SMS podvody, známé jako smishing, představují rostoucí nebezpečí pro uživatele mobilních zařízení, kdy útočníci kombinují tradiční phishingové techniky s textovými zprávami stále důmyslnějším způsobem.
Setkáváme se s rostoucím počtem podvodných SMS, které se nejčastěji tváří jako zprávy od bank, doručovacích společností nebo oznámení o výhrách. Podvodníci přitom cílí především na získání našich přihlašovacích údajů, platebních informací nebo přístupu k internetovému bankovnictví. Je důležité si uvědomit, že legitimní instituce nikdy nevyžadují citlivé údaje prostřednictvím SMS.
V tomto článku vám ukážeme, jak rozpoznat smishingové útoky, a především, jak se před nimi účinně bránit. Dozvíte se také, co dělat v případě, že se stanete terčem takového útoku.
Co je smishing a jak funguje
Termín „smishing“ vznikl spojením slov „SMS“ a „phishing“, což přesně vystihuje podstatu tohoto kybernetického útoku. Jde o podvodnou techniku, při které útočníci používají textové zprávy k oklamání obětí a získání citlivých informací nebo instalaci škodlivého softwaru do jejich chytrých telefonů.
Definice smishingu a jeho vztah k phishingu
Zatímco tradiční phishing využívá především e-maily a podvodné webové stránky, smishing se zaměřuje výhradně na SMS zprávy jako distribuční kanál. Principy obou útoků jsou však totožné – útočníci se vydávají za důvěryhodné zdroje a snaží se vylákat od oběti citlivé údaje. Dle výzkumu společnosti Proofpoint zažilo v roce 2023 smishingové útoky až 75 % organizací.
Smishing se stává stále oblíbenějším typem podvodu, především proto, že SMS zprávy mají výrazně vyšší míru otevření než e-maily. Podle studie Klaviyo se pohybuje míra prokliků u SMS zpráv mezi 8,9 % a 14,5 %, zatímco u e-mailů je průměrná míra prokliků pouhá 2 %.
Jak podvodníci získávají telefonní čísla
Podvodníci se k telefonním číslům dostávají několika způsoby:
Nákup dat na dark webu – Útočníci mohou hromadně nakupovat telefonní čísla získaná z dřívějších úniků dat.
Automatické vytáčení – Používají software, který generuje a volá náhodná čísla, čímž ověřují jejich aktivitu.
Web scraping – Sbírají čísla ze sociálních sítí, webových stránek a online adresářů.
Veřejné zdroje – Získávají čísla z profilů na sociálních sítích nebo pracovních portálů.
Odcizené účty – Při napadení online služeb mohou získat přístup k telefonním číslům uživatelů.
Techniky používané při smishingových útocích
Smishingové útoky obvykle sledují podobný vzorec. Nejprve podvodník vytvoří přesvědčivou textovou zprávu, ve které se vydává za banku, státní instituci, doručovací službu nebo jinou důvěryhodnou organizaci. Zpráva často obsahuje urgentní výzvu k akci, která má v oběti vyvolat strach, zvědavost nebo pocit, že musí jednat okamžitě.
Útočníci typicky používají dvě hlavní metody krádeže dat:
Malware – Odkaz v SMS zprávě přesměruje oběť na stažení škodlivého softwaru, který se maskuje jako legitimní aplikace.
Falešné webové stránky – Odkaz vede na podvodný web, který se tváří jako legitimní služba a žádá o zadání přihlašovacích údajů nebo platebních informací.
Pro zvýšení důvěryhodnosti využívají útočníci techniky jako spoofing telefonních čísel nebo používají tzv. „burner phones“ (jednorázové telefony), aby zamaskovali skutečný původ zprávy. Navíc, na rozdíl od e-mailů, u SMS zpráv není možné před kliknutím na odkaz zjistit, kam skutečně vede.
Nejčastější typy podvodných SMS
Podvodníci neustále vyvíjejí nové způsoby, jak získat naše osobní údaje a finanční prostředky. Podvodné SMS zprávy se staly jedním z nejoblíbenějších nástrojů kybernetických zločinců. Pojďme se podívat na čtyři nejčastější typy podvodných SMS, se kterými se můžete setkat.
