Smishing

Smishing se vyvinul jako rozšíření tradičních phishingových technik, které původně cílily převážně na e-mailovou komunikaci. S rostoucím povědomím uživatelů o e-mailovém phishingu a zdokonalováním ochrany před tímto typem podvodů začali kybernetičtí útočníci hledat alternativní možnosti. Phishing prostřednictvím SMS zpráv má přitom pro kyberútočníky celou řadu výhod, protože komunikace prostřednictvím mobilních telefonů byla obecně vnímána jako důvěryhodnější a uživatelé věnovali bezpečnosti SMS zpráv menší pozornost než e-mailům.

První případy smishingu se objevily krátce po masovém rozšíření mobilních telefonů na začátku 21. století. Až s příchodem chytrých telefonů se ale tento typ útoku stal výrazně sofistikovanějším a nebezpečnějším – především v souvislosti s rostoucí mírou využívání mobilních zařízení pro přístup k bankovnictví a dalším citlivým službám.

První významná vlna smishingových útoků se objevila kolem roku 2006, kdy se útočníci zaměřili právě na klienty finančních institucí. Tyto útoky byly poměrně jednoduché – obvykle obsahovaly zprávu, která se tvářila jako upozornění banky na problém s účtem, a odkaz vedoucí na podvodnou webovou stránku napodobující legitimní bankovní portál. Pokusem o přihlášení byly útočníkům předány přístupové údaje k účtu.

Mechanismus útoku

Z technického hlediska využívají smishingové útoky několik komponent. Základem je samotná SMS zpráva, která obvykle obsahuje naléhavou výzvu k akci, jako je nutnost ověřit účet, reagovat na údajný bezpečnostní incident, vyzvednout balíček, získat atraktivní odměnu nebo aktualizovat osobní údaje. Zpráva téměř vždy obsahuje odkaz na podvodnou webovou stránku, případně telefonní číslo, na které má oběť zavolat. V pokročilejších případech mohou zprávy obsahovat také odkaz ke stažení škodlivé aplikace, která po instalaci získá přístup k citlivým datům uloženým v mobilním zařízení.

Při provádění smishingových kampaní využívají útočníci různé techniky pro zvýšení důvěryhodnosti svých zpráv. Patří mezi ně například spoofing telefonních čísel, kdy útočník manipuluje s informacemi o odesílateli tak, aby zpráva vypadala, že pochází z legitimního zdroje, jako je banka, finanční úřad nebo třeba známá firma. Dalším běžným trikem je využívání zkracovačů webových adres, které maskují skutečnou cílovou adresu a komplikují rozpoznání podvodného odkazu. Útočníci často používají také techniky sociálního inženýrství, jako je vytváření pocitu naléhavosti, strachu nebo zvědavosti, aby přiměli oběti k rychlé akci bez důkladného promyšlení.

Smishing přes messengery

S rostoucí popularitou komunikačních aplikací jako WhatsApp, Facebook Messenger či Telegram se smishingové útoky rozšířily i na tyto platformy. Vznikly tak nové varianty tohoto typu útoku nazývané social media phishing nebo chat phishing. Tyto útoky využívají stejné principy jako tradiční smishing, ale jsou přizpůsobeny specifickým vlastnostem jednotlivých platforem a mohou těžit z důvěry, kterou mají uživatelé při komunikaci s přáteli nebo zapojení do hromadných chatů.

Smishingové útoky se také postupně staly výrazně cílenějšími a personalizovanějšími. Zatímco zpočátku šlo o hromadné rozesílání podvodných zpráv na náhodná telefonní čísla, současné smishingové kampaně často využívají informace získané z úniků dat, sociálních médií i dalších zdrojů k vytvoření vysoce přizpůsobených zpráv. Tato technika, známá jako spear smishing (analogicky ke spear phishingu v e-mailech), výrazně zvyšuje úspěšnost útoků, protože osobní informace ve zprávách zvyšují jejich zdánlivou legitimitu.

Cíle smishingu

Nejčastějším motivem smishingových útoků je finanční podvod. Útočníci napodobují banky, platební služby, dopravce nebo investiční platformy s cílem získat přihlašovací údaje k účtům nebo čísla platebních karet, případně provést neautorizované transakce. Další významnou kategorií je krádež identit, kdy útočníci shromažďují osobní údaje pro další zneužití. Smishing je také často využíván k šíření malwaru, zejména bankovních trojských koní, a spywaru. Škodlivý software pak může sledovat aktivitu uživatele, zachycovat přihlašovací údaje nebo získávat přístup k citlivým informacím. V některých případech slouží smishingové útoky také jako první krok při pokročilých cílených útocích na organizace, kdy jsou zaměstnanci manipulováni k poskytnutí přístupu do firemních systémů.

V posledních letech se objevily i vysoce sofistikované smishingové kampaně zaměřené na konkrétní sektory a události. Například během pandemie covidu-19 došlo k prudkému nárůstu smishingových útoků souvisejících s testováním, očkováním, státní podporou a doručováním balíčků. Útočníci rychle přizpůsobují své taktiky aktuálním událostem, aby maximalizovali relevanci a důvěryhodnost svých zpráv. Například během významných nákupních období, jako je Black Friday nebo vánoční sezóna, se výrazně zvyšuje počet smishingových útoků napodobujících e-shopy, doručovací služby a platební systémy.

Obrana přes smishingem 

Existuje několik účinných strategií pro minimalizaci rizika smishingových útoků. Zásadní je posilování povědomí uživatelů o této hrozbě a osvojení si základních bezpečnostních návyků. Jde především o ověřování odesílatele zpráv, ignorování podezřelých odkazů, používání dvoufaktorové autentizace a také instalaci aplikací pouze z oficiálních obchodů. S osvětou mohou pomoci i instituce, za které se smishingoví útočníci nejčastěji vydávají. Například banky často aktivně informují své klienty, že po nich nikdy nebudou požadovat citlivé informace prostřednictvím SMS zpráv ani e-mailů.

Z technologického hlediska existují nástroje pro detekci a blokování smishingových útoků integrované i přímo do mobilních operačních systémů iOS a Android. Také specializované bezpečnostní aplikace mohou filtrovat podezřelé SMS zprávy a blokovat známé škodlivé domény. Se smishingem a souvisejícím spoofingem bojují rovněž mobilní operátoři, kteří implementují pokročilé systémy pro detekci a blokování hromadných smishingových kampaní na úrovni sítě.

Zneužití AI

Aktuálním trendem v oblasti smishingu je využívání generativní umělé inteligence k vytváření přesvědčivých a gramaticky správných zpráv, které je stále složitější odhalit. Dalším znepokojivým trendem je kombinace smishingu s technikami deepfake podvodů. Útočníci mohou generovat falešné hlasové zprávy napodobující členy rodiny, kolegy z práce nebo například obchodní partnery, což dále zvyšuje důvěryhodnost podvodné komunikace. I proto bude efektivní obrana proti smishingu vyžadovat kombinaci technologických řešení, vzdělávání uživatelů a spolupráci institucí, které útočníci napodobují.