32 220 35 21 biuro@omegasoft.pl


Dostałeś SMS-a z informacją, że musisz dopłacić do przesyłki kurierskiej lub masz zaległości w rachunkach? Zachowaj czujność – to może być próba oszustwa! W ostatnim czasie bardzo popularny wśród cyberprzestępców staje się smishing, czyli próba wyłudzenia danych za pomocą wiadomości tekstowej. Ta metoda jest stosunkowo nowa i mało znana, dlatego przynosi przestępcom ogromne sumy.

Czym jest smishing? Jakie formy może przybierać? Dlaczego jest tak niebezpieczny? Poznaj metody działania hakerów i dowiedz się, jak chronić siebie i swoich bliskich przed oszustwem!

Co to jest smishing?

Być może słyszałeś już o phishingu – oszustwie polegającym na podszywaniu się pod inne osoby lub instytucje, aby zdobyć dane osobowe, informacje o karcie kredytowej lub zainfekować urządzenie szkodliwym oprogramowaniem. Smishing to jedna z odmian phishingu. Jego specyfika polega na tym, że rozpowszechnia się go poprzez wiadomości tekstowe – głównie SMS. Stąd nazwa: SMiShing = SMS + phishing.

Cel smishingu jest podobny, jak w przypadku phishingu – najczęściej chodzi o nakłonienie odbiorców do ujawnienia poufnych informacji, zazwyczaj hasła do bankowości internetowej lub informacji o karcie bankowej. W tym celu oszuści wysyłają wiadomości tekstowe, zazwyczaj dotyczące wymyślonego problemu — na przykład kłopotu z dostawą, niezapłaconego rachunku lub zablokowanego konta — które odbiorca musi rozwiązać, klikając w łącze. Łatwo dać się nabrać, ponieważ ludzie bardziej ufają wiadomościom SMS, niż e-mailom, nie zdając sobie sprawy, że hakerzy bardzo łatwo mogą zdobyć czyjś numer – czasem nawet łatwiej, niż adres e-mail. Mogą również wysyłać SMS-y na numery będące losową kombinacją cyfr. Liczne oszustwa e-mailowe nauczyły jednak większość użytkowników ostrożności, a SMS-y w dalszym ciągu dają złudne poczucie bezpieczeństwa.

Przestępcy są bardzo pomysłowi – często wykorzystują aktualną sytuację w kraju i na świecie, aby wysyłane przez nich wiadomości brzmiały bardziej wiarygodnie. W Polsce pojawiały się np. wiadomości informujące o możliwości rejestracji na szczepienie lub przypominające o konieczności rozliczenia PIT z dołączonym fałszywym linkiem. Oszuści korzystają również z charakterystycznych części roku – przykładowo, w okresie przedświątecznym, gdy wielu ludzi zamawia różnego rodzaju paczki, wzrasta ilość fałszywych SMS-ów pochodzących rzekomo od firm kurierskich.

Jak przebiega oszustwo?

Główny schemat działania smishingu jest podobny. Dostajesz SMS, a w nim informację o konieczności zapłacenia niskiej kwoty. Oszuści liczą, że potraktujesz to jako błahostkę i pod wpływem impulsu szybko klikniesz w łącze, aby dokonać opłaty i mieć sprawę z głowy. Jeśli to zrobisz, wydarzenia mogą potoczyć się na dwa sposoby:

  • Scenariusz 1

Po kliknięciu w link zostajesz przeniesiony na stronę, która infekuje sprzęt złośliwym oprogramowaniem podszywającym się pod legalną aplikację. Jego rzeczywistym celem jest wyłudzanie ważnych informacji. W ten sposób, oszust może uzyskać zdalny dostęp do Twojego urządzenia i dzięki temu wykraść mnóstwo istotnych danych na Twój temat.

  • Scenariusz 2

Kliknięcie w link przenosi Cię na stronę internetową podszywającą się pod legalną witrynę – zwykle stronę z fałszywym panelem płatności. Do złudzenia przypomina ona oryginalną – jedyna różnica tkwi w adresie, który zwykle ma w swojej treści fragment oryginału, ale przy wnikliwym czytaniu okazuje się być inny. Pamiętaj, liczy się tu każda literka! Niestety, wielu użytkowników traktuje sprawę jako mało istotną, gdyż chodzi o niską kwotę i nie analizuje strony zbyt długo. Ofiara wchodzi więc w link, widzi stronę, która wydaje się jej być dobrze znana, wybiera swój bank i loguje się – przekazując tym samym swoje dane logowania w ręce przestępców.

