Útoky prostřednictvím škodlivých textových zpráv představují hrozbu, která může vést jednotlivce i firmy ke značným finančním a datovým ztrátám.
Kybernetičtí útočníci se spoléhají na lidskou důvěřivost a tendenci věřit textovým zprávám. Využívají strach nebo naopak pozitivní emoce, aby s lidmi manipulovali a získali přístup k citlivým údajům během okamžiku, často bez povšimnutí oběti.
Představte si, že si procházíte zprávy a najednou narazíte na text, který vám oznamuje výhru hlavní ceny. Zní to sice lákavě, ale zároveň podezřele.
Je lákavé kliknout na odkaz v této zprávě. Nicméně, jakmile to uděláte, můžete s hrůzou zjistit, že váš bankovní účet je prázdný nebo že vám byla ukradena identita. To vše kvůli zdánlivě neškodnému textu.
Vstupujete do světa smishingových útoků – narůstající hrozby, která dokáže zaskočit i ty nejostražitější jedince.
Alarmující je, že jen v prvních šesti měsících roku 2021 smishingové útoky zaznamenaly celosvětově
700% nárůst.
Proto je dnes více než kdy jindy naléhavé chránit se před těmito manipulačními technikami.
V tomto článku se podíváme hlouběji na to, co smishingové útoky obnáší, jaké jsou jejich druhy a jak se proti nim můžete efektivně bránit.
Začněme!
Co je to Smishing?
Smishing, odvozeno z „SMS phishing“, je kybernetická hrozba, která zneužívá vaši důvěru, vyvolává strach nebo naopak nadšení, a ohrožuje váš bankovní účet prostřednictvím podvodných textových zpráv, které se tváří jako legitimní. Ve skutečnosti tomu tak ale není.
Tyto zprávy manipulují s lidmi, aby klikali na škodlivé odkazy nebo sdíleli citlivé informace.
Cílem smishingových útoků je krádež osobních údajů, finančních prostředků, nebo dokonce identity za účelem podvodných aktivit.
Při tomto druhu kybernetického útoku oběť obdrží zprávu, ve které je informována o výhře nebo urgentní potřebě aktualizovat informace o účtu. Zpráva často obsahuje škodlivý odkaz. Text vyzývá k prokliknutí a provedení dalších kroků, například pro uplatnění výhry nebo provedení změn v účtu.
Buďte proto ostražití, toto jsou triky, které kyberzločinci používají k oklamání lidí a provedení útoků.
V letech 2021 a 2022 čelilo ohromujících
76 % organizací po celém světě nějakému smishingovému útoku, jak uvádí společnost Statista. Tato alarmující skutečnost podtrhuje rozšířenost této hrozby.
Ochrana začíná ostražitostí. Neklikejte na odkazy ani nesdílejte své osobní údaje, pokud si nejste jisti, že zpráva je pravá. Důkladně si zkontrolujte, kdo zprávu poslal, a dávejte pozor na chyby nebo podivné požadavky. Mějte na paměti, že legitimní společnosti, jako jsou banky, nebudou nikdy žádat vaše hesla nebo citlivé údaje prostřednictvím textových zpráv.
Zvýšené používání mobilních zařízení a Smishing: Je to důvod k obavám?
Vzhledem k tomu, že se mobilní telefony staly nepostradatelnou součástí života, zvýšila se i pravděpodobnost smishingových útoků. To je bezpochyby velmi znepokojivé pro jednotlivce i firmy.
S rostoucím používáním mobilních zařízení získali kyberzločinci snadný přístup k informacím a penězům. V roce 2021 bylo v USA odesláno přibližně
87,8 miliard nevyžádaných spamových textů. Tyto podvody způsobily lidem ztráty přesahující 10 miliard dolarů.
Telefony se staly nepostradatelnými nástroji pro bankovnictví i komunikaci s přáteli. Tato závislost však současně vystavuje lidi manipulativním strategiím, které kybernetičtí zločinci používají. Tito útočníci posílají přesvědčivé zprávy, které lidi nabádají k impulzivnímu jednání bez předchozího rozmyšlení.
Následky smishingu mohou být velmi vážné, od vyprázdnění bankovních účtů až po krádež dat a identity. Je proto nezbytné si uvědomit, že smishing není jen obtěžování, ale vážná hrozba pro vaši finanční bezpečnost a osobní soukromí.
Je pochopitelné, že nemůžete přestat používat telefon, protože je nezbytný v osobním i pracovním životě. Můžete ale být informovaní a opatrní. Pochopením rizik a zachováním ostražitosti se můžete účinně chránit před smishingovými útoky.
Typy smishingových útoků
Seznámení s různými typy smishingových útoků vám poskytne znalosti potřebné k rozpoznání a předcházení těmto škodlivým praktikám.
Pojďme se nyní podívat na jednotlivé typy smishingových útoků.
