Na Slovensku sa opäť šíri podvodná správa cez komunikačnú platformu WhatsApp, ktorá vyzýva na hlasovanie za dievča v súťaži. Na prvý pohľad vyzerá nevinne; tvári sa, že prichádza od niekoho, koho poznáte. V skutočnosti ide o sofistikovaný phishingový útok, ktorého cieľom je prevziať kontrolu nad vaším účtom a vylákať peniaze od vašich blízkych.
Správa vyzerá takto: od známej kontaktnej osoby príde odkaz so žiadosťou, aby ste zahlasovali za jej dcéru alebo príbuznú v talentovej či tanečnej súťaži. Konkrétne v snímke, ktorú zaznemanala naša redakcia, odkaz smeruje na doménu supersstars.run a správa žiada hlasovanie za „Soňu“. K dispozícii potom máme aj záber, ktorý ukazuje, ako vyzerá WhatsApp používateľa po tom, čo mu ukradnú konto. WhatsApp sa spustí, no ukazuje, že účet bol zablokovaný kvôli spamu. V takomto prípade sa zjavne nedá robiť nič iné, než stav preveriť príslušným tlačidlom alebo priamym kontaktom zákazníckej podpory.
Národné centrum kybernetickej bezpečnosti (SK-CERT) eviduje nárast prípadov tejto kampane od januára, pričom rovnaká kampaň bola zaznamenaná už na prelome jari a leta minulého roku. Útočníci priebežne menia URL adresy, no grafický vizuál a technická podstata kampane zostávajú rovnaké.
Majte na pamäti, že skutočným odosielateľom správy nie je váš kontakt, ale podvodník, ktorý už získal kontrolu nad jeho WhatsApp účtom. Váš priateľ či známy o ničom nevie. Dôveryhodnosť podvodu zvyšuje aj to, že správy prichádzajú z overených kontaktov, nie od cudzích čísel, a v prvom kroku sa nevyžadujú žiadne peniaze, iba na pohľad nevinný klik.
Čo sa stane, ak na odkaz kliknete
Ak kliknete na odkaz, phishingová stránka vás vyzve na zadanie telefónneho čísla a následne na pripojenie nového zariadenia v aplikácii WhatsApp. Týmto krokom odovzdáte podvodníkom plný prístup k vášmu účtu. Keď sa dostanú k vášmu WhatsApp účtu, vaše kontakty rozdelia na dve skupiny.
Prvej posielajú rovnakú výzvu na hlasovanie v súťaži. Takto sa sieť napadnutých účtov ďalej rozrastá a útočníci získavajú prístup k ďalším obetiam. Druhej skupine píšu vo vašom mene so žiadosťou o rýchlu pôžičku. Využívajú pritom overenú taktiku, respektíve časový nátlak a dôveru známosti. Požadované sumy sa pohybujú v stovkách eur, výnimočne do tisícky eur. Celý podvod je pritom dômyselne postavený tak, že vy v podstate o ničom nemusíte vedieť, no váš účet medzitým pracuje pre podvodníkov.
Zákerných podvodov je viacero
Hlasovanie v súťaži nie je jediný spôsob, akým podvodníci zneužívajú WhatsApp a ďalšie digitálne kanály. Na Slovensku sú celkom hojne rozšírené aj ďalšie typy útokov. Jedným z nich je priama žiadosť o pôžičku od príbuzného. Správa prichádza z napadnutého účtu rodinného príslušníka alebo priateľa s naliehavou žiadosťou o rýchlu finančnú pomoc. Dajte si však pozor na to, že na uskutočnenie takéhoto útoku podvodníci nemusia disponovať kradnutým účtom.
Neprehliadnite
Ďalším rozšíreným typom sú phishingové SMS správy v mene Sociálnej poisťovne, bánk alebo doručovacích spoločností. Falošná správa informuje o nedoplatku, zablokovanom účte alebo nedoručenej zásielke a vyzýva na kliknutie na odkaz, kde zadáte prihlasovacie alebo platobné údaje.
Tieto správy bývajú graficky veľmi presvedčivé a na prvý pohľad ich od originálu nerozoznáte. Osobitnou kapitolou sú podvody na inzertných portáloch ako Bazoš či Facebook Marketplace. Na tých vás záujemca o tovar okamžite presmeruje na WhatsApp, odmieta iný spôsob komunikácie a následne posiela falošný platobný odkaz alebo žiada platbu vopred. Po prevedení peňazí kontakt zmizne. Tento typ podvodu sme podrobnejšie opísali v samostatnom článku, ktorý nájdete na tomto odkaze.
Ako sa chrániť
Naletieť na takéto podvody je jednoduchšie, než by ste si mysleli. Najviac zraniteľní sú mladiství a dôchodcovia, no medzi poškodenými často vystupujú aj tí, ktorí sú technicky zdatnejší. Zvýšená opatrnosť teda platí pre všetkých. Zároveň ale treba mať na pamäti, že ani ochrana nie je priveľmi komplikovaná.
Základným pravidlom je neklikať na žiadne odkazy v správach, vrátane tých s výzvou na hlasovanie v súťažiach, a to ani vtedy, ak správa prišla od vám dobre známej osoby. Práve táto zdanlivá dôveryhodnosť je kľúčovým nástrojom podvodníkov.
Ak vám niekto posiela nezvyčajnú správu s odkazom alebo žiada o pôžičku, overte to priamym telefonátom: nie cez WhatsApp, ale bežným hovorom. Zároveň si v nastaveniach WhatsApp aktivujte dvojstupňové overenie, ktoré výrazne sťažuje podvodníkom prevzatie vášho účtu.
Nikdy nezadávajte overovací kód, ktorý vám WhatsApp posiela pri prihlásení, na cudzích stránkach ani ho neposielajte ďalej komukoľvek. Samozrejme, neposielajte ho ani niekomu, kto tvrdí, že je súčasťou tímu podpory WhatsAppu. Pred kliknutím na akýkoľvek odkaz si vždy skontrolujte doménu. Legitímne súťaže a inštitúcie nepoužívajú podozrivé domény ako .run alebo neznáme zahraničné adresy.
Čo robiť, ak ste naleteli
Ak ste klikli na odkaz a zadali akékoľvek údaje, konajte okamžite, keďže v takom prípade sa počíta každá minúta. Ako prvé sa pokúste aktivovať dvojstupňové overenie v nastaveniach WhatsApp a odhlásiť všetky cudzie zariadenia cez sekciu Prepojené zariadenia. Následne upozornite všetky vaše kontakty, že váš účet bol napadnutý a aby nereagovali na žiadne správy, ktoré im z vášho čísla prišli, najmä na žiadosti o peniaze.
Ak ste v akomkoľvek kroku zadávali platobné údaje alebo odoslali peniaze, bezodkladne kontaktujte svoju banku. Tá môže v niektorých prípadoch transakciu ešte zastaviť alebo zvrátiť. Polícia SR upozorňuje, že podobné podvody je možné nahlásiť na najbližšom oddelení alebo online na jej webe.