Falešné bankovní zprávy
V roce 2022 spotřebitelé nahlásili ztráty ve výši 7970,12 milionů Kč způsobené podvodnými SMS zprávami. Především alarmující je nárůst bankovních podvodných SMS, jejichž počet vzrostl z 2231 v roce 2020 na 25725 v roce 2022.
Tyto zprávy typicky varují před „podezřelou aktivitou“ na vašem účtu nebo tvrdí, že vaše karta byla zablokována. Navíc často obsahují výzvu k okamžité akci, která má vyvolat paniku a přimět vás reagovat bez přemýšlení. Pamatujte, že legitimní banky nikdy nevyžadují osobní údaje nebo přihlašovací informace prostřednictvím SMS a nepoužívají zkrácené odkazy.
Podvodné doručovací notifikace
S nárůstem online nakupování během pandemie COVID-19 se objevilo mnoho podvodů souvisejících s doručováním balíků. Tyto zprávy obvykle tvrdí, že:
Byla neúspěšně pokuseno o doručení balíku
Musíte aktualizovat své doručovací preference
Balík bude vrácen odesílateli, pokud okamžitě nereagujete
Pokud kliknete na odkaz v takové zprávě, můžete být přesměrováni na falešnou webovou stránku, která vypadá jako stránka skutečné doručovací služby, ale ve skutečnosti sbírá vaše osobní údaje.
SMS o výhrách a slevách
Zprávy o výhrách v loterii nebo slevových kupónech jsou dalším běžným typem podvodných SMS. Podvodníci vám sdělí, že jste vyhráli cenu, ale pro její získání musíte zaplatit „manipulační poplatek“ nebo „daň“.
Skutečné soutěže jsou vždy zdarma a legitimní organizátoři nikdy nepožadují platbu za výhru. Současně používají podvodníci časový nátlak slovy jako „nabídka platí jen omezenou dobu“ nebo „reagujte ihned“, aby vás přiměli jednat impulzivně.
Falešné zprávy od státních institucí
Podvodníci se často vydávají za daňové úřady nebo jiné státní instituce. Kromě toho vám mohou tvrdit, že:
Je na vás vydán zatykač kvůli daňovým únikům
Máte nárok na dodatečné finanční prostředky
Musíte zaplatit pokutu za fiktivní přestupek
Tyto zprávy zneužívají autoritu státních institucí, čímž zvyšují svou důvěryhodnost. Proto je důležité vědět, že státní instituce komunikují především prostřednictvím oficiálních dopisů nebo zabezpečených datových schránek.
Podívejte se na screenshoty s příklady reálných pdovodných SMS zpráv
Jak rozpoznat smishingový útok
Rozpoznání podvodné SMS zprávy není vždy jednoduché, především proto, že útočníci neustále zdokonalují své techniky. Nicméně existují určité znaky, které vám mohou pomoci odhalit smishingový útok dříve, než bude pozdě.
Typické znaky podvodných SMS
První varovný signál často přichází v podobě samotného telefonního čísla. Podvodné zprávy přicházejí z neznámých čísel, která mohou být náhodná nebo spoofovaná. Útočníci dokáží maskovat skutečný původ zprávy a napodobit číslo skutečné instituce nebo použít název organizace místo telefonního čísla. Proto samotné číslo odesílatele by nemělo být jediným kritériem pro posouzení legitimity zprávy.
Dalším znakem je kontext zprávy – pokud obdržíte zprávu o sledování balíku, který jste si neobjednali, nebo o bankovním účtu, který nemáte, jde téměř jistě o podvod.
Varovné signály v textu zprávy
Urgentní tón je jedním z nejčastějších znaků podvodných SMS. Útočníci používají fráze jako „okamžitě jednejte“ nebo „vaše konto bude do 24 hodin zablokováno“, aby vás přiměli reagovat bez přemýšlení. Navíc, legitimní společnosti nikdy nevyžadují hesla, čísla sociálního pojištění nebo PIN kódy prostřednictvím SMS.
Gramatické chyby nebo neobvyklé formulace jsou dalším signálem. Podezřelé jsou také neadresné oslovení jako „Vážený zákazníku“ místo vašeho jména a nabídky, které se zdají příliš dobré na to, aby byly pravdivé.
