Skoči na vsebino

Zlorabe sistemov za pošiljanje verifikacijskih SMS sporočil

Objavljeno: 8.3.2023
Zadnja sprememba: 21.8.2024

Od februarja 2023 dalje smo na SI-CERT prejeli več prijav uporabnikov, da so na svoj telefon prejeli neobičajna SMS sporočila, ki vsebujejo verifikacijske kode za različne storitve.

Taka sporočila prihajajo na naključne telefonske številke pri različnih operaterjih. Sporočila niso sprožena z morebitno predhodno registracijo ali prijavo uporabnikov samih, prav tako pa prejemniki praviloma niso uporabniki storitev, od katerih prejemajo sporočila. Lahko se zgodi, da na isto telefonsko številko v kratkem času pride več sporočil s strani različnih storitev. Objave o identičnem pojavu sporočil je najti tudi na nekaterih tujih forumih, tako da pojav ni omejen na Slovenijo.

Na SI-CERT smo prejeli tudi več prijav slovenskih ponudnikov spletnih storitev, ki pri registraciji računa ali drugih uporabniških aktivnostih omogočajo pošiljanje SMS sporočil z verifikacijskimi kodami. Ponudniki so nas obvestili, da so bili sistemi pošiljanja kod zlorabljeni s strani neznanih storilcev, ki so prek njega na večje število tujih ali slovenskih telefonskih številk pošiljali SMS sporočila z verifikacijskimi kodami. Običajno je šlo za pošiljanje sporočil na zaporedne telefonske številke, med katerimi je bilo tudi veliko takih, ki sploh niso bile aktivne. Posledica take zlorabe je lahko tudi večje finančno oškodovanje ponudnika storitve.

Gre za prevaro, znano pod angleškim izrazom “SMS pumping“. Po nekaterih navedbah naj bi šlo za umetno pošiljanje SMS sporočil z namenom ustvarjanja zaslužka enega ali več operaterjev, ki sodelujejo pri posredovanju SMS sporočil. Na SI-CERT tega sicer ne moremo niti potrditi niti zanikati.

Priporočeni ukrepi

Uporabnikom svetujemo, da taka sporočila ignorirajo, razen če so sami sprožili zahtevo za prejetje (npr. ob prijavi ali registraciji). V nobenem primeru naj uporabniki teh sporočil ne posredujejo tretjim osebam, tudi v primeru, če bi jih nekdo poklical po telefonu in zahteval kodo iz sporočila. Možnosti, kako bi lahko uporabniki preprečili prejemanje takih sporočil, ne poznamo. Onemogočanje prejemanja komercialnih SMS sporočil s strani operaterja ne prepreči prejemanja teh sporočil.

Upravljavcem spletnih storitev, ki vsebujejo funkcionalnost pošiljanja verifikacijskih SMS kod, svetujemo implementacijo zaščit za preprečevanje množičnega pošiljanja sporočil na naključne telefonske številke.

Zunanje povezave:

Preberite tudi

5 varnostnih nasvetov, ki naj v 2025 gredo v pozabo

Pripravili smo pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki več ne ustrezajo sodobnim varnostnim zahtevam.
Več

Kaj nas je naučilo leto 2024?

Iztekajoče leto 2024 so zaznamovali tako odmevnejši kibernetski napadi na velike organizacije, ki so pritegnili veliko medijske pozornosti, kot tudi veliko število incidentov v manjših podjetjih, predvsem prevar z vrivanjem v poslovno komunikacijo (t.i. BEC prevara) in okužb z zlonamerno kodo (t.i. infostealers). 
Več

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil …
Več