno odosielateľa. Dôležitejšie je, čo správa chce, kam smeruje odkaz a či dáva zmysel v reálnej situácii.
Ako vyzerá podvodná SMS od banky
Podvodná SMS od banky sa najčastejšie snaží vyvolať dojem, že s vaším účtom, kartou alebo platbou je vážny problém. Môže tvrdiť, že bol zaznamenaný podozrivý pokus o platbu, že účet bude zablokovaný, že treba potvrdiť identitu alebo že musíte aktualizovať bezpečnostné údaje. Skutočným cieľom však býva presmerovanie na falošnú prihlasovaciu stránku, ktorá iba napodobňuje vzhľad banky.
Typické znenie falošnej SMS od banky
Podvodná správa môže vyzerať napríklad takto: „Vaša karta bola dočasne zablokovaná. Pre obnovenie prístupu potvrďte údaje na odkaze.“ Iná verzia môže tvrdiť: „Zaznamenali sme podozrivú platbu vo výške 249 eur. Ak ste platbu nevykonali, okamžite sa prihláste a zrušte ju.“ Práve konkrétna suma, časový tlak a strach zo straty peňazí majú človeka prinútiť konať bez rozmýšľania.
Častý trik je aj správa o údajnej aktualizácii aplikácie alebo bezpečnostného systému. Podvodník môže napísať, že ak si neoveríte účet, prídete o prístup do internet bankingu. Seriózna banka však od klienta nebude cez obyčajnú SMS žiadať celé prihlasovacie údaje, celé číslo karty, CVV kód, PIN ani jednorazový autorizačný kód tak, že ho máte zadať na neznámej stránke.
Prečo falošná stránka banky pôsobí dôveryhodne
Staršie podvody sa často dali spoznať podľa množstva chýb, zvláštnych formulácií alebo škaredého dizajnu. Dnes to už neplatí vždy. Falošná stránka môže mať logo banky, podobné farby, ikonky, texty a dokonca aj prihlasovací formulár, ktorý na prvý pohľad vyzerá veľmi podobne ako originál. Rozdiel býva v adrese webu, ktorá nepatrí banke, obsahuje zvláštne domény, pomlčky, preklepy alebo náhodné znaky.
Nebezpečné je aj to, že podvod môže pokračovať vo viacerých krokoch. Najprv zadáte prihlasovacie meno a heslo, potom údaje z platobnej karty a nakoniec autorizačný kód. Útočník sa tak môže snažiť prihlásiť do vášho účtu v reálnom čase a vy ho nevedomky pustíte ďalej. Preto netreba overovať pravosť bankovej správy cez odkaz v SMS, ale cez oficiálnu aplikáciu alebo stránku banky, ktorú otvoríte sami.
Ako vyzerá podvodná SMS od kuriéra alebo pošty
Falošné správy od kuriéra sú veľmi časté, pretože veľa ľudí pravidelne nakupuje online a naozaj čaká balík. Podvodníci to zneužívajú a posielajú SMS, ktoré sa tvária ako upozornenie o nedoručenej zásielke, chýbajúcej adrese, nezaplatenom poplatku alebo potrebe doplniť údaje. Správa býva krátka, jednoduchá a často obsahuje odkaz na stránku, ktorá napodobňuje kuriérsku službu alebo poštu.
Typické znenie falošnej SMS od kuriéra
Podvodná SMS môže znieť napríklad: „Vaša zásielka nemohla byť doručená. Doplňte adresu na odkaze.“ Ďalšia verzia býva: „Balík čaká na úhradu colného alebo doručovacieho poplatku 1,99 eur. Zaplaťte, aby sme ho mohli doručiť.“ Nízka suma je zámer. Človek si povie, že 1,99 eur nie je veľa, a skôr zadá údaje z karty, len aby balík neprepadol alebo sa nezdržal.
Falošná stránka následne vypýta meno, adresu, telefónne číslo a údaje z platobnej karty. V niektorých prípadoch môže žiadať aj overenie platby cez SMS kód alebo bankovú aplikáciu. Problém je, že nejde o úhradu drobného poplatku, ale o odovzdanie citlivých údajov. Podvodník môže kartu zneužiť na ďalšie platby, pokúsiť sa pridať ju do mobilnej peňaženky alebo údaje predať ďalej.