Podezřelé odkazy a jejich analýza
Téměř každá smishingová zpráva obsahuje odkaz. U SMS zpráv bohužel není možné zkontrolovat cíl odkazu před kliknutím jako u e-mailů. Proto je důležité pochopit strukturu domén a odhalit podvod.
Zkrácené URL adresy (bit.ly, tinyurl apod.) jsou obzvláště nebezpečné, protože skrývají skutečnou cílovou adresu. Legitimní společnosti většinou používají vlastní domény druhé úrovně (například amazon.com), zatímco podvodníci často využívají techniky jako „typosquatting“ (amaz0n.com) nebo „combosquatting“ (amazon-security.com).
Při pochybnostech o pravosti zprávy či odkazu vždy kontaktujte údajného odesílatele prostřednictvím oficiálních kanálů – telefonního čísla uvedeného na webových stránkách nebo v oficiální aplikaci.
Praktická obrana proti smishingu
Ochrana před smishingem začíná proaktivním přístupem a několika základními opatřeními, která mohou výrazně snížit riziko, že se stanete obětí podvodu.
Nastavení filtrů a blokování neznámých čísel
Většina moderních telefonů nabízí vestavěné nástroje pro filtrování nežádoucích zpráv. Na iPhonu můžete aktivovat filtr neznámých odesílatelů v Nastavení > Zprávy > Filtrovat neznámé odesílatele. U telefonů s Androidem otevřete aplikaci Zprávy, klepněte na profilovou ikonu, vyberte Nastavení zpráv > Ochrana proti spamu a aktivujte přepínač.
Velcí mobilní operátoři také nabízejí vlastní nástroje pro blokování spamu. Verizon poskytuje Call Filter, T-Mobile nabízí Scam Shield a AT&T vyvinul ActiveArmor, který nyní blokuje i SMS zprávy odesílané z e-mailových adres.
Ověřování pravosti zpráv
Při obdržení podezřelé zprávy nikdy neklikejte na odkazy ani neodpovídejte. Namísto toho kontaktujte údajného odesílatele prostřednictvím oficiálních kanálů. Legitimní instituce jako banky a státní úřady nikdy nevyžadují citlivé údaje přes SMS zprávy.
U zkrácených URL adres buďte obzvláště opatrní – jsou častým znakem podvodných zpráv. Skutečné společnosti obvykle používají rozpoznatelné adresy odpovídající jejich oficiálním doménám.
Co dělat, když už jste klikli na podezřelý odkaz
Pokud jste již klikli na podezřelý odkaz, je důležité jednat rychle:
Neposkytujte žádné informace – pokud vás stránka žádá o zadání údajů, okamžitě ji opusťte
Odpojte se od internetu – tím přerušíte probíhající stahování malwaru nebo odesílání vašich dat
Proveďte antivirovou kontrolu – spusťte kompletní skenování zařízení
Zálohujte důležitá data – malware může poškodit nebo smazat vaše soubory
Změňte hesla – především k bankovnictví a e-mailům, a to z jiného zařízení
Navíc zvažte nahlášení incidentu. Na iPhonu stiskněte zprávu, klepněte na „Nahlásit nevyžádanou poštu“ a poté „Smazat a nahlásit nevyžádanou poštu“. V České republice můžete také přeposlat podezřelé SMS na číslo 7726, které je společné pro všechny hlavní operátory.
Přihlášení do Registru proti nevyžádaným hovorům sice může pomoci snížit počet telemarketingových hovorů, ale neochrání vás před podvodníky, kteří tento rejstřík nerespektují.
Závěr
Smishing představuje skutečně závažnou hrozbu, která se neustále vyvíjí. Především rostoucí sofistikovanost útoků a jejich četnost zdůrazňují potřebu zvýšené ostražitosti při práci s SMS zprávami.
Základem účinné obrany je bezpochyby kombinace technických opatření a zdravého rozumu. Nastavení filtrů, důsledné ověřování zpráv a odmítání urgentních výzev k akci významně snižují riziko, že se staneme obětí podvodu.
Pamatujte, že legitimní instituce nikdy nevyžadují citlivé údaje prostřednictvím SMS. Jestliže máte pochybnosti, vždy kontaktujte údajného odesílatele přes oficiální kanály. Bezpečnost našich osobních údajů a financí závisí především na naší obezřetnosti a schopnosti rozpoznat podvodné zprávy dříve, než je pozdě.
