Čo si všímať na emailoch a SMS (Ako nenaletieť online)

Nepovažujem sa odborníka na kybernetickú bezpečnosť a ochranu pred “zlodejmi”, fyzickými alebo virtuálnymi. No tiež sa mi občas “pošťastilo” a tak mám svoje skúsenosti. Napríklad, v Paríži mi pri skúšaní topánok ukradli v obchode kabelku. Áno, bola som si na vine, pri obúvaní nových topánok som na nej síce sedela, ale potom sa postavila a nevzala ju hneď do ruky. A niekto v obchode to využil a pravdepodobne ju strčil do nejakej väčšej tašky, a tak predo mnou ukryl. Za pár sekúnd. Ak viete, aké kabelky nosím, tak Vás to nemusí prekvapiť. Nahnevalo ma to, zranilo ma to, dosť dlho som sa z toho lízala, ale poučila som sa a som rada, že sa mi pri mojom cestovateľskom živote nestalo nič horšie. Lebo mohlo.

Naopak, zarazilo ma, keď mi na moju čerstvú a ešte neaktivovanú platobnú kartu od nemenovanej zahraničnej banky začali nabiehať platby za letenky, drahé oblečenie a pod. Tu si ani nemôžem povedať, že si za to môžem sama, pretože kartu som naozaj nikde nepoužila a ešte ju ani nestihla aktivovať výberom z bankomatu. A banka sa tvárila, že problém je u mňa a dosť dlho trvalo, kým mi vrátili peniaze späť na účet. Okrem toho mi pravidelne volajú ľudia, ktorí mi chcú niečo predať alebo chcú moje osobné údaje na “kontrolu” niečoho. Podvodné SMSky a emaily, ktoré chcú aby som niekam klikla a zadala číslo karty alebo rovno prihlásila sa niekam, radšej už ani nepočítam. A o rôznych “hrdinoch”, ktorí si ma chcú vziať, ale musím im zaplatiť letenku, škoda vôbec hovoriť. Predpokladám, že aj vy ste už zažili niečo podobné. No práve s tými virtuálnymi “zlodejmi” mám väčší problém, s ich anonymitou a nemožnosťou ich chytiť. Nechápem týchto ľudí, a neviem, prečo to robia. Raz mi pri pokusnom podvodnom telefonáte na túto otázku aj odpovedali – “lebo sa to dá”. Naozaj musíme byť zlí len preto, že sa to dá?

Ako spoločnosť máme s fyzickými zlodejmi dlhoročné skúsenosti, krádeže sa stále dejú. “Chytrolíni”, ktorí sa chcú rýchlo dostať k peniazom, boli, sú a budú. Ale už nás toľko neprekvapujú, a naučili sme sa, ako byť obozretní, čo nerobiť, kadiaľ neísť, ako sa chrániť. Internetové podvody sú však pre mnohých ešte relatívne nové a nie každý má toľko znalostí a schopností, aby ich rozlíšil a mohol sa chrániť. Tomuto sa venuje kybernetická bezpečnosť, ale je mi jasné, že mnoho z vás má z tejto témy strach. Ale nebojte sa, nie je to strašiak a dá sa naučiť väčšej obozretnosti aj v online svete. Na čo najčastejšie môžete natrafiť a teda by ste si mali vedome dať väčší pozor?

1. Podvodné emaily
2. Falošné weby
3. Podvodné SMS
4. Podvodné telefonáty
5. Nečisté aplikácie

Práve jeden podvodný email podnietil napísanie tohto článku. Môj mailový server ho správne posunul do kategórie SPAM, ale ja tento adresár rada prechádzam, pretože sa zabavím a občas sa tam zachytí aj iný typ emailu, ktorá SPAMom vlastne nie je.

V schránke mi nedávno pristál email, že Finančná správa mi chce vrátiť nejaké peniaze. Pri prvom pozretí si veľa z vás povie, že super. Peniaze sa vždy zídu. Email s názvom Dôležité oznamy ohľadom vašej daňovej refundácie za rok 2023 alebo Aktuálne informácie o vašom daňovom vrátení za rok 2023 by ste asi otvorili. Ja som sa naň však pozrela opatrnejšie. Do očí mi udrela gramatika textu v názve – ja sama, tým, že som dlho žila v zahraničí, mám aj v slovenčine citeľný anglický slovosled. Ale nie som zvyknutá na takýto slovosled u iných Slovákov a už dupľom nie u štátnych inštitúcií. Takže mi bolo hneď jasné, že môj spamový filter vykonal dobrú prácu. Ale zvedavosť mi nedala. Text emailu znel:

Tu by som sa mohla už len zasmiať nad neschopnosťou zlodejov, ale zároveň ma vytočilo, že ten email je celkom uveriteľný. Mnoho ľudí, ktorých poznám, by na ten link kliklo a uviedlo by kód z emailu a pravdepodobne aj údaje o svojom internet bankingu. Čo si teda všímať na podvodných emailoch (ale aj smskách, falošných weboch, aplikáciách alebo telefonátoch)?

