SMSishing - łowienie na SMSa

25.06.2021 r.

Telefon komórkowy przestał być wyłącznie urządzeniem do dzwonienia i wysyłania SMS-ów. Łączy w sobie coraz więcej funkcji. Przede wszystkim wykorzystujemy go do korzystania z internetu. W tym także do bankowości internetowej. I chociaż jest to wygodne, bo urządzenie o wielu funkcjach możemy mieć zawsze przy sobie, to wiedzą o tym także przestępcy, którzy także starają się wykorzystać tę wielofunkcyjność telefonu. Jednym z najpopularniejszych sposobów ich działania w tym zakresie jest smishing.

Nazwa smishing jest podobna do phishingu i nic w tym dziwnego. Mechanizm w obu przypadkach jest dość podobny. Właściwie smishing jest jedną z odmian phishingu, w której przestępcy łowią nas na SMS-a.

Do fałszywych wiadomości wysyłanych e-maile już trochę się przyzwyczailiśmy i nasza czujność w tym zakresie jest większa. Świadomość przysyłania wielu wiadomości będących spamem sprawia, że także te wiadomości, które mają nakłonić nas do ryzykownego działania kończącego się utratą danych, przechodzą przez naszą osobistą barierę ochronną zwaną rozsądkiem. Wiemy, że nasz adres może znajdować się w różnych bazach danych lub możemy być losowo wybierani przez naciągaczy.

Jednak - wbrew pozorom - łatwiej jest hakerom zdobyć nasz numer telefonu niż adres mailowy. Telefon ma ograniczoną liczbę znaków i zawsze są to cyfry. Adres mailowy nie ma właściwie ograniczeń.

Dlatego coraz częściej dochodzi do ataków poprzez wiadomości SMS. A pomysłowość przestępców nie zna tutaj granic. Może to być rzekoma wiadomość od firmy kurierskiej z informacją o dopłacie do przesyłki. Może to być niby wiadomość od dostawcy energii elektrycznej o zaległości na rachunku za prąd. Przestępcy mogą podszywać się pod bank. Wykorzystują też aktualne wydarzenia jak chociażby w przypadku wiadomości o konieczności rejestracji na szczepienia przeciw Covid-19 czy informujące o rozliczeniu PIT. Mogą też sugerować, że są Twoim lokalnym dostawcą internetu i oferują ci atrakcyjną ofertę. I chociaż oferta lokalnych firm naprawdę może być atrakcyjniejsza od tej, którą posiadasz obecnie, to lepiej skontaktować się bezpośrednio z dostawcą, niż klikać w tak przesłany link.

 

Niewielka kwota – wielki problem

Jedno łączy wszystkie te wiadomości tekstowe - ich celem jest kradzież danych osobowych jak chociażby dane z karty kredytowej. A dzieje się to poprzez kliknięcie w zawarty w wiadomości link, pod którym niby to mamy dokonać odpowiedniej rejestracji czy drobnej opłaty dodatkowej (np. za przesyłkę kurierską). I wysokość tych opłat często usypia naszą czujność. Bo czym jest dopłacenie do rachunku 2 zł czy uzupełnienie opłaty kurierskiej o 3 zł?

Jednak kliknięty link może prowadzić do strony z fałszywym panelem płatności lub odnośnika do pobrania aplikacji. I w obu przypadkach swoim wyglądem przypominają one te, których spodziewamy się po treści SMS-a. A uśpiona niską kwotą czujność nie nakłania nas do dokładnego sprawdzenia chociażby adresu strony, który może różnić się drobnymi elementami. Wchodzimy w link i wybieramy swój bank, do którego się logujemy. I to otwiera przestępcom pełen dostęp do naszych danych i naszych pieniędzy.

Sytuacja z małej opłaty dodatkowej może szybko przekształcić się w utratę wszystkim zgromadzonych pieniędzy. A nawet w ogromne zadłużenie, gdy hakerzy po zdobyciu dostępu do karty kredytowej zaczną na nasze konto dokonywać kolejnych płatności.

Najważniejsze: zachować czujność

Jak ustrzec się przed takimi problemami?
Jeśli dany SMS budzi nasze wątpliwości, to przede wszystkim nie wchodźmy w link, który zawiera. Z każdą firmą można skontaktować się pod ich numerem telefonu czy przez stronę internetową wyszukaną samodzielnie. Jeśli jest to firma kurierska informująca o konieczności dopłaty do przesyłki – zadzwonić i dopytać, zapowiadana paczka w ogóle została do nas wysłana. Jeśli dostawca energii elektrycznej sprawdzić, czy rzeczywiście zalegamy z jakąś opłatą. Jeśli to ma być firma lokalna, która działa w pobliżu – jak lokalny dostawca internetu, warto skontaktować się bezpośrednio z nim i dowiedzieć, czy taka oferta jest obecnie rozsyłana do losowych osób.

Niezależnie jaki podmiot próbuje poprzez SMS-a nakłonić nas do konkretnych działań, zawsze można to zweryfikować. Najpierw myślmy, potem działajmy.

Nie jesteśmy całkiem bezbronni

Oprócz naszej osobistej tarczy ochronnej jaką powinna być czujność i rozwaga, istnieją też systemy zabezpieczeń i przepisy, które mają nas przed oszustami chronić.

Każdą wiadomość zidentyfikowaną przez nas jako smishing możemy zgłosić do CERT Polska. Istotne jest przesłanie pełnej, oryginalnej wersji wiadomości. Analitycy takie strony weryfikują i następnie wpisują na Listę Ostrzeżeń.

Próby wyłudzenia można też zgłaszać do NASK.

Natomiast operatorzy zobowiązani są do blokowania dostępu do stron internetowych, które wykorzystują domeny internetowe znajdujące się na Liście Ostrzeżeń.

Jednak zanim inni zadbają o nas w świetle przepisów prawa, my musimy zadbać o siebie najpierw. Przestępcy nie przestają wymyślać nowych sposobów na oszukanie nas i pozbawienie nas pieniędzy. Ostrożność i rozsądek są najlepszą obroną przez ich działaniami.