Phishing Smishing
Tato klasická forma smishingu se snaží nalákat oběti ke kliknutí na škodlivé odkazy, které je přesměrují na podvodné webové stránky. Tyto stránky vypadají identicky s legitimními stránkami, jako je například web vaší banky. Na těchto stránkách jste poté vyzváni k zadání vašich citlivých informací, které jsou následně útočníkem zneužity.
Vishing Smishing
Vishing smishing je personalizovanější přístup. Podvodníci zde kromě textových zpráv používají i hlasové hovory. Mohou zanechávat hlasové zprávy nebo posílat textové zprávy s varováním o ohrožených účtech nebo podvodné aktivitě a vyzvat vás k zavolání na určité číslo nebo kliknutí na odkaz. Jakmile tak učiníte, získají vaše osobní údaje.
Prize Smishing
Představa náhlé výhry může být pro každého lákavá. Kyberzločinci toho využívají zasíláním zpráv, které vám blahopřejí k výhře. Ve skutečnosti jste se ale žádné takové soutěže neúčastnili.
Při tomto typu smishingového útoku útočník vyžaduje vaše osobní údaje nebo „malý poplatek“ pro vyplacení výhry. Poté se už neozve a uteče s vašimi penězi i údaji.
Finanční Smishing
Tyto zprávy často napodobují oficiální finanční instituce a upozorňují na podezřelou aktivitu na vašem účtu vyžadující okamžitou pozornost. Ze strachu můžete kliknout na přiložený odkaz a nevědomky tím poskytnete útočníkovi přístup k vašemu účtu.
Urgentní akce Smishing
Tyto zprávy využívají pocit naléhavosti a upozorňují na situace vyžadující okamžitou reakci. Ať už jde o aktualizaci vašeho účtu, potvrzení nákupu nebo ověření transakce, cílem těchto zpráv je přimět vás k rychlému a neuváženému jednání.
App Smishing
Útočníci mohou zaslat textovou zprávu, která se tváří jako z oblíbeného obchodu s aplikacemi a vyzve vás ke stažení aktualizace nebo nové aplikace. Odkaz však vede na podvodnou stránku, která do vašeho zařízení stáhne škodlivý software.
Přátelství Smishing
Tato mimořádně lstivá technika zahrnuje kyberzločince, kteří se vydávají za přátele nebo rodinné příslušníky. Mohou vás požádat o finanční pomoc nebo citlivé informace, a zneužívají tak vaši důvěru.
Cestování Smishing
Podvodníci využívají touhu po cestování a zasílají textové zprávy o exkluzivních cestovních nabídkách nebo potvrzeních rezervací, které jste nikdy neplánovali. Kliknutí na odkazy může vést ke krádeži dat nebo instalaci malwaru.
Charita Smishing
Kyberzločinci se snaží využít vaši dobročinnost zasíláním zpráv od falešných charitativních organizací v době neštěstí nebo potřeby. Žádají o dary, které se ale nikdy nedostanou k těm, kdo je potřebují.
Bezpečnostní upozornění Smishing
Tyto zprávy využívají obavy z narušení bezpečnosti a tvrdí, že byl váš účet kompromitován. Vybízejí vás k okamžitému jednání nebo sdílení citlivých údajů, jako jsou jednorázová hesla, s útočníky. A pokud tak učiníte, vyprázdní vaše bankovní účty nebo získají neoprávněný přístup a provedou rozsáhlý útok.
Reálné příklady smishingových útoků a jejich důsledky
Pojďme se podívat na reálné příklady těchto útoků a jejich děsivé důsledky.
#1. „Kompromitace bankovního účtu“
Představte si, že vám přijde textová zpráva z čísla, které vypadá jako od vaší banky, a informuje vás o neoprávněné aktivitě na vašem účtu. Zpráva vás naléhavě žádá, abyste klikli na odkaz a ověřili své údaje.
Nic netušící oběť klikne na odkaz a zadá své osobní údaje. Útočníci tak získají přístup k bankovním účtům oběti. Výsledkem bývá vyprázdněný bankovní účet a finanční otřes.
Případ: Smishingový útok na Deakin University je významný incident na australské Deakin University, který ohrozil identitu a data téměř 47 000 současných i minulých studentů. K narušení došlo poté, co byly kompromitovány přihlašovací údaje jednoho zaměstnance, což umožnilo neoprávněné osobě přístup k hromadnému odesílání textových zpráv, které univerzita používala ke komunikaci se studenty.
#2. Podvod s „dárkovou kartou zdarma“
Oběti obdrží zprávy, že vyhrály dárkovou kartu nebo cenu. Jediné, co musí udělat, je poskytnout své osobní údaje nebo zaplatit malý poplatek za doručení ceny nebo dárkové karty. Jakmile oběť poskytne informace nebo zaplatí poplatek, útočník zmizí, oběť je podvedena a osobní údaje jsou kompromitovány.