1. Kto je odosielateľ/vlastník? Dáva to zmysel? Je to reálna súčasť renomovanej inštitúcie? Pozrite sa aj za meno odosielateľa na konkrétnu emailovú adresu. 

Podpis býva niekedy ešte drzejší. Myslíte si, že Ministerstvo financií bude posielať emaily za Finančnú správu? A sídli v Bratislavskom prístave? 

2.  Ak vás toto nepresvedčilo, hľadajte zjavné chyby v texte (číslo zákona, kontrolované obdobie nie je ani štvrťok, ani rok), v použitých slovách a slovných spojeniach (“pravidelný príjem” od daniarov?, “ste právoplatne kvalifikovaní”, “nápomocné rady”, “ak by ste mali”), alebo v gramatike (slovosled, chýbajúce čiarky).  

3. V neposlednom rade sa pozrite, kam chcú, aby ste klikli. Všimli ste si tú alfu v názve? Dobrý pokus. 

4. Ak si stále nie ste istí, choďte na danú stránku priamo zadaním jej adresy alebo cez vyhľadávač, no v žiadnom prípade neklikajte na link v emaile. Ešte zaujímavejšie výsledky možno nájdete po vyhľadaní názvu emailu alebo časti textu emailu.  Finančná správa v tomto prípade sama už niekoľkokrát upozornila na podobné podvodné emaily napríklad tu: https://www.financnasprava.sk/sk/pre-media/novinky/archiv-noviniek/detail-novinky/_podvod-email-01-ts. 

Ako ste vyhodnotili tento email vy? Klikli by ste na alfu? Takéto emaily majú za cieľ získať vaše údaje alebo cez falošnú webstránku, na ktorú vás nalákajú, získať napríklad prístupové heslá do internet bankingu alebo do emailov, na sociálnu sieť, alebo do firemnej siete. V každom prípade, cieľom je získať prístup k peniazom, číslam kreditných kariet, osobným údajom, prípadne spôsobiť škody, okradnúť, ublížiť a získať kontakt na ďalšie obete.  

Podobne sa môžete stretnúť s inými obmenami takýchto podvodných emailov, tzv. phishingu (“rybolovu”) – napr zmena bankových údajov vášho pravidelného dodávateľa, vašej poisťovne, prípadne podvodných sms, tzv. smishingu (“myšolovu”) – napríklad slovenská pošta alebo zadržaný balík kuriérnou službou, falošných webov, tzv. spoofingu (“kopyklamu”) – napríklad falošné stránky Slovenskej Pošty, vašej banky alebo facebooku. Podobne sa ešte snažia vylákať od vás peniaze a osobné údaje aj ľudia s falošnou identitou (“ropuchy”) pomocou priamej komunikácie a sociálnych sietí alebo iných aplikácií (“pretvarappiek”), ktoré sa stanú virálnymi kvôli nejakej udalosti alebo trendu.  Nigérijským a Jamajským kráľom a boháčom, po ktorých máme dediť, už dnes málokedy naletíme, teraz sa používajú srdcervúce príbehy nejakých osamotených mužov-hrdinov, ktorí potrebujú nutne zaplatiť letenku za vami, aby si vás mohli vziať, ale ako na potvoru sa niečo stalo….

Pre podobné účely sa ešte aj v dnešnej dobe využívajú reálne podvodné telefonáty. Keď mi v minulosti volal niekto z mojej banky a chcel odo mňa overenie totožnosti, vždy som ich požiadala, aby mi v takomto prípade volal iba môj osobný bankár, ktorého poznám. Sľubovali, no telefonáty neustávali (žiaľ, vtedy to naozaj bývalo z call centra mojej banky, našťastie už sa poučili). Ale zostala som šokovaná, keď mi raz na slovenské pracovné číslo zavolal chlapík a v angličtine mi vysvetľuje, že je náš ITik a nutne sa potrebuje pripojiť na môj pracovný počítač. Aj mi začal, chudáčik, diktovať, čo mám zadať do webprehliadača, a nevedel pochopiť, že ma po “zadaní” všetkých prihlasovacích údajov nevidí prihlásenú. Samozrejme, že ma ani nehlo niečo ťukať a ďalej som si robila svoje, len som ho naťahovala. Pri jednej jeho otázke som si však netipla správne farbu pozadia a tak som ho vytočila, že na konci použil aj sprosté výrazy a zložil. Ale uznajte, keď ste jeden z mála ľudí vo firme, čo hovorí plynulou angličtinou, aká je pravdepodobnosť, že máte IT služby poskytované v indickom Bombaji… A možno len vytočil zlé číslo, ale totožnosť si neoveroval, hneď chcel, aby som sa pripojila…. No pozor, v dnešnej dobe umelej inteligencie a priamych prekladačov by nemuselo byť jednoduché rozoznať, či je telefonát podvrh alebo reálny, a preto odporúčam dať si pozor aj na iné telefonáty, ktoré z vás chcú vytiahnuť objednávku, adresu, prípadne na drzovku číslo karty, alebo dokonca prístupový kód dvojfaktorového prihlásenia, ktorý vám prišiel na mobil.  

