Útoky zahrnují škodlivé textové zprávy, které vedou jednotlivce a podniky ke ztrátě peněz a dat.
Kybernetičtí útočníci využívají sklonu uživatelů důvěřovat textovým zprávám, používají strach nebo vzrušení k manipulaci s nimi a kompromitují data během mrknutí oka, aniž byste si to uvědomovali.
Představte si to – procházíte svými zprávami a najednou vám přijde textová zpráva, že jste vyhráli hlavní cenu. Zdá se to být příliš dobré na to, aby to byla pravda, a přitom podivně přesvědčivé.
Jste v pokušení kliknout na odkaz uvedený v tomto textu. Jakmile to uděláte, přijde šok, když zjistíte, že váš bankovní účet je vyčerpaný nebo vám byla ukradena identita, to vše ze zdánlivě neškodného textu.
Vítejte ve světě smishingových útoků – rostoucí hrozba zachycuje i ty nejdůvtipnější jedince nepřipravené.
Ve skutečnosti jen za prvních 6 měsíců roku 2021 byly útoky smishingu svědky srážení čelistí 700% nárůst celosvětově.
Naléhavost bránit se těmto manipulativním taktikám tedy nikdy nebyla naléhavější.
V tomto článku se hlouběji ponořím do toho, co jsou smishingové útoky, jejich typy a jak se před nimi můžete chránit.
Začněme!
Table of Contents
Co je Smishing?
Smishing, zkratka pro „SMS phishing“, je kybernetická hrozba, která využívá vaši důvěru, strach, vzrušení a bankovní účet prostřednictvím škodlivých textových zpráv, které se zdají být legitimní. Ale ve skutečnosti nejsou.
Tyto texty svádějí lidi, aby klikali na škodlivé odkazy nebo sdíleli důvěrné informace.
Cílem smishingových útoků je ukrást vaše osobní údaje, peníze nebo dokonce vaši identitu za podvodné aktivity.
Při tomto typu kybernetického útoku oběť obdrží textovou zprávu, že vyhrála nějakou cenu, nebo že možná bude muset urychleně aktualizovat informace o svém účtu. Může obsahovat škodlivý odkaz. Text vás vyzve, abyste klikli na tento odkaz a provedli další krok, jako je využití ceny nebo provedení změn ve vašem účtu.
Takže pozor, toto jsou triky, které kybernetičtí zločinci používají k oklamání lidí a provádění útoků.
V letech 2021 a 2022 ohromující 76 % organizací globálně čelil nějakému druhu smishingového útoku, jak uvádí Statista. Tato znepokojivá pravda podtrhuje rozšířenou povahu této hrozby.
Zůstat v bezpečí začíná opatrností. Neklikejte na odkazy ani neuvádějte své osobní údaje, pokud si nejste jisti, že je zpráva pravá. Podívejte se, kdo zprávu poslal, a dejte si pozor na chyby nebo podivné požadavky. Pamatujte si, že skutečné společnosti, jako jsou banky, nebudou žádat vaše hesla nebo citlivé údaje v textových zprávách.
Zvýšené používání mobilních zařízení a Smishing: Týká se to?
Vzhledem k tomu, že se mobilní zařízení stala nedílnou součástí života každého člověka, pravděpodobnost útoků smishingem je vyšší. To je nepochybně velmi důležité pro každého, ať už jste jednotlivec nebo firma.
S rostoucím používáním mobilních zařízení objevili kyberzločinci lukrativní příležitost, jak využít informace a peníze. V roce 2021 asi 87,8 miliardy nevyžádaných spamových textů byly zaslány na telefonní čísla pouze v USA. To způsobilo, že lidé přišli celkem o více než 10 miliard dolarů.
Dnes se telefony staly nezbytnými nástroji pro úkoly, jako je bankovnictví a socializace. Toto pokračující spoléhání však také vystavuje lidi manipulativním strategiím, které používají kyberzločinci. Tito útočníci posílají přesvědčivé zprávy, které lidi svádějí k impulzivním činům, aniž by o tom přemýšleli.
Následky smishingu mohou být šokující, což vede k vyčerpání bankovních účtů a odcizení dat a identit. To je důvod, proč je důležité pochopit, že smishing není jen nepříjemnost, ale také vážná hrozba pro vaši finanční bezpečnost a osobní soukromí.
