V Centru kibernetske varnosti in odpornosti Telekoma Slovenije se vsak dan srečujejo z velikim številom prevar ribarjenja, ki ostajajo med najpogostejšimi oblikami kibernetskih napadov. Vse pogosteje so usmerjene prav v uporabnike mobilnih telefonov. Prvi stik pa storilci vzpostavijo na različne načine, prek telefonskih klicev, lažnih e-poštnih sporočil, SMS sporočil ali sporočil v aplikacijah za instantno komuniciranje.
Pri lažnem predstavljanju nepridipravi pogosto zelo prepričljivo posnemajo sporočila uradnih organov, bank, poštnih služb in drugih prepoznavnih organizacij. Zato je previdnost potrebna tudi pri prebiranju SMS sporočil in drugih kratkih sporočil. Še posebej to velja za sporočila, ki prihajajo z neznanih ali nenavadnih številk. Na povezavah, prejetih v takšnih sporočilih, nikakor ne vpisujte osebnih podatkov, predvsem pa ne podatkov plačilnih kartic. Če ste podatke plačilne kartice že vnesli, se čim prej obrnite na kontaktni center svoje banke. V primeru, da je prišlo do oškodovanja, pa zlorabo prijavite policiji.
Smishing je postal del vsakdanjih prevar
Primeri zlonamernega spletnega ribarjenja prek lažnih sporočil, znani kot smishing, so že nekaj časa del vsakdanjika uporabnikov mobilnih naprav. Pogosto gre za sporočila, ki jih prejemniki zamenjajo za uradna SMS-sporočila, saj so oblikovana tako, da posnemajo znane organizacije ali institucije. Pogostost tovrstnih napadov se izrazito poveča v obdobjih, ko se vedenje uporabnikov predvidljivo spremeni. Takšna obdobja so npr. pred božičem ali črnim petkom, čas dopustov in praznikov. To je namreč čas, ko uporabniki množično pričakujejo pošiljke in urejajo finančne ter druge obveznosti.
Zakaj je tako uspešen?
Ker napadalci izberejo čas, ko uporabniki dejansko pričakujejo podobna obvestila, lahko lažje izkoristijo njihova realna pričakovanja z lažnimi sporočili o pošiljkah, rezervacijah, dolgovih, plačilih ali blokadah. Takšna sporočila pogosto temeljijo tudi na občutku nujnosti. Včasih pa vključujejo tudi grožnje, kot so kazen, dolg ali blokada storitve. Napadi se prilagajajo aktualnim družbenim in tehnološkim temam ter z izkoriščanjem zaupanja v institucije ciljajo na širši krog uporabnikov. Skupni imenovalec je torej, da gre za obdobje, ko se sporočilo iz napada sovpada z realnimi pričakovanji prejemnikov. Prav zato jih je težje prepoznati.
Kako prepoznati lažno sporočilo?
Smishing temelji na tehnikah socialnega inženiringa. Predvsem gre za ustvarjanje občutka nujnosti, avtoritete in pričakovanja. Tipični znaki, po katerih lahko uporabniki prepoznajo lažna sporočila, so nepričakovana komunikacija, ki se sklicuje na dostavo, plačilo, blokado računa ali drug logistični, finančni oziroma dostopni proces. Pogost znak so tudi skrajšane ali prikrite URL-povezavep. Te namreč vodijo na lažne spletne strani, ki so zasnovane za krajo podatkov. Posebej nevarne so zahteve po občutljivih podatkih, kot so gesla, številke plačilnih kartic, enkratne kode ali drugi osebni podatki. Legitimni ponudniki namreč takšnih podatkov praviloma ne zahtevajo prek SMS-sporočil.
Uporabniki naj bodo še posebej pozorni na neskladja v identiteti pošiljatelja. Npr., kadar se ime organizacije ne ujema s številko pošiljatelja ali spletno povezavo. Sumljivi so tudi izrazi, ki ustvarjajo psihološki pritisk. Npr. »takoj ukrepajte«, »zadnji opomin« ali podobna opozorila, ki zmanjšujejo racionalno presojo. Med novejšimi oblikami prevar so tudi lažni varnostni preizkusi. Pri njih se od uporabnika kot dokaz, da ni robot, zahteva kopiranje in izvedba neznanih ukazov v ukazni vrstici, kot sta Command Prompt ali PowerShell.
Smo deležni phishing napada ali smo prejeli običajen SMS?
Za zanesljivejše preverjanje avtentičnosti sporočila je treba najprej preveriti povezavo. Uporabniki naj bodo pozorni na tipkarske napake v domeni, nenavadne spletne naslove in skrajšane URL-povezave, saj uradne institucije praviloma uporabljajo uradne spletne naslove. Namesto klika na povezavo je varneje, da uporabnik sam vpiše spletni naslov organizacije. Lahko pa jo celo pokliče prek uradno objavljenih kontaktov. Pri tem nikoli ne smemo uporabljati kontaktnih podatkov, ki so navedeni v sumljivem SMS-sporočilu. Pozornost je potrebna tudi pri tehničnih znakih, kot so lažno prikazan pošiljatelj, sumljivi parametri v povezavi ali množično razposlana enaka sporočila. Zelo nenavadno je tudi, da bi slovenski državni organ uporabniku poslal obvestilo z mednarodne telefonske številke in ne slovenske. Pomembno je tudi vprašanje, ali uporabnik takšno sporočilo sploh pričakuje, saj nepričakovana sporočila običajno pomenijo večje tveganje. Dodatno pomoč pri preverjanju lahko nudijo opozorila organizacij, kot je SI-CERT, ki redno objavlja aktualne primere prevar.
