Varování: Smishingová kampaň napodobující stránky Ministerstva práce a sociálních věcí

Kyberbezpečnostní tým Masarykovy univerzity varuje před kampaní, která napodobuje stránky Ministerstva práce a sociálních věcí České republiky (MPSV), a snaží se tak vylákat z lidí přihlašovací údaje do internetového bankovnictví.

14. 11. 2022 Varování

Bez popisku

O co jde?

V poslední době se opět objevilo množství falešných SMS zpráv, které lákají uživatele na příspěvek na bydlení od Ministerstva práce a sociálních věcí. SMS zprávy obsahují falešné domény jako post24-mpsv.cz nebo gov-mpvs.online. Útočníci se snaží oběti nalákat, aby kliknuli na odkaz v SMS zprávě, který vede na podvrženou stránku MPSV.

Kampaň je velmi sofistikovaná, neboť podvržená stránka MPSV vypadá velmi věrohodně a neobsahuje gramatické chyby. Pokud uživatel u této stránky klikne na tlačítko, dostane se na falešnou stránku bankovní identity. Zde útočníci vytvořili falešnou přihlašovací bránu pro všechny banky. I QR kódy jsou pravé a odkazují na stránky bank. Útočníci se tímto podvodem snaží z uživatelů vylákat přihlašovací údaje do jejich internetového bankovnictví.

Podvržená stránka, která se snaží napodobit oficiální web Ministerstva práce a sociálních věcí
Podvržená přihlašovací stránka do bankovní identity. V tomto případě se jedná o stránku, která se snaží napodobit vzhled přihlašování do internetového bankovnictví Air Bank.

Co dělat?

Útočnici vytvořili vzhledově velmi zdařilou kopii webu MPSV. Z toho důvodu se vám na první pohled může zdát vzhled stránky věrohodný. Nenechte se však zmást a zkontrolujte URL adresu stránky! Útočníci totiž v URL adresách záměrně vytvářejí drobné přesmyčky, aby oficiální název adresy co nejlépe napodobili (například místo mpsv použijí mpvs). Nicméně jediná oficiální stránka ministerstva má formát mpsv.cz, přičemž oficiální adresa odkazující přímo na informace o příspěvku na bydlení vypadá následovně: https://www.mpsv.cz/web/cz/-/prispevek-na-bydleni.

Stejně tak doporučujeme dávat si pozor na falešné přihlašovací brány jednotlivých bank. I zde je nutné zkontrolovat URL adresu, a ověřit si, zdali se opravdu nacházíme na oficiálním webu naší banky. Obecně platí, že žádná banka po vás nikdy nebude chtít sdělit citlivé údaje přes telefon, e-mail nebo SMS. V případě podezření, že jste obdrželi podvodnou SMS, e-mail či telefonát, je vhodné si telefonní číslo či e-mailovou adresu zkontrolovat na oficiálních stránkách banky. Nicméně nejlepším řešením v takovém případě je nic přes telefon nesdělovat a osobně si do banky zajít. Vyhnete se případným potížím.

Závěr

Smishing, který útočníci ve výše zmíněné podvodné kampani užívají, je technika sociálního inženýrství využívajících jednu z nejcitlivějších metod – psychologickou manipulaci. O dalších podobně zákeřných technikách i radách, jak se nenechat napálit si můžete přečíst v našem online kurzu, který jsme pro vás připravili. Zároveň vám také doporučujeme sledovat aktivity Kyberbezpečnostního týmu Masarykovy univerzity, který vás před aktuálními hrozbami varuje.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info