Je pochopitelné, že nemůžete přestat používat svůj telefon, protože je nezbytný ve vašem osobním i pracovním životě. Ale můžete zůstat informovaní a opatrní. Pochopením rizik a zachováním ostražitosti se můžete chránit před klamnými spáry smishingových útoků.
Typy smishingových útoků
Vzdělání se o různých typech smishingových útoků vás vybaví znalostmi, abyste tyto škodlivé taktiky poznali a vyhnuli se jim.
Pojďme se tedy podívat na různé typy smishingových útoků.
Phishing Smishing
Tato tradiční forma smishingu vás láká klikat na škodlivé odkazy, které vás nasměrují na falešné webové stránky. Tyto stránky se mohou jevit jako identické s těmi legitimními, jako jsou stránky vaší banky. Zde budete vyzváni k zadání vašich citlivých údajů, které pak útočník zachytí a použije data k nasazení útoku.
Vishing Smishing
Jedná se o více personalizovaný přístup. Podvodníci používají vedle textových zpráv také hlasové hovory. Mohou zanechat hlasové zprávy nebo posílat SMS s upozorněním na ohrožené účty nebo podvodné aktivity a požádat vás, abyste zavolali na číslo nebo klikli na odkaz. Jakmile to uděláte, získají z vás osobní údaje.
Prize Smishing
Myšlenka, že najednou něco vyhrajete, může každého vzrušit. Kyberzločinci toho využívají tím, že posílají zprávy, jako je blahopřání k výhře ceny. Ale ve skutečnosti jste se žádné takové soutěže nezúčastnili.
Při tomto typu smishingového útoku vás útočník požádá o vaše osobní údaje nebo o „malý poplatek“, aby mohl získat výhru. Dále nejsou nikde k nalezení, protože nakonec utečou s vašimi penězi a daty.
Finanční Smishing
Tyto zprávy často napodobují legitimní finanční instituce a poukazují na podezřelé aktivity na vašem účtu, které vyžadují vaši okamžitou pozornost. V obavě z toho můžete kliknout na uvedený odkaz a nevědomky poskytnout přístup ke svému účtu.
Urgentní akce Smishing
Tyto zprávy využívající pocit naléhavosti varují před časově citlivou situací, která vyžaduje okamžitou akci. Ať už aktualizujete svůj účet, potvrzujete nákup nebo ověřujete transakci, cílem těchto zpráv je přimět vás jednat rychle a bez přemýšlení.
App Smishing
Útočníci vám mohou poslat text, který tvrdí, že pochází z oblíbeného obchodu s aplikacemi, a vyzvat vás ke stažení aktualizace nebo nové aplikace. Odkaz však vede na falešnou stránku, která stahuje malware do vašeho zařízení.
Přátelství Smishing
Tato obzvláště klamavá technika zahrnuje kyberzločince, kteří se vydávají za přátele nebo členy rodiny. Mohou vás požádat o finanční pomoc nebo citlivé informace a zneužít vaši důvěru ve vaše vztahy.
Cestování Smishing
Podvodníci využívající touhu po toulkách mohou posílat texty o exkluzivních cestovních nabídkách nebo potvrzeních rezervací na cesty, které jste nikdy neplánovali. Kliknutí na odkazy může vést ke krádeži dat nebo instalaci malwaru.
Charita Smishing
Kyberzločinci se živí vaší dobrou vůlí odesíláním zpráv od falešných charitativních organizací během katastrofy nebo potřeby. Žádají o dary, ale peníze se nikdy nedostanou k potřebným.
Bezpečnostní upozornění Smishing
Tyto zprávy využívají obavy z narušení bezpečnosti a uvádějí, že váš účet byl kompromitován. Vyzývají vás k okamžitému jednání nebo sdílení citlivých informací, jako jsou jednorázová hesla, s útočníky. A když to uděláte, vyprázdní vaše bankovní účty nebo získají neoprávněný přístup, aby provedli plnohodnotný útok.
Reálné příklady smishingových útoků a jejich důsledky
Pojďme se ponořit do skutečných příkladů těchto útoků a jejich děsivých důsledků.
#1. „Kompromis bankovního účtu“
Představte si, že vám přijde textová zpráva z čísla, které vypadá jako vaše banka, která vás informuje o neoprávněné aktivitě na vašem účtu. Zpráva naléhavě žádá, abyste klikli na odkaz a ověřili své údaje.
Nic netušící oběť klikne na tento odkaz a zadá své osobní údaje. Útočníci brzy získají přístup ke svým bankovním účtům. Výsledek byl – vyprázdněný bankovní účet a finanční otřesy.