Previdnost velja tudi pri klicih in e-pošti
Uporabniki lahko namesto sporočila prejmejo tudi prepričljiv telefonski klic, celo v slovenščini, ali elektronsko sporočilo. Način delovanja storilcev je v takšnih primerih podoben. Namen pa ostaja enak. To je, pridobiti osebne podatke, podatke plačilnih kartic, gesla ali dostop do uporabnikovih računov. Zato tudi pri klicih in e-pošti veljajo enaka načela previdnosti. Uporabnik naj ne razkriva občutljivih podatkov, naj ne namešča aplikacij po navodilih neznancev in naj ne sledi povezavam, ki jih prejme v nepričakovani komunikaciji.
Kako Telekom Slovenije ščiti svoje uporabnike proti tovrstnim prevaram?
V Telekomu Slovenije uporabnike sistemsko varujejo z večplastno zaščito proti phishingu na ravni omrežja, aplikacij in signalizacije. Zaščita vključuje blokiranje dostopa do znanih lažnih spletnih strani, filtriranje sumljivih prekomernih SMS-sporočil in e-pošte ter preverjanje identitete pošiljateljev. Na tak način se preprečujejo zlorabe v imenu bank in drugih organizacij. Ob tem uporabljajo in redno posodabljajo sezname znanih groženj, kar omogoča hitrejše zaznavanje novih phishing kampanj. Ker nepridipravi stalno menjajo številke, domene in pristope, je treba zaščitne ukrepe nenehno prilagajati.
Nekatere zlorabe je mogoče zaznati šele po prijavah uporabnikov, saj Telekom Slovenije zaradi varovanja zasebnosti komunikacij ne spremlja in ne posega v vsebino sporočil. Pri prepoznavanju lažnih sporočil so zato pomembne tudi prijave uporabnikov, ki lahko posredujejo vsebino sumljivih sporočil. Telekom Slovenije uporabnike sproti opozarja na zaznana tveganja, sodeluje z nacionalnimi in mednarodnimi organizacijami ter drugimi operaterji, kar omogoča koordiniran odziv in zmanjševanje širjenja napadov. Uporabnikom svetujejo uporabo varnostnih rešitev, kot je Varen splet, poslovnim uporabnikom pa za varno komunikacijo s strankami rešitev M:Vrata.
Varovanje uporabnikov Telekoma Slovenije v praksi
Mediji in druge organizacije so nedavno poročali o obsežnem smishing napadu z lažnimi sporočili iMessage, ki so se izdajala za SMS-sporočila državnih organov in uporabnike pozivala k plačilu prometne kazni. Povezave v teh sporočilih so vodile na spletno stran, ki je od uporabnikov zahtevala vnos registrske številke in nato še podatkov plačilne kartice. Te podatke so nepridipravi zatem zlorabili za večje nakupe na spletu.
V Telekomu Slovenije poudarjajo, da v svojem omrežju niso zaznali zlorab prek klasičnih SMS-sporočil. Po do zdaj znanih informacijah so bila zlonamerna sporočila poslana prek storitve Apple iMessage, ki deluje kot neodvisna komunikacijska platforma OTT (Over-The-Top) in ne prek SMS-infrastrukture mobilnih operaterjev. Pri takšnih storitvah mobilni operaterji nimajo neposrednega vpliva na dostavo ali filtriranje vsebine sporočil, saj komunikacija poteka prek podatkovnega prenosa in infrastrukture ponudnika storitve. V takih primerih se na podlagi prijav uporabnikov in drugih zaznanih indikatorjev sproti izvajajo zaščitni ukrepi na omrežnem nivoju. Predvsem gre za blokado zlonamernih domen in povezav, ki so uporabljene v smishing kampanji. SI-CERT je tako navedel, da so nepridipravi od četrtka, 14. 5. 2026, do vključno nedelje, 17. 5. 2026, v smishing kampanji uporabili 41 različnih URL-naslovov, vsakega na novi unikatni domeni. Uporabnikom zato tudi v Telekomu Slovenije svetujejo previdnost pri odpiranju povezav v vseh vrstah sporočil ter dosledno preverjanje verodostojnosti pošiljateljev in spletnih strani, na katere jih sporočila preusmerjajo.
Kako ukrepati ob prejemu lažnega sporočila?
Če uporabnik prejme sumljivo ali lažno sporočilo, naj ga izbriše in nanj ne odgovarja. Sporočila naj ne odpira, prav tako naj ne odpira povezav, ki so navedene v njem. V takšna sporočila ali na spletne strani, do katerih vodijo povezave, naj nikakor ne vpisuje občutljivih podatkov, osebnih podatkov, številk transakcijskih računov ali podatkov plačilnih kartic. Na mobilni telefon naj prav tako ne nameščajo aplikacij s povezav, ki jih ponujajo takšna sporočila. Prav tako naj ne nameščajo nobenih drugih aplikacij iz neznanih virov, npr. denimo po navodilih neznancev prek telefonskega klica.
Če je uporabnik podatke plačilne kartice vseeno že vpisal, naj takoj kontaktira svojo banko in upošteva prejeta navodila. Telefonska številka banke za takšne primere je običajno navedena na zadnji strani bančne kartice. Če je prišlo do oškodovanja, pa naj zlorabo prijavi na najbližji policijski postaji ali prek klica na 113. Zlorabo lahko prijavi tudi nacionalnemu odzivnemu centru za kibernetsko varnost SI-CERT. Uporabniki Telekoma Slovenije lahko zlorabo prijavijo tudi s klicem na podporo uporabnikom, svetovalci pa so dosegljivi na številki 041 700 700.