Případ: Předstírání identity vládní agentury je reálný příklad podvodu s dárkovou kartou. Lidé obdrželi telefonáty od podvodníků, kteří tvrdili, že jsou z vládní agentury, jako je například správa sociálního zabezpečení.
Tento podvod zaznamenal výrazný nárůst v roce 2021, přičemž téměř 40 000 spotřebitelů hlásilo ztrátu 148 milionů dolarů za prvních devět měsíců roku, jak uvedla Federální obchodní komise (FTC). Střední částka ztracená kvůli takovým podvodům se v roce 2018 pohybovala kolem 700 USD, v roce 2021 se zvýšila na 1 000 USD. Bylo zjištěno, že starší lidé, zejména ve věku 50 a více let, jsou k těmto podvodům náchylnější.
#3. Trik s „falešnou aktualizací aplikace“
Může se stát, že obdržíte textovou zprávu s výzvou k okamžité aktualizaci vaší oblíbené aplikace. Pokud se tak stane, buďte ostražití.
Odkaz v textové zprávě vede k falešné aplikaci infikované malwarem. Po instalaci této škodlivé aplikace mohou být odcizeny vaše osobní údaje včetně údajů o bankovním účtu. Kromě toho může být napadeno vaše zařízení a hackeři jej mohou ovládat. V důsledku toho může být vaše zařízení kompromitováno a vaše data odcizena.
Případ: Zpráva ZDNet
Android Trojan Malware Attack informovala o objevu malwaru maskovaného jako aktualizace systému. Uživatelům přišla zpráva s výzvou k aktualizaci systému. Po stažení a instalaci se však „aktualizace“ chovala jako trojan pro vzdálený přístup, který útočníkům umožnil plnou kontrolu nad zařízením oběti.
To jim umožnilo zachytit širokou škálu dat včetně zpráv, fotografií a dokonce i GPS dat. Malware byl velmi sofistikovaný a dokázal i zaznamenávat telefonní hovory, což z něj činilo jeden z nejinvazivnějších druhů malwaru pro Android.
#4. Hrozba „IRS“
Lidé obdrželi zprávu od Internal Revenue Service (IRS), která trvala na okamžité platbě dlužných daní nebo varovala před právními následky. Ze strachu oběti sdílely své finanční údaje nebo provedly požadovanou platbu. Výsledkem byla finanční ztráta a odhalení identity.
Případ: V září 2022 úřad Internal Revenue Service (IRS) varoval před prudkým nárůstem
textových podvodů. Podvodné textové zprávy často nalákaly oběti na falešná tvrzení o úlevách COVID, daňových úlevách nebo pomoci s vytvářením online účtu IRS.
Jeden incident se týkal daňového poplatníka, který obdržel zprávu s tvrzením, že dluží daně a musí kliknout na poskytnutý odkaz, aby se se svými poplatky vypořádal. Po kliknutí byli přesměrováni na phishingovou stránku, která se pokusila získat jejich osobní a bankovní údaje.
#5. Podvod s „potvrzením cesty“
Oběti obdrží textovou zprávu, která se tváří jako potvrzení cesty, kterou si ale nikdy nerezervovaly. Zvědavé oběti kliknou na odkaz a tím si nevědomky do svého zařízení stáhnou malware.
Malware může krást osobní údaje, přihlašovací údaje a dokonce zaznamenávat stisky kláves. To naruší soukromí a může způsobit potenciální finanční ztráty.
Případ: Mevonnie Fergusonová, obyvatelka Kentu ve Spojeném království, se stala obětí
podvodu s rezervací letenek. Byla podvedena falešným zástupcem cestovní agentury Infinity Global Travel. Byl jí prodán zdánlivě legitimní let British Airways z Londýna do Kingstonu na Jamajce.
Po ověření rezervace na webových stránkách BA pomocí potvrzovacího čísla se zdálo, že je v pořádku. Asi dva týdny po zakoupení a jen pár dní před odletem však rezervace z webu BA zmizela. Po kontaktu s leteckou společností zjistila, že na její jméno není rezervován žádný let. Podvodník využil rozdílu mezi „potvrzenou“ a „rezervovanou“ rezervací a vytvořil tak zdání platné rezervace, ačkoli se jednalo pouze o dočasnou blokaci.
#6. „Romantický podvod“
Zdroj: Crystalblockchain
V některých případech si kyberzločinci vytvářejí s oběťmi emocionální pouto prostřednictvím textových zpráv a předstírají romantický zájem. Jakmile získají důvěru, vmanipulují oběti k sdílení osobních a finančních informací. To může způsobit emocionální bolest, zradu a finanční zkázu.
