Bolo to práve včera, keď som surfoval po internete a zrazu mi zablikala notifikácia na mojom smartfóne. Pozrel som sa teda o čo ide. Bola to SMS správa od “Slovenskej sporiteľne”, v ktorej sa písalo, že môj účet v banke je zablokovaný. V správe bol priložený aj odkaz vytvorený cez skracovač odkazov.
Najskôr som ostal trochu vydesený. V hlave sa mi vytvorili myšlienky, či sa náhodou nedostal niekto k môjmu bankovému účtu. Potom som si však všimol priložený odkaz v tejto podvodnej sms správe.
Odkaz bol totižto zámerné “skrátený”, pomocou služieb na skrátenie odkazov, ktorých funkciu a využitie som mimochodom spomenul aj ja v článku skracovače odkazov.
Bohužiaľ, tieto krátke odkazy sa častokrát používajú aj na nekalé praktiky. Neznalý používateľ sa ľahko môže nechať nachytať, obzvlášť keď sa jedná o jeho bankový účet s peniazmi, ktoré si ťažko zarobil.
Poďme sa teda pozrieť na to, ako nenaletieť takýmto pôvodným SMS správam aj v čase sviatkov.
Ako nenaletieť podvodným SMS správam
Ako som už v úvode článku spomínal, útočníci využívajú na svoje nekalé praktiky rôzne nástroje a jedným z takýchto nástrojov môžu byť aj skracovane odkazov.
Podvodná sms – znaky phishingu
Pozrime sa na ukážku podvodnej správy od banky Slovenskej sporiteľne. V tomto prípade útočník zneužil dobré meno Slovenskej sporiteľne, za ktorú sa v správe vydáva.
Takéto znaky podvodu spĺňa význam slova phishing.
Phishing je „pokus o podvodné získanie citlivých informácií používateľa, ako sú heslá, kreditné karty, prístup k bankovým kontám a pod. maskovaním sa za dôveryhodnú osobu alebo obchod, prípadne banku pri elektronickej komunikácii.
V tomto prípade útočník použil na phishing textové správy SMS.

Všimnite si jednu vec. Skutočná Slovenská sporiteľňa, píše pod názvom SLSP a.s. No podvodná SMS prišla s názvom “Slovenská sporiteľná”. Už toto je prvý signál, že niečo nie je v poriadku.
Ďalšou zvláštnosťou je použitie skracovača odkazov. Prečo by toto robila skutočná banka?
Vyskúšal som kliknúť na podvodný odkaz
Neskúseným používateľom neodporúčam na tento odkaz klikať. Pre zaujímavosť som to však urobil za vás. Pre zvýšenie bezpečnosti, odporúčam všetky takéto veci testovať v režime inkognito prehliadača.
Odkaz ma okamžite presmeroval na podvodnú stránku. Viď názorná video ukážka nižšie.
Všimnite si teraz adresu webovej stránky, na ktorej som sa ocitol po kliknutí na skrátený podvodný odkaz. Táto webová adresa v ukážke, určite nie je tým za čo s vydáva a teda rozhodne to nie je oficiálna stránka Slovenskej sporiteľne.
Detailnejší postup ako rozpoznať podvodné webové stránky, som rozpísal už v tomto návode, ktorý som písal pár týždňov dozadu.

Čo sa stalo po kliknutí na tlačidlo aktivovať
Po kliknutí na tlačidlo aktivovať, sa mi otvorila ďalšia podvodná stránka, na ktorej som sa mal prihlásiť do služby GEORGE. George je služba banky Slovenskej sporiteľne, ktorá slúži na Internet banking.
Je pochopiteľné, že útočník chce získať prihlasovacie údaje práve do tejto webovej služby. Opäť si však všimnite adresu webovej stránky, tohto podvodného internet bankingu.
V žiadnom prípade do takejto stránky nezadávajte svoje pravé prihlasovacie údaje. Útočník by totižto okamžite údaje získal a ľahko by sa potom dostal do vášho bankového účtu.

Zo zvedavosti som vyplnil nepravé údaje
Zaujímalo ma čo sa stane, keď vyplním údaje do tohto podvodného formulára. Podvodníkovi som zanechal aj pekný odkaz (ten však nebudem zverejňovať). Ako som už čakal, podvodná stránka už nič ďalej nespravila a zasekla sa na “Loadingu“, v preklade načítanie.
Potom som počkal, kým sa stránka načíta. Ďalej po mne podvodník pýtal overovací kód SMS. Tento kód však neprišiel.
Zaujímavosťou je, že celý podvod by pôsobil dôveryhodnejšie, keby mi prišla aj táto overovacia SMS správa. Útočník mal všetky dostupné údaje, vrátane môjho telefónneho čísla. Prečo potom do svojho podvodu nezapracoval aj overovanie pomocou sms kódu. Možno sa mu nechcelo, alebo to bolo nad rámec jeho programátorských schopností, to už nechám na vás.
Na ďalšej obrazovke už útočník tradične pýtal údaje o kreditnej karte.
Dávajte pozor pri zadávaní údajov o kreditných kartách
Zapamätajte si z tejto lekcie to najdôležitejšie:
Vždy sa vyvarujte zadávaniu údajov o kreditných kartách a už vôbec ich nezadávajte na pochybné stránky, akou je napríklad stránka v ukážke vyššie.
Na platenie používajte radšej platobné brány ako paypal, alebo google pay, v ktorých si nastavte dvojfaktorovú autentifikáciu. Na karte si nastavte limit na platby na internete.
Zvážte vytvorenie špeciálnej kreditnej karty, ktorú budete používať len pre platby na internete. Na takejto karte potom môžete upravovať limity podľa nákupu, ktorý zrovna robíte.
Niektoré banky umožňujú vytvorenie virtuálnej jednorazovej kreditnej karty. Takáto karta slúži na jednorazové použitie a nehrozí teda jej ďalšie zneužitie. Údaje skutočnej kreditnej karty potom ostávajú v bezpečí, skryté pred útočníkmi.
Overenie SMS s web odkazom Slovenskej sporiteľne
Overiť, či sa jedná o oficiálnu SMS od banky Slovenskej sporiteľne, si môžete aj na oficiálnej stránke mysecurity.slsp.sk/overenie-sms. Do tohto nástroja stačí zadať telefónne číslo a znenie SMS správy.
Odporúčam prečítať si k tejto tematike aj oficiálny článok od Slovenskej sporiteľne.
Úvodný obrázok titulky nájdete od Clint Patterson na Unsplash