V každom prípade, asi závisí aj od toho, čo kto od ľudí v reálnom svete očakáva. Ja sa učím byť podozrievavá, no nie vždy sa mi darí. A čo robiť, ak už sa predsa len niečo stane? Vždy začnite konať, nikdy nečakajte, že možno sa nič nestane. Je veľká pravdepodobnosť, že sa stane. Zmeňte si okamžite heslá, podľa možnosti použite komplikovanejšiu verziu hesla, zameňte napríklad o za 0, l za ! alebo 1, atď. Pohrajte sa s tým a vymyslite si niečo, čo si zapamätáte a zároveň sa pri zadávaní toho hesla budete cítiť dobre. Ja viem, je to únavné a klišé, ale zatiaľ to funguje, tak prečo to nevyužiť. Heslom ochraňujte aj počítače, mobily a iné hračky pripojiteľné na web. Na domácej wifi si hneď po jej inštalácii zmeňte heslo z toho továrenského. Rovnako, v prípade kompromitácie firemnej siete bezodkladne upozornite firemného ITika. A v prípade finančných vecí, kontaktujte svoju banku, dajte si zablokovať kartu, ktorej číslo ste zadali do pochybného internetového obchodu. A do budúcnosti si vytvorte jednorazovú virtuálnu.  Nečakajte, až sa raz pri pohľade na pohyby na účte v internet bankingu budete dívať na výpis nákupov leteniek na Havaj….

A rozprávajte sa o tom so svojou rodinou, kamarátmi, kolegami, deťmi, rodičmi, starými rodičmi. Len tak si aj oni začnú dávať pozor a môžete ich tým ochrániť pred sklamaním a zúfalstvom.  V každom prípade, držím palce, a želám vám, aby sa vám nikdy nič podobné nestalo a tiež však dúfam, alebo ešte lepšie, pevne verím, že múdre hlavy vymyslia, ako pochytať, alebo prinajmenšom strpčiť život takýmto “chytrolínom”, a podobné udalosti sa stanú minulosťou podobne ako čiernobiela televízia alebo pevná linka.  

PS: V zátvorkách uvádzam môj vlastný návrh slovenského prekladu daného kyberneticko-bezpečnostného termínu, ak by sa niekto pri písaní nových pravidiel slovenského pravopisu rozhodol preložiť tieto výrazy do írečitej slovenčiny, aby tie cudzie slová prestali strašiť. 🙂 

Zhrnutie: Čo si všímať na podvodných emailoch, sms a weboch:

1. Odosielateľ: Skontrolujte, či web, emailová adresa alebo tel číslo zodpovedá oficiálnej adrese inštitúcie.
2. Gramatika a jazyk: Pravopisné chyby, zvláštny slovosled a neobvyklé frázy sú varovným signálom.
3. Odkazy: Nikdy neklikajte na odkazy v cudzej komunikácii, pokiaľ naozaj nemusíte.
4. Používanie osobných údajov: Pozor na akúkoľvek komunikáciu, ktorá od vás žiada osobné alebo finančné informácie.
5. Porovnajte s oficiálnymi zdrojmi: Ak máte pochybnosti, je lepšie kontaktovať príslušnú inštitúciu priamo cez ich oficiálnu stránku alebo telefonicky.
6. A používajte lepšie heslá!

Užitočné info: Užitočné informácie na túto tému zdieľa zrozumiteľným jazykom FB Polície SR pod hlavičkou Hoaxy a podvody (https://www.facebook.com/hoaxPZ) a podrobnejšie odbornejšie veci nájdete na webe Národnej jednotky SK-CERT (https://www.sk-cert.sk/sk/aktuality/index.html) patriacej pod NBÚ.  A keby ste sa náhodou chceli v tejto téme vzdelávať do hĺbky, pozrite si web Kompetenčného a certifikačného centra kybernetickej bezpečnosti na https://cybercompetence.sk/, prípadne ich sledujte na FB/IG.