Strokovnjaki za kibernetsko varnost opozarjajo na nevarnost lažnih esemesov
Začela se je jesensko-zimska nakupovalna mrzlica: pred nami so črni petek, kiber ponedeljek, sezonske akcije in božično-novoletni popusti. Številni spletni trgovci že ponujajo mamljive popuste, vendar lahko med njimi kaj hitro naletimo na spletne goljufe. Nacionalni odzivni center za kibernetsko varnost SI-CERT že dlje opozarja na številne lažne spletne trgovine, ki zavajajo z imenom Slovenija ali Ljubljana v naslovu spletne strani. Podoben val lažnih trgovin so zaznali že jeseni lani, letos pa omenjajo nov pojav, in sicer SMS-sporočila, ki pod pretvezo dostave želijo priti do podatkov naših kreditnih kartic (t. i. smishing).
Letos naj bi bilo 3-krat več primerov smishinga oziroma poskusov prevar prek esemesov kot lani.
Pazite na lažna sporočila
V naslednjih tednih lahko spletni kupci pričakujemo številna SMS-sporočila, v katerih nas bodo dostavne službe obveščale, da nam bodo dostavile naročeno blago. Predpraznično nakupovalno sezono pa poskušajo izkoristiti tudi napadalci, ki zlorabljajo imena legitimnih dostavnih podjetij (Pošta Slovenije, DHL, DPD, UPS, GLS …) in pošiljajo lažna sporočila, da nas čaka paket, a da ga ne morejo dostaviti, češ da nimajo pravega naslova, da nas ni bilo doma, da je treba plačati še nekaj evrov za poštnino, ponovno dostavo ali carino ipd.
Če uporabniki sledijo navodilom iz sporočila in kliknejo na ponujeno povezavo, jih ta odpelje na spletno stran, ki kopira podobo dostavnih podjetij brez njihove vednosti. Lažna spletna stran, ki zna biti zelo dobro izdelana, zahteva vpis podatkov kreditne kartice, v drugem koraku pa tudi enkratne kode iz SMS-sporočila, ki ga žrtev prejme od banke. Vpisani podatki se prenesejo napadalcem, ti pa lahko z njimi žrtvi izpraznijo bančni račun.
Porast smishinga
Vajeni smo že, da moramo paziti na sumljiva elektronska sporočila, saj so kiber kriminalci doslej najraje poskušali priti do naših podatkov prek spletne pošte. To so t. i. phishing napadi oziroma ribarjenje za podatki prek elektronske pošte. Na odzivnem centru SI-CERT pa v zadnjem letu opažajo velik skok v številu napadov prek SMS-sporočil in aplikacij za takojšnje sporočanje (viber, whatsapp itd.). Nevarnost, ki so jo poimenovali smishing, se seli na pametne telefone v obliki sporočil, ki pod pretvezo »preverjanja podatkov« ali »potrjevanja transakcij« želijo od nas izvabiti podatke za dostop do elektronske banke in podatke kreditne kartice. Po projekcijah SI-CERT naj bi bilo letos kar trikrat več primerov smishinga kakor lani.
Smishing napadi prek SMS-sporočil so lahko nevarnejši od napadov prek elektronske pošte, saj jih pred slednjimi ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil, pri SMS- in drugih zasebnih sporočilih pa takšne zaščite (praviloma) ni. Praktično nemogoče je preveriti pošiljatelja SMS-sporočila, hkrati pa je precej enostavno potvoriti telefonske številke, da so videti, kakor da so slovenske, ali pa kot pošiljatelja navesti ime dostavne službe. V samem SMS-sporočilu je tudi težje preveriti, kam pelje povezava, kot lahko to storimo na računalniku. Na vse to računajo spletni goljufi.
Prevaranti poskušajo pridobiti podatke za dostop do elektronske banke in podatke kreditne kartice.
Kaj storiti
Spletni uporabniki lahko v prihajajočih tednih upravičeno pričakujemo več lažnih obvestil o dostavi paketov. Pri SI-CERT dodajajo, da dostavna podjetja nikoli ne zahtevajo naših finančnih podatkov. V SMS-sporočilih, namenjenih obveščanju o dostavi paketa, logistična podjetja nikoli ne bodo preusmerjala na spletno stran, kjer naj bi vnesli podatke kreditne kartice. Največ, kar nam omogočajo, je sprememba načina dostave paketa, pa tudi tam nikoli ne bodo zahtevala naših finančnih podatkov, ampak le številko naročila oziroma kodo za sledenje pošiljki.
Resnična dostavna podjetja nikoli ne zahtevajo naših finančnih podatkov.
Če torej prejmemo SMS-sporočilo, ki nas preusmerja na sumljivo spletno stran, ga preprosto ignoriramo oziroma izbrišemo, lahko pa pošljemo posnetek zaslona oziroma sliko sporočila na naslov cert@cert.si. Uporabniki, ki pa so že kliknili na povezavo in vnesli podatke kreditne kartice, se morajo takoj obrniti na svojo banko, opozarjajo pri nacionalnem odzivnem centru za kibernetsko varnost SI-CERT.