3. diel - Podvodné e-maily, SMS a telefonáty Nové

V predchádzajúcom článku, Nastavenie súkromia na sociálnych sieťach a podvodné profily , sme sa pozreli na nastavenie súkromia na sociálnych sieťach a na podvodné profily.

V tomto tutoriále sa zameriame na ďalšiu zásadnú tému z oblasti kybernetickej bezpečnosti: podvodné e-maily a SMS či telefonáty, ktoré sa nás snažia zmanipulovať alebo priamo pripraviť o peniaze, dáta či súkromie. Pozrieme sa bližšie na konkrétne podvodné taktiky, s ktorými sa môžeme stretnúť v našich e-mailových schránkach alebo na mobile.

Ako už vieme, útoky v digitálnom prostredí môžu mať mnoho podôb. Preto je pre nás kľúčové naučiť sa rozpoznávať varovné signály a zvoliť správne reakcie. Samotná technológia a antivírusové riešenia nám síce pomôžu, ale väčšina obrany proti podvodným praktikám stojí na našom správaní a kritickom myslení.

Podvodné e-maily (phishing)

E-mail je jedným z najčastejších kanálov, ktorý útočníci využívajú na to, aby sa nás pokúsili oklamať. Vyzerá to nevinne – v schránke sa objaví správa s lákavým predmetom alebo naopak s varovným oznámením, ktoré si žiada rýchlu reakciu. Môžeme si povedať: "Prečo by sme neverili odosielateľovi? Veď sa tvária ako banka alebo obľúbený obchod." A práve tu nastáva problém.

Tento typ podvodu sa označuje ako phishing (z anglického fishing – rybárčenie), pretože útočníci „nahadzujú návnadu“ v podobe falošnej správy a čakajú, až niekto „zaberie“ a dobrovoľne im poskytne svoje údaje. Cieľom phishingu je obvykle získať prihlasovacie informácie, čísla platobných kariet alebo iné citlivé osobné údaje.

Techniky podvodných e-mailov

Útočníci využívajú rôzne psychologické triky:

• Naliehavosť: "Okamžite reagujte, inak vám bude účet zablokovaný!"
• Zvedavosť alebo strach: "Pozrite sa, kto si vás pridal do zoznamu dlžníkov."
• Túžba po výhre: "Vyhrali ste nový mobilný telefón, stačí kliknúť na tento odkaz."

Veľakrát ide o sofistikované postupy, v ktorých zohráva úlohu aj náš stres alebo nedostatok času, takže nad e-mailom nepremýšľame a bez rozmyslu klikneme na odkaz.

Typické znaky podvodných e-mailov

Podvodné e-maily majú niekoľko opakujúcich sa rysov:

Podľa týchto znakov ich možno často ľahko rozpoznať:

• Falošný odosielateľ - Správa tvrdí, že je od banky, ale adresa odosielateľa končí inou doménou (napr. @bnka.com miesto @banka.cz).
• Podozrivé odkazy – V texte nájdeme odkaz, ktorý vyzerá ako odkaz na oficiálny web, ale v skutočnosti vedie inam (po nabehnutí myšou na link sa v ľavom spodnom rohu prehliadača ukáže podivná adresa).
• Zvláštne prílohy – Miesto očakávaného formátu (PDF, DOCX) ide napríklad o súbor s koncovkou .exe alebo .zip, ktorý obsahuje škodlivý softvér.
• Pravopisné chyby a neprirodzená slovenčina – Text môže byť nedbalo preložený alebo obsahuje gramatické chyby, ktoré v oficiálnych správach inštitúcií nebývajú.
• Všeobecné oslovenie - Podvodné e-maily často začínajú frázami ako: "Vážený zákazník" alebo "Dobrý deň", pretože podvodník nepozná naše celé meno. Dôveryhodné spoločnosti vás obvykle oslovujú v mene, pretože nás väčšinou kontaktujú v súvislosti s personalizovanou správou.

