Pazi, da ne nasedeš! Jože skoraj verjel lažnemu SMS-u – to moraš prebrati

Lažna SMS sporočila, ki se pretvarjajo, da prihajajo iz banke, kriptomenjalnice ali državne ustanove, so danes bolj prepričljiva kot kadarkoli. Ena napačna poteza – klik na povezavo ali delitev kode – in lahko izgubite vse. SMS spoofing je postal ena najbolj zavajajočih oblik spletnih prevar, ki cilja na čustva, nevednost in instinkt ljudi. Kako točno deluje ta vrsta napada, zakaj je tako učinkovit in kako se lahko pred njo zaščitite?

Kaj je SMS spoofing – in zakaj je tako nevaren?

„To je bilo sporočilo od Binance. Vse je izgledalo kot vedno. Razen da ni bilo.“

Tako svojo zgodbo začne Jože, ki je bil pred dnevi skoraj žrtev lažnega SMS-a, ki se je pretvarjal, da prihaja iz priznane kriptomenjalnice. Sporočilo ga je opozarjalo na domnevno varnostno težavo. Ko je kliknil povezavo, je opazil, da nekaj ni v redu – in pravočasno ustavil postopek.

Imel je srečo. Marsikdo je nima.

SMS spoofing je tehnika, pri kateri napadalec pošlje sporočilo, ki na videz prihaja iz zaupanja vrednega vira – npr. vaše banke, trgovine ali celo državne ustanove. Sporočilo je videti kot vsak drug uraden SMS. Tudi številka pošiljatelja je lahko ponarejena, kar pomeni, da ga lahko prejmete v istem pogovornem nizu kot prejšnja avtentična sporočila.

„To je kot digitalna imitacija glasu. Samo da ne slišiš, temveč bereš nekaj, kar ne bi smel,“ pojasni dr. Tanja Kramar, specialistka za kibernetsko varnost pri SI-CERT.

Zakaj je SMS spoofing učinkovit? Igra na čustva.

Ta sporočila so preračunana. Dobesedno. Oblikovana so tako, da pritisnejo na človekove najranljivejše točke:

Kdo si sploh lahko privošči svoj bazen?

Ste si kdaj predstavljali, kako bi bilo, če bi lahko po napornem dnevu stopili na svojo teraso in se osvežili v kristalno čistem bazenu? Lasten bazen ni več privilegij le redkih – danes je to do

• Strah. (“Z vašega računa je bil izveden sumljiv dvig.”)
• Občutek odgovornosti. (“Vaš sin je v tujini brez dokumentov. Takoj nakažite pomoč.”)
• Sram. (“Vaše zasebne fotografije so javno objavljene.”)

In to ni teorija. Je praksa. Realna, konkretna, vsakdanja.

„Ko ti srce poskoči, se možgani izklopijo. To je osnovna psihologija. Prevaranti to dobro vedo,“ dodaja dr. Kramar.

Zgodovinsko ozadje: Kako se je začelo?

Prvi primeri spoofinga segajo v zgodnja leta interneta, ko so lažna elektronska sporočila posnemala podobo PayPala, Amazona ali Applea. Z leti je tehnologija ponarejanja sporočil napredovala, in z razmahom pametnih telefonov so tarča postala tudi SMS sporočila.

Leta 2021 je britanski The Guardian poročal, da so se uporabniki štirih največjih telekomov v Veliki Britaniji v enem samem mesecu srečali z več kot 200.000 poskusi SMS prevar. Večina jih je bila videti kot sporočila bank ali kurirskih služb.

Primer iz prakse: Ko banka ni več banka

V Sloveniji je zgodba podobna. Prevaranti se pogosto pretvarjajo, da so:

• NLB ali SKB banka,
• Pošta Slovenije,
• eDavki,
• Binance, Revolut,
• DHL ali GLS.