Případ: Kyberzločinec se vydával za generála Paula Nakasoneho, ředitele Národní bezpečnostní agentury a šéfa amerického kybernetického velitelství, ve snaze nalákat ženy do
romantického podvodu. Podvodník inicioval falešnou e-mailovou komunikaci se ženami na platformách sociálních médií a používal identitu generála. V jednom případě podvodník tvrdil, že je umístěn v Sýrii, a posílal ženě náboženská poselství a vyzýval ji ke komunikaci prostřednictvím Google Hangouts.
Preventivní opatření proti smishingovým útokům
Následky smishingových útoků jsou více než jen finanční – mohou narušit důvěru, ohrozit soukromí a zanechat emocionální šrámy.
Podívejme se na několik účinných způsobů, jak smishingovým útokům předcházet.
#1. Povědomí a školení
V dnešním propojeném digitálním prostředí je nutné, aby organizace vybavily své zaměstnance znalostmi potřebnými k ochraně citlivých informací.
Podle zprávy společnosti ID Agent čelí firmy
průměrným nákladům 15 000 dolarů v důsledku smishingových útoků. Tento finanční dopad podtrhuje naléhavou potřebu vzdělávat zaměstnance.
Pro zvýšení obrany proti kybernetickým hrozbám je nutné upřednostnit důkladné školení o smishingu a zvýšení povědomí v celé organizaci. Všem to pomůže připravit se na tyto útoky a inteligentně na ně reagovat.
Pravidelné workshopy poskytující informace o smishingových útocích navíc umožní vašim zaměstnancům rozpoznat rozdíl mezi legitimní zprávou a potenciálním podvodem. Vybavte své zaměstnance schopností identifikovat podezřelé odkazy, naléhavé požadavky nebo neočekávané žádosti a z vašich zaměstnanců se tak stane účinná obrana proti těmto škodlivým pokusům.
#2. Ověření identity odesílatele
Ostražitost je vaší první obrannou linií ve světě, kde se podvodné zprávy mohou snadno dostat do vaší schránky. Pokud obdržíte textovou zprávu s výzvou k okamžité reakci nebo žádostí o důvěrná data, věnujte chvíli ověření totožnosti odesílatele.
Důkladně si zkontrolujte telefonní číslo nebo e-mailovou adresu odesílatele a ujistěte se, že odpovídají oficiálním kontaktním údajům dané instituce. Legitimní subjekty se nebudou uchýlit k vyžadování citlivých údajů prostřednictvím textových zpráv.
Ověřením identity odesílatele výrazně snížíte pravděpodobnost, že se stanete terčem smishingových útoků.
#3. Buďte opatrní s textovými zprávami
Rozšíření opatrného přístupu z e-mailů i na textové zprávy je nezbytné pro ochranu vašich digitálních aktiv. Kyberzločinci často využívají pohodlí a důvěrnost textových zpráv k manipulaci s jejich oběťmi.
Ke každé textové zprávě přistupujte s opatrností, stejně jako k e-mailům od neznámých lidí. Vyhněte se okamžitému klikání na odkazy nebo stahování obsahu, pokud odesílatele neznáte. Důkladně si prohlédněte zprávy a zjistěte, zda neznějí zvláštně nebo zda nepožadují něco neočekávaného.
#4. Zabezpečení mobilních zařízení
V tomto digitálním věku, kdy naše mobilní zařízení obsahují velké množství osobních a důvěrných informací, je velmi důležité upřednostnit jejich zabezpečení.
Osvědčeným opatřením v boji proti smishingovým útokům je implementace pokročilých bezpečnostních funkcí, jako jsou biometrické zámky využívající otisky prstů, rozpoznávání obličeje apod. Tím přidáte další vrstvu ochrany a zvýšíte celkovou ochranu dat.
Pro optimální zabezpečení je také důležité, aby vaše zařízení mělo aktuální bezpečnostní záplaty a aktualizace. Pravidelnou aktualizací svých mobilních zařízení vytvoříte silnou obranu proti potenciálním kybernetickým hrozbám. Toto proaktivní opatření vás ochrání před slabými místy, které mohou zneužít lidé se zlými úmysly. Investujte také do bezpečnostních nástrojů, abyste vytvořili silnou bariéru proti nebezpečným hrozbám.
#5. Využití vícefaktorového ověřování
Pro zvýšení zabezpečení vašich digitálních dat je účinnou strategií implementace vícefaktorového ověřování (MFA). Kromě zabezpečení na bázi hesel vyžaduje MFA další vrstvu ověření. Obvykle se jedná o kód zaslaný do jiného zařízení nebo skenování otisku prstu.
Díky tomuto složitému bezpečnostnímu systému zvýšíte obtížnost pro útočníky, kteří se pokoušejí napadnout vaše účty. Bude fungovat jako ochranný štít, který vás ochrání před podvodnými pokusy.
<h3 class=“wp-block-heading