Podvodníci majú nový trik, ako od ľudí vylákať údaje
Internet nie je 100-percentne bezpečné miesto. Používatelia sa postupne učia, na čo si dať pozor pri prehliadaní webstránok a ako rozpoznať podvody. Zločinci však stále vymýšľajú nové spôsoby, ako od nič netušiacich ľudí vytiahnuť citlivé osobné údaje, ktoré môžu viesť aj ku odcudzeniu financií. Internetom sa teraz šíri nový druh podvodu, na ktorý ľudia ešte nie sú zvyknutí – od obetí dokáže vylákať informácie behom pár sekúnd. O čo ide a na čo si treba dať pozor?
„Vidíme znepokojujúci nárast kybernetických zločinov. Napríklad kybernetické útoky na heslá používateľov sa za posledný rok desaťnásobne zvýšili a v súčasnosti dosahujú v priemere 4 000 útokov za sekundu,“ vyjadril sa na tému kybernetickej bezpečnosti Dalibor Kačmář, technologický riaditeľ spoločnosti Microsoft Česká republika.
Aj phishingové kampane sú čoraz sofistikovanejšie a prepracovanejšie. Využívajú skutočné služby alebo webové stránky a prispôsobujú phishingové odkazy jednotlivým používateľom. Je čoraz ťažšie rozoznať pravý e-mail od e-mailu phishingového, pričom pribúdajú stále ďalšie spôsoby, ako od ľudí vylákať citlivé údaje.
Podvodníci začínajú využívať aj QR kódy
Kombinácia slov ‚QR kód‘ a ‚phishing‘, quishing označuje podvod, ktorý od ľudí vyláka citlivé údaje prostredníctvom QR kódu. Ide o najnovší prvok, ktorý začína byť bežnou súčasťou podvodných správ a v mnohých prípadoch nahrádza tlačidlá alebo odkazy na falošné webstránky.
Vygenerovať QR kód je jednoduché, slúžia na to rôzne voľne dostupné online nástroje. Podvodníci takto vygenerovaný obrázok môžu umiestniť napríklad do e-mailov, správ na sociálnych sieťach či rôzne diskusné fóra. Vlastne prakticky kdekoľvek na internet. Po naskenovaní takéhoto kódu napríklad prostredníctvom kamery na svojom smartfóne bude obeť presmerovaná na falošnú webstránku. Použitie QR kódov však môže byť ďaleko nebezpečnejšie.
Keďže pri vytváraní kódov môžu podvodníci použiť ľubovoľný text, presmerovanie je v mnohých prípadoch nastavené aj na verejnú HTTP adresu, po ktorej návšteve sa vaše zariadenie infikuje malwerom. Kyberzločinci môžu internetové adresy nastaviť tak, že ihneď po ich návšteve sa do vášho zariadenia začne sťahovať nebezpečný softvér, často bez toho, aby ste si to vôbec všimli či stihli zastaviť.
Ako podvod rozpoznať?
Ako pri bežnom phishingu, aj pri prevencii voči quishingu je najdôležitejšie skontrolovať pôvod samotnej správy. Keď vám príde oficiálne vyzerajúci e-mail od spoločnosti Microsoft so žiadosťou o resetovanie hesla a QR kódom, najprv sa zamyslite, či je vôbec dôvod, prečo vám takáto správa prišla. Žiadali ste o jeho zaslanie? Podobne bežné sú aj správy od podvodníkov vydávajúcich sa za Slovenskú poštu či iných dopravcov, v ktorých sa píše, že musíte uhradiť poplatok, aby vám bola doručená zásielka. Aj v takomto prípade sa najprv zamyslite, či čakáte nejaký balík, či ste si objednávali cez túto doručovateľskú spoločnosť a či už zásielka nebola uhradená.
Dôležitá je taktiež kontrola samotnej e-mailovej adresy odosielateľa. Keďže podvodníci nedokážu posielať správy z oficiálnych domén, ako napríklad @microsoft.com, často používajú mierne upravené znenie, ktoré si na prvý pohľad nemusíte všimnúť (microsooft.com, miicrosoft.com a podobne). Adresu odosielateľa teda pozorne skontrolujte, písmenko po písmenku.
Ani to však nemusí byť záruka ochrany. Útočníci často hosťujú podvodné URL adresy v legitímnych cloudových službách, ako sú Adobe, Dropbox či Google. Zároveň využívajú úspešne napadnutý účet a posielajú z neho phishingové e-maily všetkým svojim kontaktom.
Ďalšie odporučenie sa týka quishingu a všeobecne aj phishingu. Ak sa vám daná správa nepozdáva, pre istotu neklikajte na žiadne tlačidlá, odkazy a neskenujte QR kódy. Podvodníci po novom využívajú QR kódy najmä preto, lebo ľudia na ne ešte nie sú zvyknutí a môžu pôsobiť dôveryhodnejšie. Nezabúdajte však, že QR kód si môže vygenerovať ktokoľvek. Jeho naskenovanie môže byť rovnako nebezpečné alebo dokonca nebezpečnejšie ako kliknutie na tlačidlo v podvodnej správe.