Príklad z praxe

Predstavme si, že ráno otvoríme svoju e-mailovú schránku a nájdeme tam správu od banky s predmetom: "Dôležité upozornenie: Váš účet bude zrušený !" V tele e-mailu nás vyzývajú, aby sme ihneď zadali prihlasovacie údaje na odkazovanej stránke, inak nám banka odoprie prístup k účtu. Navyše je text napísaný pomerne kostrbato: "My banka žiadame overenie, inak účet bude zrušený."

Pokiaľ nepremýšľame, ľahko sa necháme vydesiť – a než sa nádejeme, odosielame útočníkom naše heslo. Dôležité je preto zostať v pokoji, overiť si skutočnú adresu odosielateľa a hlavne neklikať na podozrivé odkazy:

Odkaz na obrázku vyššie vedie na falošnú prihlasovaciu stránku, ktorá len napodobňuje našu banku. Ak by sme tam zadali svoje údaje, útočníci by ich okamžite získali.

SMS a telefonáty

Mnoho ľudí si myslí, že najväčšie nebezpečenstvo číha v e-mailovej schránke, ale útočníci sa stále častejšie presúvajú aj k SMS správam a podvodným telefonátom. Mobilný telefón máme väčšinou neustále pri sebe, a tak je riziko podľahnutia naliehavej správe ešte vyššie.

Podvodné SMS (smishing)

Smishing využíva rovnaké triky ako phishingové e-maily, len namiesto schránky prichádzajú nebezpečné správy na mobil. Typické príklady vyzerajú takto:

• Falošná banková výstraha – Dostaneme SMS, že bol náš účet napadnutý a musíme sa ihneď prihlásiť na priloženom odkaze. Odkaz vedie na falošnú stránku, kde vyplníme citlivé údaje.
• Správa o výhre či balíčku - "Gratulujeme, vyhrali ste smartfón, stačí vyplniť formulár!" alebo "Vaša zásielka je na ceste, kliknite sem pre sledovanie." Po kliknutí môže dôjsť k inštalácii škodlivej aplikácie alebo k vylákaniu platobných údajov.

Na príklade nižšie vidíme správu, ktorá tvrdí, že nastal problém s doručením zásielky. Prikladá odkaz na "sledovanie balíka", ktorý ale v skutočnosti vedie na podvodnú stránku:

Tu sa podvodník vydáva za známy obchod a snaží sa nalákať na výhru. Cieľom je, aby sme klikli na odkaz a vyplnili osobné alebo platobné údaje:

Posledná podvodná správa sa tvári ako upozornenie z finančného úradu. Odkaz vedie na nebezpečnú stránku, kde by mohlo dôjsť k vylákaniu citlivých informácií:

Podvodné SMS sa nás snaží vydesiť alebo vyvolať pocit naliehavosti. Na odkazy v týchto správach radšej vôbec neklikajte a prihlasujme sa vždy len cez oficiálny web danej inštitúcie.

Podvodné telefonáty (vishing)

Útočníci nás môžu kontaktovať aj telefonicky a vydávať sa napríklad za pracovníkov banky, technickej podpory alebo dokonca za políciu. Typickým scenárom je tvrdenie, že na našom účte došlo k podozrivým transakciám, a preto od nás potrebujú prihlasovacie údaje, SMS kód alebo číslo platobnej karty. Počas hovoru na nás opäť vyvíjajú silný nátlak, aby nás prinútili konať čo najrýchlejšie, často pod zámienkou, že "niekto práve útočí na náš účet". Zároveň sa snaží vyvolať zmätok a stres, takže máme pocit, že sme v ohrození a musíme okamžite spolupracovať.

Reálny príklad podvodného hovoru

Predstavme si situáciu: Zvoní telefón a na displeji je neznáme číslo. Zdvihneme ho a hlas na druhej strane sa predstaví ako bankové bezpečnostné oddelenie. Tvrdia, že náš účet bol práve napadnutý a potrebujú, aby sme potvrdili niekoľko bezpečnostných otázok. Chcú od nás dátum narodenia, adresu a nakoniec aj číslo karty a CVV kód. Argumentujú tým, že "zablokujú falošnú transakciu" a všetko bude v poriadku. Presne takto ale banky nepostupujú - nikdy nechcú poznať celé číslo karty ani CVV kód po telefóne.

