Delovanje prevarantov, da z lažnim predstavljanjem pridejo do vaših potrditvenih kod – in kaj se lahko zgodi, če jim jih pošljete.
“Te kode ne delite z nikomer!” Če gre za enkratne kode/gesla (OTP) in uporabniška gesla, bi moral biti ta nasvet tako samo po sebi umeven in nekaj, kar vsi že vemo, da ga ni treba več ponavljati. Ampak…
Potem dobite prijazno prošnjo za pomoč
Nedavno smo naleteli na prevaro z lažnim predstavljanjem (ang. phishing). Neka oseba je prejela sporočilo SMS, v katerem je pisalo približno tako:
“Pozdravljeni, ne poznate me, ampak vaša mobilna telefonska številka je bila nekoč moja. Skušam se prijaviti v neki svoj stari račun, ki je povezan s to telefonsko številko, in aplikacija mi sporoči, da mi bodo poslali potrditveno kodo v sporočilu SMS na mobilno telefonsko številko, ki jo zdaj uporabljate vi. Zanima me, ali lahko zaprosim za potrditveno kodo, ki jo boste prejeli na svoj telefon po SMS-ju, vi pa mi jo potem posredujete? Če to za vas ni sprejemljivo, popolnoma razumem in ni problema.”
Res je, da če svoje mobilne telefonske številke dolgo ne uporabljate, jo lahko mobilni operater vzame iz uporabe in čez nekaj časa proda nekomu drugemu. Torej obstaja možnost, da je imela vaša mobilna telefonska številka nekoč drugega lastnika, še posebej, če ste jo dobili nedavno. In mnogi ljudje vedo za to.
Prošnja je napisana vljudno in je videti izjemno prepričljiva. Prijazni ljudje cenijo vljudnost in prošnja se zdi upravičena, zato bodo najbrž hoteli pomagati. Tako pride potrditvena koda in prejemnik jo pošlje avtorju vljudne prošnje, ki potem odgovori z iskreno hvaležnostjo. Toda dobri samaritan je ravno dal avtorju vljudne prošnje dostop do svojega računa.
Kaj se je zares zgodilo
Seveda obstaja zelo majhna možnost, da je sporočilo res poslal nekdo, ki je bil nekoč lastnik vaše mobilne telefonske številke in potrebuje vašo pomoč. Ampak to je malo verjetno. Bolj verjetna razlaga je lažno predstavljanje. Poglejte, kako pride do tega.
Napadalec v divjinah kibernetskega prostora odkrije e-naslov (vaš), ki je povezan s telefonsko številko (tudi vašo). Če imate oziroma ste nekoč imeli račun Yahoo, Twitter ali LinkedIn (ali enega od stotih računov pri manj znanih storitvah, katerih uporabniški podatki so bili nedavno razkriti), ni težko ugotoviti, katera telefonska številka je povezana z vašim e-naslovom.
Napadalec začne tako, da najprej ukrade dostop do vašega e-naslova. To naredi tako, da ponastavi geslo. Ko skuša ponastaviti geslo, pošlje storitev sporočilo SMS s potrditveno kodo na mobilno telefonsko številko, povezano z računom, da potrdi, da je lastnik računa ta, ki skuša ponastaviti geslo.
Preden pa prevarant naredi ta korak, vam pošlje ganljivo vljuden SMS, katerega primer smo zapisali zgoraj. Potrditvena koda je veljavna samo nekaj minut, zato vas mora kibernetski zločinec ustrezno pripraviti, da mu boste poslali potrditveno kodo, takoj ko jo dobite.
Napadalec ima zdaj dostop do vašega e-naslova, zato lahko ponastavi gesla za vse račune, povezane s tem e-naslovom — družabna omrežja, druge storitve e-pošte, spletne denarnice in tako dalje. Povezave za ponastavitev gesel so poslane na ta e-naslov, in tako ima kibernetski zločinec dostop do vseh vaših računov – vi ga pa nimate.
Zato ne smete nikoli z nikomer deliti svojih potrditvenih kod, ki jih prejmete po sporočilu SMS, ne glede na to, kako prijazno vas nekdo prosi za pomoč. Če delite samo eno kodo, si lahko zaklenete dostop do skoraj celotnega svojega spletnega obstoja.
Kako poskrbeti za varnost svojih računov
• Nikoli ne delite svojih potrditvenih kod z nikomer, ne po SMS in ne po telefonu. Te kode so glavni način, s katerim storitev preverja, da ste vi res vi.
• Omogočite dvofaktorsko avtentikacijo* (avtentikacija = preverjanje pristnosti uporabnika), kjer je to mogoče. Tudi če izgubite dostop do svojega e-računa, boste vsaj lahko zavarovali svoje druge račune pred krajo.
• Uporabite napredne varnostne rešitve (protivirusne programe in VPN) na vseh vaših napravah, tudi na mobilnih. Poleg drugih funkcij za zaščito vas bodo obvestili tudi o trojancih, ki skušajo ukrasti kode iz SMS-jev.