Pouzdro: Deakin University Smishing Attack je významný incident na australské Deakin University, který ohrožuje identitu a data téměř 47 000 současných i minulých studentů. K porušení došlo poté, co byly prozrazeny přihlašovací údaje jednoho zaměstnance, což umožnilo neoprávněnému jednotlivci přistupovat ke službě hromadného zasílání SMS zpráv, kterou univerzita používá ke komunikaci se studenty.
#2. Podvod s „dárkovou kartou zdarma“.
Oběti dostávají zprávy, že vyhrály dárkovou kartu nebo cenu. Jediné, co musí udělat, je poskytnout své osobní údaje nebo zaplatit malý poplatek za dopravu, aby obdrželi cenu nebo dárkovou kartu. Jakmile jim příjemce poskytne informace nebo zaplatí poplatek, útočník zmizí, podvede oběť a kompromituje osobní údaje.
Pouzdro: Předstírání identity vládní agentury je skutečným příkladem podvodu s dárkovou kartou. Jednotlivci obdrželi telefonáty od podvodníků, kteří tvrdili, že pocházejí z vládní agentury, jako je správa sociálního zabezpečení.
Tento podvod zaznamenal významný nárůst v roce 2021, přičemž téměř 40 000 spotřebitelů vykázalo ztrátu 148 milionů dolarů za prvních devět měsíců roku podle Federální obchodní komise (FTC). Střední částka ztracená kvůli takovým podvodům v roce 2018 byla 700 USD, která se v roce 2021 zvýšila na 1 000 USD. Bylo zjištěno, že starší jedinci, zejména ti ve věku 50 a více let, jsou k těmto podvodům náchylnější.
#3. Trik „Falešná aktualizace aplikace“.
Můžete obdržet textovou zprávu s výzvou k okamžité aktualizaci oblíbené aplikace. Pokud k tomu dojde, buďte opatrní.
Odkaz uvedený v textu vede k falešné aplikaci infikované malwarem. Pokud si nainstalujete tuto škodlivou aplikaci, vaše osobní údaje, včetně bankovních údajů, mohou být odcizeny. Kromě toho může být vaše zařízení ohroženo, což hackerům umožní jej ovládat. V důsledku toho může být vaše zařízení kompromitováno a vaše data mohou být odcizena.
Případ: Ve zprávě ZDNet, Android Trojan Malware Attack bylo objeveno, že se jedná o aktualizaci systému. Uživatelé obdrželi zprávu s výzvou, aby aktualizovali svůj systém. Po stažení a instalaci této „aktualizace“ se však choval jako trojan pro vzdálený přístup, který útočníkům poskytoval plnou kontrolu nad zařízením oběti.
To jim umožnilo zachytit širokou škálu dat, včetně zpráv, fotografií a dokonce i GPS dat. Malware byl sofistikovaný a dokázal dokonce zaznamenávat telefonní hovory, což z něj činí jeden z nejinvazivnějších kmenů malwaru pro Android.
#4. Hrozba „IRS“.
Lidé obdrželi zprávu od Internal Revenue Service (IRS), která trvá na okamžité platbě za dlužné daně nebo varování před právními důsledky. V obavě z toho oběti vyhověly tím, že sdílely své finanční informace nebo provedly požadovanou platbu. Výsledkem je finanční ztráta a odhalení identity.
Případ: V září 2022 úřad Internal Revenue Service (IRS) varoval před prudkým nárůstem Textové podvody IRS. Podvodné texty často lákaly oběti na tvrzení o falešné úlevě na COVID, daňové úlevy nebo pomoc při zřizování online účtu IRS.
Jeden pozoruhodný incident se týkal daňového poplatníka, který obdržel zprávu s tvrzením, že dluží zpět daně a musel kliknout na poskytnutý odkaz, aby si vyčistil své poplatky. Po kliknutí byli přesměrováni na phishingovou stránku, která se pokusila získat jejich osobní a bankovní údaje.
#5. Podvod „Potvrzení cesty“.
Oběti dostaly textovou zprávu, která tvrdí, že jde o cestovní potvrzení pro cestu, kterou si nerezervovaly. Jsou zvědaví, kliknutím na odkaz zruší rezervaci a nevědomky si do svého zařízení stahují malware.
Malware může krást osobní údaje, přihlašovací údaje a dokonce zaznamenávat stisknuté klávesy. To narušilo soukromí a způsobilo potenciální finanční ztráty.
