Varni na internetu: Pričel se je evropski mesec kibervarnosti, letos v znamenju smishing prevar

Evropski mesec kibervarnosti v središče postavlja smishing prevare

Spletni napadalci ciljajo na naše telefone

 

Danes se po vsej Evropi pričenja kampanja evropski mesec kibervarnosti, katere namen je okrepiti odpornost sistemov in storitev EU, opolnomočiti državljane in narediti korak naprej k bolj kibernetsko varni in ozaveščeni družbi. Mednarodna pobuda bo tudi letos združila vse članice EU v aktivnostih ozaveščanja državljanov pod krovno temo socialnega inženiringa, ene najpogostejših tehnik spletnih napadalcev.

Letos v središču smishing napadi

Slovenija je s programom Varni na internetu, ki ga izvajajo na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT, del evropske iniciative že od samega začetka leta 2013. Letos bodo s programom Varni na internetu izpostavili problematiko smishing prevar (ribarjenje za podatki oz. zvabljanje na lažna spletna mesta). Dolgo časa je veljalo, da moramo spletni uporabniki biti pozorni zgolj na elektronsko pošto, kjer od nas terjajo vpis gesel. Vendar so v odzivnem centru SI-CERT lansko leto zabeležili velik skok v številu napadov prek SMS-sporočil in aplikacij za hipno sporočanje (npr. Viber, WhatsApp, Messenger). Obravnavali so kar 216 primerov tovrstnih smishing prevar, kar predstavlja skoraj 5-kratno povečanje v primerjavi z letom 2022.

Cilj tovrstnih napadov so finančni podatki, predvsem številke kreditnih kartic in avtentikacijski podatki za dostop do spletne ali mobilne banke. Slovenska policija je 2023 tako zabeležila za kar 3,5 milijona evrov škode zaradi phishing in smishing zlorab v elektronskem bančništvu.

 

Anatomija smishing napada

Kot izpostavljajo na SI-CERT, je cilj letošnje kampanje prikazati anatomijo smishing napada; ključne tehnike, kako nas napadalci prepričajo v razkritje podatkov, ki pa lahko vodi v visoko finančno oškodovanje. Kot pravijo: » Smishing prevara je učinkovita, ker največjo vlogo pri njej igra psihologija oz. manipulacija. Napadalci nas želijo z ustrahovanjem prepričati, da moramo ukrepati takoj. V nasprotnem grozijo z blokado, izbrisom, nezmožnostjo uporabe računa ali pa, da ne bodo dostavili paketa, povrnili dohodnine in podobno. Skratka, pri uporabnikih želijo vzbuditi občutek panike.«  

Lažno sporočilo za krajo podatkov vsebuje dve glavni sestavini:

  • grožnjo, da se bo nekaj hudega zgodilo, če takoj ne odgovorite (bančni račun bo zablokiran, paketa ne bo možno dostaviti, onemogočen bo dostop, nekdo drug bo pred vami kupil želeni izdelek ipd.)
  • spletno (URL) povezavo, na katero naj bi kliknili. Povezava usmeri na spletno stran, kjer je zahtevan vpis podatkov – največkrat gre za vnos kreditne kartice ali dostopnih podatkov za različne storitve.

Tovrstni napadi so za uporabnike še nevarnejši

Smishing napadi prek SMS in zasebnih sporočil so za uporabnike lahko nevarnejši od napadov prek elektronske pošte, saj pred slednjimi ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil. Pri SMS in drugih zasebnih sporočilih pa taka zaščita ne obstaja. Praktično nemogoče je preveriti pošiljatelja SMS-sporočila, obenem pa je zelo enostavno potvoriti telefonske številke, da izgledajo, kot da so slovenske. Napadalci lahko SMS-sporočilo pošljejo na način, da je kot pošiljatelj navedeno ime domnevnega pošiljatelja (npr. BANKA, POSTA, BOLHA ipd.) ali pa neka povsem poljubna številka. V samem SMS-sporočilu je težje preveriti, kam pelje povezava, kot to lahko storimo na računalniku. Nenazadnje je tudi način uporabe telefona veliko bolj oseben, pogosto ga uporabljamo v okolju, kjer si težje vzamemo trenutek miru, da natančno preverimo stran, kamor vnašamo podatke. Vse to so dejavniki, na katere tudi računajo spletni napadalci.

Širok nabor komunikacijskih kanalov

O smishing napadih bodo tekom oktobra državljane opozarjali prek TV oglasov na postajah z nacionalnim dosegom, oglasno kampanjo na družbenem omrežju Meta in Google iskalnem omrežju. Cilj kampanje je dvigniti zavedanje o najpogostejših spletnih prevarah, kjer je vektor napada pametni telefon in obenem opozoriti na temeljne mehanizme vplivanja, ki jih uporabljajo spletni napadalci – vzbujanje strahu in panike. Izbor kanalov je prilagojen doseganju ciljne javnosti, to so odrasli starejši spletni uporabniki, ki uporabljajo storitve mobilnega in spletnega bančništva ter nakupujejo prek spleta, uporabljajo elektronsko pošto ter družbena omrežja.

 

Si-Cert in Varni na internetu
Ljubljana, 1. oktober 2024