Posilňovanie bezpečnosti vďaka 2FA

Zásadné je pamätať si, že máme právo nerobiť nič unáhlene a že akúkoľvek situáciu môžeme vždy overiť. Banky ani úrady nikdy nepožadujú heslá, PINy alebo kompletné údaje z karty po telefóne či v e-maile. Pokiaľ si nie sme istí, radšej zavesme a zavolajme späť na oficiálne číslo uvedené na stránkach banky.

Nikdy tiež neklikajte na odkazy v podozrivých správach a nevyplňujme prihlasovacie údaje na stránkach, na ktoré sme sa dostali cez e-mailový odkaz.

Dôležitú úlohu v obrane proti phishingu hrá aj dvojfaktorová autentizácia (2FA). Aj keby sme sa nechali nachytať a nevedomky zadali svoje heslo na falošnej stránke, 2FA môže stále zabrániť útočníkovi v prístupe k nášmu účtu. Útočník by totiž musel získať aj náš telefón alebo bezpečnostný kľúč.

Kódy zasielané formou SMS však dnes odborníci odporúčajú skôr ako záložnú možnosť, pretože je možné ich zachytiť. Bezpečnejšie je preto používať autentifikačnú aplikáciu alebo hardvérový kľúč, ktoré vytvárajú kód priamo v zariadení a nie sú závislé na mobilnej sieti.

Phishing a dvojfaktorové overovanie v praxi

Aby sme si lepšie predstavili, ako môže vyzerať pokus o phishing a ako pomáha dvojité overovanie, uveďme si krátky príklad.

Predstavme si, že sa ráno prihlásime na svoj e-mail, ktorý používame v škole. V doručenej pošte nás zaujme správa s predmetom "Dôležité oznámenie k školskému účtu!". V texte sa píše, že musíme do 24 hodín obnoviť heslo, inak dôjde k zablokovaniu účtu. Správa obsahuje odkaz, ktorý na prvý pohľad pôsobí dôveryhodne, ale adresa je v skutočnosti iná – napríklad skola-portal.net namiesto skola-portal.cz.

Keby sme vyplnili svoje heslo a nemali zapnuté 2FA, útočník by sa okamžite dostal k nášmu účtu. Ak by sme však mali zapnutú dvojfaktorovú autentizáciu, narazil by na prekážku – jednorazový kód z aplikácie na našom telefóne, ku ktorému sa nedostane.

Postup pri zneužití údajov

Pokiaľ sme sa stali obeťou phishingu a zistíme, že sme už svoje údaje odoslali alebo klikli na škodlivý odkaz, je dôležité konať okamžite.

Najprv zmeňme heslá pri všetkých účtoch, kde sme mohli používať rovnakú alebo podobnú kombináciu prihlasovacích údajov. Tým zabránime útočníkovi v ďalšom zneužití našich prístupov.

V prípade, že sme omylom poskytli údaje k platobnej karte alebo vykonali platbu na základe podvodnej správy, je nutné ihneď kontaktovať banku, aby mohla zablokovať kartu a prípadne zastaviť podozrivé transakcie.

Pokiaľ došlo k strate väčšej čiastky alebo k zneužitiu našej identity, je vhodné vyhľadať odbornú pomoc – obrátiť sa na Políciu Slovenskej republiky a zároveň informovať správcu danej služby (napr. prevádzkovateľa e-mailu alebo sociálnej siete). Včasná reakcia môže výrazne obmedziť škody a pomôcť predísť ďalšiemu šíreniu útoku.

Phishingové útoky patria k najčastejším formám online podvodov, ale s trochou obozretnosti sa im dá ľahko vyhnúť. Stačí sa neponáhľať, overovať informácie z dôveryhodných zdrojov a nikdy nevypĺňať prihlasovacie údaje cez odkazy z e-mailu. Silné heslá, dvojfaktorové overovanie a pravidelná kontrola účtov nám poskytujú účinnú ochranu aj v prípadoch, keď sa útočník pokúsi oklamať našu pozornosť.

V ďalšej lekcii, Zálohovanie dát a bezpečné uchovávanie informácií , si popíšeme, ako zálohovať dáta a chrániť ich pred stratou či útokom.