Případ: Mevonnie Fergusonová, obyvatelka Kentu ve Spojeném království, je údajně obětí Skutečný podvod s rezervacemi letů. Byla podvedena podvodníkem, který tvrdil, že zastupuje cestovní kancelář s názvem Infinity Global Travel. Bylo jí prodáno něco, co vypadalo jako legitimní letenka British Airways z Londýna do Kingstonu na Jamajce.
Po kontrole rezervace na webu BA pomocí potvrzovacího čísla se zdála platná. Asi dva týdny po nákupu a jen několik dní před jejím odjezdem však rezervace z webu BA zmizela. Když kontaktovala leteckou společnost, zjistila, že na její jméno není rezervován žádný let. Podvodník využil rozdílu mezi „potvrzenou“ a „zarezervovanou“ rezervací, takže se zdálo, že jde o platnou rezervaci, i když ve skutečnosti šlo jen o dočasné zadržení.
#6. „Romantický podvod“
Zdroj: Crystalblockchain
V některých scénářích si kyberzločinci budují emocionální spojení s oběťmi prostřednictvím textů a předstírají, že mají zájem o romantický vztah. Jakmile úspěšně nastolí důvěru, vmanipulují oběti ke sdílení osobních a finančních informací. To může způsobit zármutek, zradu a finanční krach.
Případ: Kyberzločinec se vydával za generála Paula Nakasona, ředitele Národní bezpečnostní agentury a šéfa amerického kybernetického velitelství, ve snaze nalákat ženy do romantický podvod. Podvodník zahájil falešné e-mailové konverzace se ženami na platformách sociálních médií, přičemž použil identitu generála. V jednom případě podvodník tvrdil, že je umístěn v Sýrii, a zaplavil ženu náboženskými poselstvími a vyzval ji, aby komunikovala prostřednictvím Google Hangouts.
Preventivní opatření proti smishingovým útokům
Následky smishingových útoků jsou více než jen finanční – mohou narušit důvěru, ohrozit soukromí a zanechat oběti emocionálně zjizvené.
Pojďme se ponořit do několika účinných způsobů, jak zabránit útokům smishingu v první řadě.
#1. Povědomí a školení
V dnešním propojeném digitálním prostředí je nezbytné, aby vaše organizace vyzbrojila své pracovní síly znalostmi za účelem ochrany citlivých informací.
Podle zprávy od ID Agent, podniky čelí průměrná cena 15 000 $ ze smečařských útoků. Finanční dopad zdůrazňuje naléhavou potřebu vzdělávat svůj tým.
Chcete-li posílit svou obranu proti tajným kybernetickým hrozbám, upřednostněte komplexní školení o smishingu a šíření povědomí v celé organizaci. Všem to pomůže připravit se na tyto škodlivé útoky a inteligentně na ně reagovat.
Účast na pravidelných workshopech, které poskytují informace o smishingových útocích, navíc umožňuje vašim zaměstnancům rozlišovat mezi legitimními zprávami a potenciálními podvody. Tím, že je vybavíte schopností identifikovat podezřelé odkazy, naléhavé požadavky nebo neočekávané požadavky, se vaši zaměstnanci stanou zastrašující bariérou proti těmto zlomyslným pokusům.
#2. Ověření identity odesílatele
Cvičení bdělosti je vaší první obrannou linií ve světě, kde se podvodné zprávy mohou bez problémů začlenit do vaší doručené pošty. Když obdržíte textovou zprávu s výzvou k okamžité akci nebo žádostí o důvěrná data, věnujte chvíli kontrole přihlašovacích údajů odesílatele.
Znovu zkontrolujte číslo nebo e-mailovou adresu odesílatele a ujistěte se, že jsou v souladu s oficiálními kontaktními údaji údajné instituce. Legitimní subjekty se nebudou uchylovat k textovým zprávám za účelem získání citlivých informací.
Potvrzením identity odesílatele výrazně snížíte pravděpodobnost, že se stanete terčem smishingových útoků.
#3. Buďte opatrní s textovými zprávami
Rozšíření vašeho opatrného přístupu z e-mailů na textové zprávy je zásadní pro ochranu vašich digitálních aktiv. Kyberzločinci často využívají pohodlí a známosti textových zpráv k manipulaci se svými cíli.
Ke každé textové zprávě tedy přistupujte opatrně, stejně jako k e-mailům od lidí, které neznáte. Vyhněte se okamžitému kliknutí na odkazy nebo stahování obsahu, pokud vám odesílatel není znám. Podívejte se blíže na zprávy, abyste zjistili, zda neznějí divně nebo se neptají na věci nečekaně.
