Podvodníci zneužívají SMS-platby i dvoufázové ověření
Přeposlaný ověřovací kód ze SMS může znamenat vyúčtování vyšší o tisíce korun. Podvodníci objevili jednoduchý trik, jak zneužít takzvané SMS-platby, tedy platby účtované přímo přes mobilního operátora. Stejným způsobem mohou obejít i dvoufázové ověření. Nepotřebují přístup k účtu ani heslo. Často jim stačí jen vaše telefonní číslo a důvěra.
Shrnutí
Autorizační kód z SMS nikomu neposílejte
- K zahájení podvodu často stačí znát pouze vaše telefonní číslo.
- Ověřovací SMS není formalita, ale potvrzení platby nebo přihlášení.
- Přeposláním kódu můžete potvrdit SMS-platbu účtovanou přes mobilního operátora nebo umožnit útočníkovi přístup k účtu chráněnému dvoufázovým ověřením.
- Důsledkem může být nejen vysoké vyúčtování, ale i ztráta kontroly nad internetovým bankovnictvím či e-mailem.
Jeden SMS kód a tisíce pryč
Princip je překvapivě jednoduchý. Útočník nejprve potřebuje vaše telefonní číslo. To může získat z veřejně dostupných zdrojů, nebo si jej pod různými záminkami vyžádat, typicky prostřednictvím sociálních sítí. Jakmile jej použije k SMS-platbě, na telefon dorazí ověřovací SMS potvrzující konkrétní transakci.
V tu chvíli přichází na řadu manipulace, kdy podvodník oběť požádá o zaslání kódu. Konkrétních scénářů existuje několik. Časté jsou příběhy o údajné výhře v soutěži, finanční odměně nebo nutnosti rychlého ověření účtu. Společným jmenovatelem je snaha vytvořit dojem legitimní a naléhavé situace, která oběť přiměje reagovat bez delšího přemýšlení. Jakmile majitel čísla kód přepošle, platbu tím sám potvrdí. Částka se následně objeví na vyúčtování operátora nebo se odečte z předplaceného kreditu.
Úspěch těchto útoků nestojí na technické složitosti, ale na psychologii. Útočníci pracují s důvěrou, časovým tlakem i pozitivními emocemi, například příslibem výhry. Zpráva často přichází z účtu známého člověka, který byl předtím napaden, například po zadání přihlašovacích údajů na podvodné stránce. Podvodníci tak získají přístup k jeho profilu a začnou z něj rozesílat zprávy dál. Oběť pak má pocit, že komunikuje s někým, koho zná, místo útočníka.
Stejný trik u dvoufázového ověření
Podvod nekončí u SMS-plateb. Stejný princip lze využít i pro překonání dvoufázového ověření, tedy dodatečné ochrany při přihlašování. Kromě hesla je potřeba zadat jednorázový kód potvrzující, že se přihlašujete opravdu vy. Pokud ale uživatel kód na žádost přepošle, útočník může získat přístup k e-mailu, sociálním sítím nebo jinému online účtu. V kombinaci s dalšími údaji, které oběť poskytne, se útočník může dostat například i do internetového bankovnictví. Chyba není ve dvoufázovém ověření, ale ve sdílení jednorázového kódu.
A pokud jste kód už sdíleli? Jednejte co nejrychleji.
- Kontaktujte mobilního operátora, požádejte o kontrolu SMS-plateb a případnou blokaci těchto služeb, aby nedošlo k dalším transakcím.
- Změňte hesla k účtům, které mohly být ohroženy. Pokud používáte stejné heslo i jinde, změňte jej všude.
- Zkontrolujte nastavení dvoufázového ověření, zda nebylo změněno telefonní číslo nebo záložní e-mail.
- Kontaktujte banku, pokud mohlo dojít k ohrožení přístupu k účtu.
- Zvažte nahlášení incidentu policii.
Podvody se neustále vyvíjejí. Zůstaňte o krok napřed
- Buďte informovaní! Čtěte náš blog a sledujte upozornění v aplikaci o nejnovějších hrozbách, které pro vás monitorujeme.
- Naše aplikace Redamp.io obsahuje funkci Safe Surfing , která účinně chrání proti nejnovějším hrozbám, jako jsou phishing nebo malware.