Kedy môže byť správa od doručovateľa podozrivá
Podozrivá je najmä správa, ktorá príde nečakane, neobsahuje jasné číslo zásielky alebo vás tlačí na rýchlu platbu cez neznámy odkaz. Varovným znakom je aj zvláštna adresa webu, ktorá len pripomína známu značku, no nie je jej oficiálnou doménou. Pri doručovaní je rozumnejšie otvoriť si sledovanie zásielky priamo cez oficiálnu stránku kuriéra alebo cez aplikáciu e-shopu, nie cez odkaz zo správy.
Pozor si treba dávať aj vtedy, keď ste práve niečo predali cez bazár. Útočník sa môže tváriť ako kupujúci a poslať vám odkaz, cez ktorý si vraj máte „prevziať platbu“ alebo „potvrdiť kuriéra“. V skutočnosti môže ísť o stránku, ktorá od vás vypýta údaje z karty pod zámienkou prijatia peňazí. Na prijatie platby na účet však odosielateľ nepotrebuje vaše CVV, PIN ani prihlasovacie údaje do banky.
Najčastejšie varovné znaky smishingu
Smishing nemusí mať vždy rovnakú podobu, no opakuje sa v ňom niekoľko typických znakov. Ak ich v správe vidíte viac naraz, je lepšie spomaliť a správu neotvárať cez priložený odkaz. Podvodníci sa spoliehajú na to, že človek reaguje okamžite, najmä keď má pocit, že mu hrozí blokácia účtu, strata balíka alebo finančná škoda.
Správa vytvára časový tlak
Najsilnejším nástrojom podvodníkov je naliehavosť. V SMS sa často objavujú slová ako „okamžite“, „posledná výzva“, „do 24 hodín“, „inak bude účet zablokovaný“ alebo „zásielka bude vrátená“. Takéto formulácie majú vypnúť opatrnosť a prinútiť vás konať skôr, než si overíte, či správa dáva zmysel.
Seriózna banka alebo kuriérska spoločnosť môže posielať upozornenia, ale citlivé úkony by nemali stáť na náhodnom odkaze v SMS. Ak správa tvrdí, že ide o vážny bezpečnostný problém, je bezpečnejšie kontaktovať banku cez oficiálne číslo, otvoriť bankovú aplikáciu alebo sa prihlásiť cez adresu, ktorú poznáte. Nikdy sa netreba spoliehať na link, ktorý prišiel v podozrivej správe.
Odkaz vyzerá zvláštne alebo skrátene
Veľmi častým znakom je odkaz, ktorý nevedie na známu oficiálnu doménu. Môže obsahovať preklep v názve banky alebo kuriéra, náhodné znaky, cudziu koncovku domény, príliš dlhú adresu alebo skrátený link, pri ktorom nie je jasné, kam vedie. Podvodníci často používajú adresy, ktoré majú vyzerať dôveryhodne na malom displeji mobilu, kde si človek nevšimne každý detail.
Pri banke je bezpečnejšie neklikať na žiadny odkaz zo správy a otvoriť si oficiálnu aplikáciu. Pri kuriérovi alebo pošte je vhodné skontrolovať zásielku priamo na oficiálnom webe alebo v aplikácii, ideálne podľa čísla zásielky z objednávky. Ak správa neobsahuje číslo zásielky alebo je číslo neznáme, je to ďalší dôvod na opatrnosť.
Správa pýta údaje, ktoré by pýtať nemala
Ak SMS alebo stránka po kliknutí pýta celé heslo do internet bankingu, číslo karty, CVV kód, PIN, autorizačný kód alebo prístup do účtu, treba spozornieť. Tieto údaje sú citlivé a ich zadanie na falošnej stránke môže viesť k strate peňazí. Podvodníci sa často tvária, že ide iba o „overenie“, „aktiváciu“, „zrušenie platby“ alebo „potvrdenie doručenia“, no v skutočnosti zbierajú údaje na zneužitie.
Rovnako nebezpečné je nainštalovať si aplikáciu z odkazu v SMS. Ak správa tvrdí, že kvôli doručeniu, banke alebo bezpečnosti musíte stiahnuť aplikáciu mimo oficiálneho obchodu, berte to ako veľké varovanie. Aplikácie je bezpečnejšie inštalovať iba z oficiálnych obchodov a aj tam treba sledovať názov vývojára, hodnotenia a oprávnenia.