Jože je na Facebooku opisal svojo izkušnjo: „Zelo pomembno! Zdle sm se skor usral v gate! 🙂 Če dobite kdaj podbono SMS ali email sporočilo Prosim! Prosim! PROSIM! Nikoli ne odreagirajte instinktivno, vedno prej preverite če je to res v aplikaciji na računalniku ali kako drugače…“

Ko je sporočilo dobil, je bilo videti popolnoma enako kot tista, ki jih sicer prejema od Binance. Celo v istem nizu. Zadnji SMS pa je bil lažn. Ponarejen. In nevaren.

V enem drugem primeru, ki ga navaja SI-CERT, je ženska prejela SMS z obvestilom: “Vaš račun NLB je blokiran zaradi varnostnih razlogov. Kliknite tukaj za ponovno aktivacijo.” Povezava je vodila na vizualno identično stran. Vpisala je podatke. V nekaj minutah je nekdo opravil tri transakcije v skupni vrednosti 1.400 evrov.

Kako prepoznati lažno sporočilo?

Ne bo vedno enostavno. Ampak so znaki:

• Nenavadne, alarmantne trditve: “Vaš račun bo izbrisan!” “Zadnje opozorilo.”
• Sumljive povezave: binance-verifikacija.net, nlb-varnost.com.
• Zahteve po osebnih podatkih, geslih, številkah kartic.
• Rahlo napačna slovenščina, kot da bi tekst spisal robot. (In v resnici ga je.)

Kaj storiti, če prejmete sumljiv SMS?

Pet stvari. Res, samo pet:

1. Ne klikni. Ne glede na to, kako uradno izgleda.
2. Ne odgovarjaj.
3. Preveri direktno v aplikaciji ali na uradni strani.
4. Pošlji sporočilo na SI-CERT ([email protected]).
5. Če si že kliknil – ukrepaj takoj. Kontaktiraj banko. Zamenjaj gesla.

Ali obstaja rešitev? Obstaja. Ampak …

Ni lahka. In ni enotna.

Po podatkih iz letnega poročila Europola za leto 2023, glavni problem ostaja to, da napadalci delujejo izven EU in uporabljajo tuje strežnike. Težko jih je izslediti.

Telekomi delajo na tem. Tudi v Sloveniji. Razvijajo filtre, preverjanje pošiljateljev, opozorilne sisteme. Nekateri Androidi že znajo prepoznati sumljiva sporočila. Ampak to ni vedno dovolj.

Potrebno je troje:

• Boljša tehnologija pri operaterjih,
• hitrejše odzivanje bank in institucij,
• in – najpomembnejše – več znanja med uporabniki.

Zakaj je pomembno, da se o tem govori?

„Povej, da ne bodo drugi v istih težavah,“ je zapisal Jože pod svojo objavo. In ima prav.

Ni greh, če te skoraj naplahtajo. Če o tem molčiš – takrat postaneš del problema. Del sistema tišine, ki napajalcem daje pogum.

Kako preprečiti in trajno odpraviti kapilarno vlago v vašem domu?

Se je tudi pri vas pojavila kapilarna vlaga? Ste opazili, da se na stenah vašega doma pojavljajo vlažni madeži, odstopanje ometa ali celo plesen? Se vam zdi, da so prostori vedno nekoliko hladne

Vsak, ki svojo zgodbo deli, reši nekoga. Mogoče starejšo osebo. Mogoče 16-letnika z dostopom do mamine kartice. Ali pa sebe čez mesec dni, ko boš znova dobil lažni SMS.

Digitalna previdnost je nova oblika samozaščite

V času, ko nas telefoni bombardirajo s podatki, je ključno eno pravilo: ne zaupaj na prvo oko.

Preveri. Pomisli. Vprašaj. In če se zmotiš – oprosti sebi, in povej drugim.

Ne pozabi: z znanjem varuješ sebe. Z deljenjem pa še druge.

Vir: SI-CERT, Europol (2023), The Guardian (2021), osebna izpoved Jože (FB), dr. Tanja Kramar (SI-CERT)

Pripravil: N. Z.