Skoči na vsebino
Varni na internetu
Prevara

SMISHING ALI SMS-SPOROČILA ZA KRAJO PODATKOV

Napadalci vedno pogosteje pošiljajo SMS-sporočila, s katerimi ciljajo predvsem na finančne podatke, kot so podatki o naših kreditnih karticah. Takšno prevaro imenujemo smishing.

Katera je najpogostejša spletna nevarnost, ki cilja na povprečnega spletnega uporabnika? Brez dvoma je to ribarjenje za podatki ali phishing. To je oblika socialnega inženiringa, pri kateri napadalci zavajajo ljudi, da jim sami razkrijejo različne občutljive informacije (npr. sami vpišejo geslo za elektronsko pošto, številko kreditne kartice ali celo dostopne podatke za spletno banko).

Dolgo časa je veljalo, da so napadalci pošiljali elektronska sporočila, s povezavami, ki so vodile na lažno, ponarejeno spletno stran, na kateri naj bi vpisali svoje podatke (najpogosteje so to bila gesla za dostop do elektronske pošte). Zadnja leta pa se ta trend spreminja, in sicer napadalci vedno pogosteje pošiljajo SMS in druga zasebna sporočila, s katerimi pa ciljajo predvsem na finančne podatke, kot so podatki o naših kreditnih karticah.

Tako obliko napada, kjer napadalci pošiljajo lažna SMS-sporočila, imenujemo smishing.

V letu 2023 smo na odzivnem centru SI-CERT obravnavali 216 primerov smishing napadov, skoraj 5 krat več, kot leto prej. Slovenska policija pa je lani zabeležila za 3,5 milijona evrov škode zaradi phishing in smishing zlorab v elektronskem bančništvu.

Cilj smishing napadov so kreditne kartice in bančni podatki

Spletni napadalci želijo podatke o naših kreditnih karticah in prijavne podatke za spletno banko. Najlažji način za pridobitev teh podatkov pa ni neposredni vdor v banko, temveč pošiljanje lažnih, goljufivih elektronskih in SMS-sporočil. V teh se pretvarjajo, da so banka, dostavno podjetje, spletni oglasnik, ali celo državni finančni urad. Zakaj zlorabljajo imena tovrstnih institucij? Preprosto zato, ker jih ljudje poznamo in jim zaupamo.

Grafika prikazuje razčlenjeno smishing sporočilo. To vedno vsebuje grožnjo ('nekaj se bo zgodilo, če ne ukrepate takoj') in spletno povezavo, prek katere naj bi vpisali podatke.
Ključni sestavini smishing sporočila sta grožnja in povezava za vpis podatkov.

Smishing kot ‘priročna’ prevara

Smishing namesto elektronskega sporočila uporablja SMS-sporočilo, da bi uporabnika prepričal, da bi kliknil na priloženo povezavo. Prevaro pa je zaradi tega težje prepoznati. Telefon, na katerega prejmemo lažno sporočilo, običajno uporabljamo na poti, zato smo tudi manj pozorni, pošiljatelja pa je težje ali celo nemogoče preveriti. Napadalci lahko SMS-sporočilo pošljejo tudi na tak način, da je kot pošiljatelj navedeno ime domnevnega pošiljatelja (npr. BANKA, POSTA, BOLHA ipd.), ali pa neka povsem poljubna številka.
Na znake prevare moramo biti pozorni tako v elektronski pošti, kot tudi v SMS-sporočilih in sporočilih za klepet prek aplikacij, kot so npr. Messenger, WhatsApp, Viber, Telegram ipd.

Kako prepoznati smishing napad?

Prevara je učinkovita, ker največjo vlogo pri njej igra psihologija oz. manipulacija. Napadalci nas želijo z ustrahovanjem prepričati, da moramo ukrepati takoj. V nasprotnem grozijo z blokado, izbrisom, nezmožnostjo uporabe računa ali pa, da ne bodo dostavili paketa, povrnili dohodnine in podobno. Skratka, v nas želijo vzbuditi občutek panike.


Lažno sporočilo za krajo podatkov vedno vsebuje dve glavni sestavini:

  1. grožnjo, da se bo nekaj hudega zgodilo, če takoj ne odgovorite (bančni račun bo zablokiran, paketa ne bo možno dostaviti, onemogočen bo dostop, nekdo drug bo pred vami kupil želeni izdelek ipd.)
  2. spletno (URL) povezavo, na katero naj bi kliknili. Povezava usmeri na spletno stran, kjer je zahtevan vpis podatkov – največkrat gre za vnos kreditne kartice ali dostopnih podatkov za različne storitve
Grafika prikazuje smishing sporočilo v imenu pošte. Ključni sestavini sta ponovno grožnja in spletna povezava za vpis podatkov kreditne kartice, pod pretvezo plačila carinskih stroškov.
Primer smishinga v imenu pošte, kjer naj bi podatke vpisali pod pretvezo, da gre za plačilo carinskih stroškov.

Prav tako se napadalci izdajajo za neko zaupanja vredno institucijo. Če niste prepričani, ali je sporočilo resnično, preverite prek uradne telefonske številke te institucije ali podjetja (npr. banke ali pošte). Nikoli pa ne odgovarjajte direktno na sporočilo in ne kličite na številko iz prejetega sporočila, saj se za njo skriva napadalec, ali pa je celo povsem ponarejena.


Nenazadnje pa ne pozabite, da zaupanja vredne institucije (banke, pošta, spletni oglasnik, Finančna uprava, ministrstva …) nikoli ne pošiljajo sporočil, v katerih bi uporabnike pozvali, da kliknejo na povezavo in vnesejo svoje podatke. Vedno, ko prejmete tako sporočilo, ga lahko mirno ignorirate (predno ga izbrišete, lahko besedilo sporočila ali zaslonski posnetek pošljete na naš naslov za prijavo incidentov cert@cert.si, kjer bomo poskrbeli, da se lažna stran čimprej blokira). V svojo spletno in mobilno banko pa vstopajte izključno prek uradne aplikacije oz. spletne strani banke, in nikoli prek povezav v sporočilih.

Primeri prevar

Primer prevare

Phishing – lažna sporočila za krajo podatkov

Tako imenujemo krajo podatkov, ki storilcu omogočijo dostop do spletnih storitev v vašem imenu in v skrajnem primeru tudi krajo vašega denarja.

Kako prevara poteka
Nasvet

OPOZORILO O LAŽNIH SPLETNIH TRGOVINAH IN PHISHING ZLORABAH KREDITNIH KARTIC

Na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT v sklopu programa Varni na internetu opozarjamo na previdnost pri spletnem nakupovanju. Ameriški »nakupovalni praznik« črni petek se je dodobra prijel v …

Kako se zaščititi

Komentarji / 0

Pred objavo na portalu bo vaš komentar odobren s strani uredništva.
Preberite pravila komentiranja na portalu.
Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.