Čo robiť, keď vám príde podozrivá SMS
Ak dostanete podozrivú správu, najlepšie je nič neunáhliť. Neklikajte na odkaz, neodpovedajte na správu a nezadávajte žiadne údaje. Ak ide údajne o banku, otvorte si jej oficiálnu aplikáciu alebo zavolajte na číslo uvedené na oficiálnej stránke banky či na zadnej strane platobnej karty. Ak ide o zásielku, overte si ju priamo u doručovateľa alebo v objednávke z e-shopu.
Podozrivú správu si môžete odfotiť alebo ponechať ako dôkaz, najmä ak ste na ňu už reagovali. Niektoré banky, kuriérske spoločnosti a verejné inštitúcie majú vlastné bezpečnostné kontakty, kam sa dajú podvody nahlásiť. Pri väčšom probléme, napríklad pri strate peňazí alebo zneužití platobnej karty, má význam kontaktovať banku okamžite a následne zvážiť aj oznámenie polícii.
Dôležité je správu neposielať ďalej známym tak, aby klikli na rovnaký odkaz. Ak chcete niekoho varovať, radšej mu napíšte vlastnými slovami, že koluje podvodná SMS, a neprikladajte aktívny link. Podvodníci často rátajú aj s tým, že si ľudia budú správy preposielať medzi sebou zo strachu alebo v snahe pomôcť.
Čo robiť, ak ste už klikli na odkaz
Kliknutie na odkaz samo o sebe nemusí vždy znamenať škodu, ale treba zbystriť. Ak ste na stránke nič nezadali a nič neinštalovali, stránku zatvorte, správu ďalej neotvárajte a prípadne ju nahláste. Ak ste však zadali prihlasovacie údaje, údaje z karty alebo autorizačný kód, situáciu riešte okamžite, pretože pri finančných podvodoch rozhodujú minúty.
Ak ste zadali údaje z karty
Ihneď kontaktujte banku a požiadajte o blokáciu karty alebo kontrolu podozrivých operácií. Ak máte v aplikácii možnosť dočasne zablokovať kartu, urobte to hneď a následne kontaktujte banku oficiálnym kanálom. Skontrolujte aj čakajúce platby a notifikácie, pretože podvodník sa môže pokúsiť zneužiť údaje opakovane alebo vo viacerých službách.
Ak ste potvrdili platbu v aplikácii alebo zadali SMS kód, banke povedzte presne, čo sa stalo. Nehanbite sa za to. Podvody sú navrhnuté tak, aby pôsobili dôveryhodne a dostali človeka pod tlak. Čím skôr banka vie, že údaje mohli byť zneužité, tým väčšia je šanca obmedziť škodu.
Ak ste zadali prihlasovacie údaje do banky
Okamžite si zmeňte heslo cez oficiálnu stránku alebo aplikáciu banky, nie cez odkaz z SMS. Ak používate rovnaké heslo aj inde, zmeňte ho aj v ďalších službách, najmä v e-maile. E-mail je dôležitý, pretože cez neho sa často obnovujú heslá do iných účtov. Ak má banka možnosť odhlásiť všetky zariadenia alebo skontrolovať prihlásenia, využite ju.
Pri podozrení na kompromitáciu účtu sa nespoliehajte iba na zmenu hesla. Kontaktujte banku a opíšte jej, akú správu ste dostali, čo ste zadali a kedy sa to stalo. Banka vám môže odporučiť ďalší postup podľa toho, či išlo len o prihlasovacie údaje, alebo aj o potvrdenie platby, zmenu limitov či aktiváciu novej služby.
Ak ste si nainštalovali aplikáciu
Ak vás SMS naviedla na inštaláciu aplikácie mimo oficiálneho obchodu, odpojte sa od internetu a aplikáciu odinštalujte. Potom skontrolujte oprávnenia, spustite kontrolu bezpečnostným nástrojom a zmeňte heslá z iného bezpečného zariadenia. Ak máte podozrenie, že aplikácia mohla čítať SMS alebo ovládať obrazovku, je rozumné poradiť sa s odborníkom alebo servisom.
Pri bankových aplikáciách a platbách je dobré dočasne zablokovať kartu alebo aspoň kontaktovať banku. Škodlivá aplikácia môže slúžiť na získavanie kódov, sledovanie aktivity alebo presmerovanie používateľa na ďalšie podvodné stránky. Ak neviete posúdiť, čo aplikácia urobila, bezpečnejšie je postupovať opatrnejšie než riskovať ďalšie zneužitie.
