SECURE&TIP: PODVODNÉ SMS A CHATY

This entry is also available in:

 

Co je to „Smishing“?

Poté, co jsme si v předchozích týdnech vysvětlili phishing a vishing, přejděme k poslední z technik sociálního inženýrství nebo přímých kybernetických útoků na lidi – ke smishingu.

Termín „Smishing“ vznikl spojením slov „SMS“ nebo „krátká zpráva“ a „Phishing„. Kyberzločinci proto k podvodu využívají služby rychlého zasílání zpráv, jako jsou SMS, ale také aplikace, jako jsou Whatsapp, Line, Telegram atd.

Tento podvod zahrnuje také používání chatovacích platforem, jako je Skype, Teams, Zoom nebo sociální sítě, tj. jakékoli médium, které umožňuje navázat kontakt s třetí stranou (známou či neznámou).

Většina zpráv tohoto typu požaduje:

    • Proveďte platbu týkající se například:
        • Balík nebo zásilka zadržená na celnici
        • Platba pokuty nebo daně
    • Kliknutím na odkaz odemknete bankovní účet, kartu nebo online profil.
    • Nebo si stáhněte náš obrázek/video. Mohou to být neškodné zprávy („tohle je velmi vtipné, to musíš vidět“ ) a jindy nám přímo vyhrožují zveřejněním našich snímků v kompromitujících situacích, abychom to skousli (i když se později ukáže, že to byla lež).

Jak se tomu můžeme vyhnout?

    • Znovu je zmíněno zlaté pravidlo: vždy buďte podezřívaví a „dvakrát si to ověřte„. Tedy kontaktování odesílatele jinými prostředky.
    • Dokud nezkontrolujete výše uvedené, nedělejte nic, co je po vás požadováno (neklikejte na odkazy, nestahujte soubory ani neprovádějte platby). I když vypadá jako zpráva od člena rodiny, přítele, kolegy, důvěryhodné osoby nebo jiného osobního či profesního kontaktu.
    • Pokud se zpráva týká sledování zásilky, zablokování účtu nebo karty nebo úředního oznámení od veřejného subjektu (pokuty, daně atd. ), ověřte si její pravdivost prostřednictvím aplikací, webových stránek nebo oficiálních kontaktních čísel. Například:
        • V případě kreditních karet existuje ještě jednodušší doporučení, a to zkusit s ní platit. Pokud je skutečně zablokován, nebude to možné.
        • V případě blokování přístupu k online profilům nebo účtům se zkuste přihlásit a zkontrolujte, zda to skutečně nefunguje.
        • A konečně v případě bankovních účtů a úředních oznámení od veřejných subjektů. Téměř vždy budeme informováni poštou, zejména v případě porušení předpisů, daní, nezaplacení apod.
    • Pokud se domníváte, že jste poskytli osobní nebo profesní informace, které jste neměli tímto způsobem zveřejnit, informujte o tom oddělení IT, CISO nebo DPO na pracovišti a v osobní sféře to nahlaste policejním orgánům.