Kybernetická bezpečnosť čelí v súčasnosti stále novým výzvam, čo potvrdzuje aj aktuálny prípad kriminalistov z juhu Moravy. Tí sa zaoberali mimoriadne agresívnou formou podvodu, ktorá sa v digitálnom priestore označuje ako smishing. Ide o formu phishingu, kde hlavným nástrojom útoku nie je e-mail či telefonát, ale SMS správa. V tomto konkrétnom prípade dvojica páchateľov cudzieho pôvodu zasiahla desiatky tisíc mobilných čísel, pričom sa oprela o overenú metódu, a to zneužitie autority štátnych inštitúcií.
Ako informuje portál TN.cz, celý incident sa začal ešte v roku 2024, kedy policajné zložky prijali prvé oznámenia od poškodených osôb. Vyšetrovanie takejto trestnej činnosti je však mimoriadne náročné, pretože útočníci často využívajú anonymizačné nástroje, ako aj zahraničnú infraštruktúru.
V tomto prípade sa však podarilo identifikovať dvojicu podozrivých, no so značným oneskorením, teda až začiatkom tohto roka. Ich úspech pritom nestál len na obmedzených technických zručnostiach, ale skôr na nepozornosti cieľových osôb, ktoré podľahli časovému tlaku a hlavne tomu, že správa, ktorú obdržali, pôsobila dôveryhodne.
Zneužitie dôvery v štát
Útočníci svojim obetiam zasielali krátke textové správy, ktoré informovali o dôležitej správe alebo finančnom príspevku čakajúcom v dátovej schránke. Nutno podotknúť, že tento systém je v Česku čoraz populárnejší pre komunikáciu so štátnou správou, čo podvodníci šikovne využili, presnejšie zneužili.
Správa obsahovala internetový odkaz, ktorý mal adresáta presmerovať na portál pre prihlásenie. Problémom však bolo, že tento odkaz neviedol na oficiálne stránky štátu, ale na vernú kópiu vytvorenú podvodníkmi.
Podľa vyjadrení polície bol kameňom úrazu práve vizuálny vzhľad týchto falošných webov. Ak používateľ nebol dostatočne ostražitý a neskontroloval presnú URL adresu v prehliadači, myslel si, že sa nachádza v bezpečnom prostredí. Po kliknutí na odkaz a následnom zadaní prihlasovacích údajov v podstate dobrovoľne odovzdal údaje o svojej bankovej identite do rúk zločincov.
Týmto spôsobom útočníci získali plnú kontrolu nad financiami obetí bez toho, aby sa museli zaoberať zložitým šifrovaním bankových systémov.
Banková identita je šikovná, no citlivá
Zneužitie bankovej identity predstavuje v súčasnosti jeden z najzákernejších typov kybernetického podvodu. Banková identita totiž neslúži len na prístup k peniazom na účte, ale funguje ako univerzálny digitálny občiansky preukaz. Pokiaľ sa dostane do rúk podvodníkov, v mene obete môžu uzatvárať zmluvy, komunikovať s úradmi alebo žiadať o pôžičky.
V tomto prípade kriminalisti doposiaľ zdokumentovali približne 24 konkrétnych incidentov, kde došlo aj k reálnej škode. Celková suma, o ktorú obete prišli priamo zo svojich účtov, sa vyšplhala na viac ako 1,5 milióna korún (takmer 62-tisíc eur).
To však nie je kompletné číslo. Útočníci využili ukradnutú identitu aj na to, aby v mene poškodených požiadali o úvery v celkovej hodnote takmer 750-tisíc korún (necelých 31-tisíc eur).
Takýto postup spôsobuje obetiam nielen okamžitú finančnú stratu, ale aj dlhodobé právne komplikácie spojené s dokazovaním identity a rušením neoprávnene vzniknutých záväzkov.
Čo podvodníci robia s ukradnutymi peniazmi?
Pochopiteľne, podvodníci peniaze okamžite po krádeži nenechávajú len tak ležať. Zvyčajne ich okamžite odosielajú na ďalšie bankové účty, čím výrazne sťažujú ich vystopovanie.
Zaujímavým aspektom konkrétne tohto prípadu je aj spôsob, akým útočníci nakladali s časťou ukradnutých peňazí. Polícia zistila, že peniaze obetí slúžili okrem iného aj na nákup veľkého množstva SIM kariet a ďalších mobilných telefónov.
Tento cyklus “reinvestovania” umožňoval páchateľom pokračovať v trestnej činnosti vo veľkom rozsahu. Pomocou špeciálnych zariadení, ktoré dokážu automatizovane rozosielať tisíce správ v krátkom čase, udržiavali svoju kampaň neustále aktívnu.
Práve použitie špecializovanej techniky naznačuje, že nešlo o amatérsky pokus, ale o organizovanú aktivitu s jasným cieľom maximalizovať zisk pred tým, než dôjde k odhaleniu (alebo jednoducho čo najdlhšie to pôjde).
Poukazuje to na dôležitosť prevencie
Hovorca polície Pavel Šváb v súvislosti s týmto prípadom zdôraznil, že od nahlásenia prvých podozrení až po zadržanie prešlo pomerne dlhé obdobie, presnejšie dva roky.
Pripomenul tiež, že oficiálne inštitúcie nikdy nevyžadujú citlivé údaje alebo prihlasovanie k bankovej identite prostredníctvom odkazov zasielaných v SMS správach. Takýto spôsob komunikácie je jasným varovným signálom, ktorý by mal každého používateľa okamžite upozorniť na prebiehajúci pokus o podvod.
Odborníci na kybernetickú bezpečnosť odporúčajú, aby ľudia v prípade akýchkoľvek pochybností radšej manuálne zadali adresu inštitúcie do prehliadača alebo využili oficiálnu formu komunikácie (e-mail, telefón či formulár na overenej webovej lokalite).
Prevencia tak spočíva predovšetkým v kritickom myslení a dôslednej kontrole zdrojov. Hoci technológie napredujú, úlohu najslabšieho článku naďalej zohráva ľudský faktor. Práve ten podvodníci neustále pokúšajú prostredníctvom čoraz presvedčivejších scenárov.
Na škodu tiež nebude riadna edukácia. Na internete nájdete plno overených zdrojov, často od renomovaných firiem, ktoré prehľadne vysvetľujú náturu smishingu, ako aj zhŕňajú odporúčania, ako tomuto typu podvodu nenaletieť. Celú problematiku skvelo sumarizuje napríklad ESET na tomto odkaze.