#4. Zabezpečení mobilních zařízení
V tomto digitálním věku, kdy naše mobilní zařízení obsahují velké množství osobních a důvěrných informací, je zásadní upřednostnit jejich zabezpečení.
Dobrým opatřením v boji proti smishingovým útokům je implementace pokročilých bezpečnostních funkcí, jako jsou biometrické zámky, které využívají otisky prstů, rozpoznávání obličeje atd. Ty přidávají další vrstvu obrany a zvyšují celkovou ochranu dat.
Pro zajištění optimálního zabezpečení je také zásadní mít aktuální informace o nejnovějších bezpečnostních záplatách a aktualizacích. Pravidelnou aktualizací svých mobilních zařízení vytváříte silnou obranu proti potenciálním kybernetickým hrozbám. Toto proaktivní opatření vás chrání před zranitelnostmi, které mohou zneužít jednotlivci se zlými úmysly. Investujte také do bezpečnostních zařízení, abyste vytvořili silnou bariéru proti nebezpečným hrozbám.
#5. Využijte vícefaktorovou autentizaci
K posílení vašich digitálních dat je výkonnou strategií implementace vícefaktorové autentizace (MFA). Kromě zabezpečení na základě hesla vyžaduje MFA další vrstvu ověřování. To obvykle zahrnuje kód odeslaný do jiného zařízení nebo skenování otisků prstů.
Začleněním tohoto složitého bezpečnostního rámce můžete zvýšit složitost potenciálních útočníků pokoušejících se prolomit vaše účty. Bude fungovat jako ochranný štít, který vás ochrání před podvodnými pokusy.
#6. Používejte silná hesla
Váš telefon, počítače a další zařízení obsahují mnoho vašich soukromých informací. Snadný, ale účinný způsob, jak udržet data v bezpečí, je použití silného hesla pro každé zařízení.
Vytvořte silné heslo, které kombinuje písmena, čísla, symboly a velká a malá písmena. Díky tomu je pro hackery těžší uhodnout vaše heslo. To pomáhá odvrátit potenciální útočníky a posílí vaši celkovou digitální bezpečnost.
#7. Nahlaste Smishingové útoky
Jako informovaného a odpovědného jednotlivce je vaše role v boji proti kyberzločincům klíčová. Nahlášením incidentů příslušným orgánům přispíváte k pomoci policii a dalším osobám při dopadení zločinců odpovědných za tyto útoky.
Kromě toho je zásadní, abyste o těchto incidentech informovali své přátele, rodinu a kolegy. Společné jednání nám umožňuje zabránit šíření škodlivých zpráv a zajistit větší bezpečnost pro každého.
#8. Používejte šifrované aplikace pro zasílání zpráv
Pokud potřebujete sdílet citlivé informace, je použití šifrovaných aplikací pro zasílání zpráv moudrým rozhodnutím. Tyto aplikace využívají pokročilé techniky k transformaci vašich zpráv do šifrovaného jazyka, kterému rozumí pouze zamýšlený příjemce. To chrání vaše zprávy.
Ať už mluvíte o peněžní transakci nebo o svých osobních údajích, šifrované aplikace pro zasílání zpráv přidávají další úroveň soukromí. Umožní pouze správné osobě odemknout a přečíst zprávu. Také když řeknete svým přátelům a rodině, aby používali tyto aplikace, pomůžete všem zůstat v bezpečí při online hovoru.
Závěrečná slova
Podvodníci používají textové zprávy jako prostředek ke klamání jednotlivců, aby vyzradili osobní údaje nebo klikli na nebezpečné odkazy. To je důvod, proč je dnes velmi důležité zůstat ostražití před smishingovými útoky.
Chcete-li vytvořit silnou obranu, trénujte svůj tým, ověřte podrobnosti o odesílateli, buďte opatrní při psaní textových zpráv, zabezpečte svá zařízení a implementujte přísná bezpečnostní opatření, jako je vícefaktorové ověřování a robustní hesla.
Kromě toho ohlašujte podezřelé texty a používejte šifrované aplikace pro zasílání zpráv pro zvýšení zabezpečení. Vaše úsilí může významně změnit, protože přispějete k bezpečnějšímu digitálnímu světu pro všechny.
Dále se podívejte na běžné podvody WhatsApp a jak se na ně připravit.