Ne nasedajte lažnim SMS sporočilom

2. oktober 2024

Internet in platforme Prevare in zavajajoče prakse
Ne nasedajte lažnim SMS sporočilom

Oktobra po vsej Evropi poteka Evropski mesec kibernetske varnosti. Ob tej priložnosti so na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT pripravili kampanjo na temo vse bolj pogostih smishing napadov, v katerih nas napadalci želijo prepričati v razkritje naših podatkov preko SMS sporočil ter aplikacij za hipno sporočanje.

Dodaj vsebino med priljubljene

Za dodajanje vsebine med priljubljene potrebujete uporabniški profil. Brezplačna registracija

Evropski mesec kibernetske varnosti

Namen kampanje je okrepiti odpornost sistemov in storitev EU, opolnomočiti državljane in narediti korak naprej k bolj kibernetsko varni in ozaveščeni družbi.

Slovenija sodeluje s programom Varni na internetu, ki ga izvajamo na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT.

Smishing na pohodu

Smishing prevare ali ribarjenje za podatki oz. zvabljanje na lažna spletna mesta so v velikem porastu, saj so v odzivnem centru SI-CERT lansko leto zabeležili velik skok v številu napadov prek SMS-sporočil in aplikacij za hipno sporočanje (npr. Viber, WhatsApp, Messenger). Obravnavali so kar 216 primerov, kar predstavlja skoraj 5-kratno povečanje v primerjavi z letom 2022.

Cilj tovrstnih napadov so finančni podatki, predvsem številke kreditnih kartic in avtentikacijski podatki za dostop do spletne ali mobilne banke. Slovenska policija je 2023 tako zabeležila za kar 3,5 milijona evrov škode zaradi phishing in smishing zlorab v elektronskem bančništvu.

Nikakor ni torej več dovolj, da smo pozorni le na elektronsko pošto – potencialna nevarnost prihaja z vsem smeri, tudi in predvsem preko SMS-ov in aplikacij za hipno sporočanje.

Anatomija smishing napada

Poznavanje anatomije smishing napada je ključno za razumevanje, kako tovrstni napadi delujejo: ključne tehnike, kako nas napadalci prepričajo v razkritje podatkov, ki lahko vodi v visoko finančno oškodovanje.

»Smishing prevara je učinkovita, ker največjo vlogo pri njej igra psihologija oz. manipulacija. Napadalci nas želijo z ustrahovanjem prepričati, da moramo ukrepati takoj. V nasprotnem grozijo z blokado, izbrisom, nezmožnostjo uporabe računa ali pa, da ne bodo dostavili paketa, povrnili dohodnine in podobno. Skratka, pri uporabnikih želijo vzbuditi občutek panike«, so zapisali na SI-CERT-u. Socialni inženiring je ena najpogostejših tehnik spletnih napadalcev.

Lažno sporočilo za krajo podatkov vsebuje dve glavni sestavini:

  1. Grožnjo, da se bo nekaj hudega zgodilo, če takoj ne odgovorite (bančni račun bo zablokiran, paketa ne bo možno dostaviti, onemogočen bo dostop, nekdo drug bo pred vami kupil želeni izdelek ipd.)
  2. Spletno (URL) povezavo, na katero naj bi kliknili. Povezava usmeri na spletno stran, kjer je zahtevan vpis podatkov – največkrat gre za vnos kreditne kartice ali dostopnih podatkov za različne storitve.

Primer zlonamernega smishing sporočila z razlago

Še nevarnejši od napadov preko elektronske pošte

Na SI-CERT-u smishing napade prek SMS in zasebnih sporočil ocenjujejo kot potencialno še bolj nevarne od napadov prek elektronske pošte, saj pred slednjimi ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil.

Pri SMS in drugih zasebnih sporočilih pa taka zaščita ne obstaja. Praktično nemogoče je preveriti pošiljatelja SMS-sporočila, obenem pa je zelo enostavno potvoriti telefonske številke, da so videti, kot da so slovenske.

Napadalci lahko SMS-sporočilo pošljejo na način, da je kot pošiljatelj navedeno ime domnevnega pošiljatelja (npr. BANKA, POSTA, BOLHA ipd.) ali pa neka povsem poljubna številka. V samem SMS-sporočilu je težje preveriti, kam pelje povezava, kot to lahko storimo na računalniku.

Primer zlonamernega smishing sporočila z razlago

Tudi način uporabe telefona je veliko bolj oseben, pogosto ga uporabljamo v okolju, kjer si težje vzamemo trenutek miru, da natančno preverimo stran, kamor vnašamo podatke. Vse to so dejavniki, na katere računajo tudi spletni napadalci.

Nacionalni odzivni center za kibernetsko varnost SI-CERT bo o smishing napadih oktobra državljane opozarjal prek TV oglasov na postajah z nacionalnim dosegom, oglasno kampanjo na družbenem omrežju Meta in Google prikaznem omrežju.

Cilj kampanje je dvigniti zavedanje o najpogostejših spletnih prevarah, kjer je vektor napada pametni telefon in obenem opozoriti na temeljne mehanizme vplivanja, ki jih uporabljajo spletni napadalci – vzbujanje strahu in panike.

Sveže e-novice ZPS, vsak petek

Ste z zanimanjem prebrali ta članek?
Prijavite se na e-novice ZPS za še več aktualnih in koristnih vsebin.

Politika varovanja osebnih podatkov

Sorodne objave

Nazaj na seznam objav

Postanite član Zveze potrošnikov Slovenije

ZPS je neodvisna in neprofitna organizacija, že
več kot 30 let na strani potrošnikov.

Zakaj postati član-ica?

Pridobite dostop do kakovostnih vsebin:

  • Revija ZPStest: 12 številk v 10 izvodih, dostop le prek spleta ali z dostavo na dom
  • Dostop do vseh testov in drugih plačljivih vsebin
  • Pravno svetovanje pri potrošniških težavah
  • Svetovanje o kakovosti in varnosti gospodinjskih aparatov ter zabavne elektronike

Že od 69,60 € / na leto

Zakaj so vsebine ZPS plačljive?

Primerjalne teste izdelkov in storitev financirajo člani ZPS s plačilom članarine. S plačilom posameznega testa tako tudi vi omogočate izvedbo primerjalnih testov. Zaradi zagotavljanja popolne neodvisnosti ZPS kot potrošniška, organizacija ne sprejema donatorskih in sponzorskih prispevkov podjetij.

Želim se včlaniti

 

Potrošniško svetovanje ZPS

Ste v potrošniški zagati?

Pokličite nas. Svetovali vam bodo izkušeni pravni strokovnjaki. Brezplačno za člane in članice ZPS.

 

Več o svetovanju