Ako sa pred smishingom chrániť
Najlepšia ochrana je jednoduchý návyk: nevybavovať citlivé veci cez odkaz v SMS. Ak správa tvrdí, že ide o banku, otvorte si bankovú aplikáciu ručne. Ak tvrdí, že ide o kuriéra, skontrolujte zásielku cez oficiálny web alebo aplikáciu. Ak tvrdí, že ide o úrad, použite oficiálnu stránku alebo schránku, nie odkaz zo správy.
Pomáha aj nastavenie notifikácií k platobnej karte, nižšie limity pre internetové platby a dvojfaktorové overovanie tam, kde je dostupné. Tieto nástroje síce podvodnú SMS nezastavia, ale môžu znížiť škody, ak sa údaje dostanú do nesprávnych rúk. Pri rodine a starších ľuďoch je užitočné dohodnúť si jednoduché pravidlo: keď príde správa o peniazoch, banke, zásielke alebo pokute, najprv sa niekomu zavolá a až potom sa niečo rieši.
Veľmi dôležité je neobviňovať ľudí, ktorí naleteli. Podvodníci používajú čoraz presvedčivejšie texty, presné načasovanie a známe značky. Ak sa o tom doma alebo v práci hovorí normálne, bez výsmechu, ľudia sa skôr priznajú, že klikli na podozrivý odkaz, a škoda sa dá riešiť rýchlejšie.
Najjednoduchší test: tri otázky pred kliknutím
Pred kliknutím na odkaz v SMS si položte tri otázky. Čakal som túto správu? Viem si požiadavku overiť iným spôsobom? Pýta odo mňa správa údaje alebo platbu, ktoré by seriózna firma nemala pýtať cez náhodný odkaz? Ak čo i len jedna odpoveď nesedí, neklikajte a overte si situáciu cez oficiálny kanál.
Tento test je jednoduchý, ale v praxi veľmi účinný. Smishing funguje najmä vtedy, keď človek koná automaticky. Stačí krátka pauza, kontrola adresy a overenie cez oficiálnu aplikáciu, a veľká časť podvodov stratí svoju silu.
Krátke video o podvodných SMS
Falošné SMS správy sa často tvária ako bežné upozornenie, no ich cieľom je vylákať údaje alebo peniaze. Praktické vysvetlenie nájdete aj v krátkom videu o podvodných SMS.
Záver
Smishing je nebezpečný práve preto, že vyzerá obyčajne. Príde krátka SMS, v nej známa značka, malý poplatok, problém s účtom alebo zásielka, ktorú nechcete stratiť. V skutočnosti môže ísť o premyslený podvod, ktorý sa snaží získať prístup k vašim peniazom, účtu alebo osobným údajom.
Najbezpečnejšie pravidlo je neklikať na odkazy v správach, ktoré riešia banku, platby, karty, doručenie alebo prihlasovanie. Všetko dôležité si overujte priamo cez oficiálnu aplikáciu, oficiálny web alebo zákaznícku podporu. Ak ste už údaje zadali, konajte rýchlo, kontaktujte banku a nečakajte, či sa niečo stane.
Zdroje
- Národná banka Slovenska – Internetové podvody
https://nbs.sk/dohlad-nad-financnym-trhom/ofs/zivotne-situacie/vase-financie-a-covid-19/internetove-podvody/ - Národná banka Slovenska – Pozor na podvody
https://nbs.sk/pozor-na-podvody/ - SK-CERT – Nová vlna podvodných kampaní
https://www.sk-cert.sk/sk/nova-vlna-podvodnych-kampani/index.html - Slovenská pošta – Varovania pred podvodmi
https://www.posta.sk/podpora/varovania-pred-podvodmi - Europol – How can you stay safe online during a global crisis?
https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/how-can-you-stay-safe-online-during-global-crisis - Federal Trade Commission – How to Recognize and Report Spam Text Messages
https://consumer.ftc.gov/articles/how-recognize-report-spam-text-messages
Robert
Zaujímam sa o technológie a históriu, najmä o kriminálne príbehy. Tri roky som viedol faktografický portál o moderných dejinách a rok som spolubudoval blogovú platformu, kde som publikoval desiatky analytických článkov. Pitchoviny som založil preto, aby kvalitný obsah nebol ukrytý za paywallom.