Na jakie wiadomości trzeba uważać?

Aby przekonać Cię do podania swoich danych logowania lub numeru karty kredytowej, cyberprzestępca może posłużyć się różnego rodzaju wiadomościami.

Oto najczęstsze opcje:

  • prośba od firmy kurierskiej dopłatę do przesyłki,
  • informacja od dostawcy prądu lub gazu o konieczności dopłaty do rachunku,
  • powiadomienie o konieczności dokonania rozliczenia w urzędzie skarbowym,
  • informacja o możliwości rejestracji na szczepienie przeciwko COVID-19
  • prośba o wsparcie (tzw. wiadomości grające na uczuciach), np. funduszu odbudowy po jakiejś katastrofie lub chorego dziecka,
  • podszywanie się pod operatora sieci komórkowej, który rzekomo wysyła fantastyczną ofertę nowej usługi,
  • podszywanie się pod administratora znanej witryny (np. olx, facebook, allegro),
  • udawanie osoby zainteresowanej kupnem przedmiotu wystawionego przez Ciebie na portalu sprzedażowym (np. olx).

Wszystkie te wiadomości łączy jedno – zachęcają w swojej treści do kliknięcia w fałszywy link, mający przenieść Cię na stronę wyłudzającą Twoje dane.

Rodzaje smishingu

Współczesne smartfony dają możliwość otrzymywania wiadomości różnymi drogami – nie tylko poprzez klasyczne SMS-y. Stąd pojawiają się różne rodzaje smishingu:

  • Smishing SMS-owy

To najczęstsza forma tego oszustwa – otrzymujesz wiadomość tekstową na swój numer telefonu.

  • Smishing z wykorzystaniem komunikatora

W tym wypadku haker wykorzystuje komunikator internetowy, aby skłonić Cię do reakcji na wiadomość. Cel jest taki sam – wykraść dane osobowe, numery kart kredytowych, hasła itd. Bardzo często przestępcy korzystają z komunikatora WhatsApp, który daje możliwość wyszukiwania użytkowników po numerze telefonu. Tak było np. w przypadku oszustów wykorzystujących portal olx – przestępca uzyskiwał numer poprzez ogłoszenie, a następnie pisał do ofiary przez WhatsApp tak, jakby był zainteresowany zakupem przedmiotu. Następnie prosił o kliknięcie w link, dzięki czemu ofiara miała uzyskać pieniądze za sprzedawany przedmiot lub wygenerować list przewozowy do przesyłki.

Dlaczego smishing jest bardziej niebezpieczny, niż typowy phishing?

Sekret skuteczności smishingu tkwi głównie w jego nowości. Większość użytkowników w mniejszym lub większym stopniu przyzwyczaiła się do otrzymywania wiadomości phishingowych i innych oszustw poprzez e-maile. Wiedzą więc, jak rozpoznać takie zagrożenia i ich unikać. Wiadomości tekstowe to bardziej nieoczekiwana forma oszustwa – dlatego łatwiej dać się nabrać.

Poza tym, chociaż ludzie bardziej ufają wiadomościom tekstowym, SMS-y są mniej bezpieczne niż e-maile. W dzisiejszych czasach każda przyzwoita usługa e-mail ma inteligentny, wbudowany filtr antyspamowy. Filtry nie są idealne, ale oszuści muszą ciągle wymyślać nowe sposoby, aby je ominąć. Niestety, jeśli chodzi o elastyczność i dokładność, filtry antyspamowe operatorów komórkowych pozostawiają wiele do życzenia.

Skuteczność smishingu bazuje również na tym, że ludzie zazwyczaj czytają wiadomości tekstowe w podróży lub między innymi zadaniami. To w połączeniu z faktem, że mniej spodziewają się niebezpieczeństwa w SMS-ach, powoduje tendencję do mniejszego przyglądania się wiadomościom tekstowym. Takie podejście zwiększa prawdopodobieństwo powodzenia ataku. Innymi słowy, kiedy ludzie otrzymują wiadomość, prawdopodobnie zignorują swoją mentalną listę kontrolną znaków ostrzegawczych i po prostu klikną.

SMS-y oszustów są tak skuteczne również dlatego, że mają znacznie mniej znaków, niż wiadomości e-mail. Gdy otrzymasz maila, możesz spojrzeć na adres nadawcy, ocenić projekt i układ oraz zastanowić się, jak wiarygodna jest ogólnie wiadomość — w skrócie, możesz poszukać standardowych sygnałów ostrzegawczych. W przypadku SMS-ów nawet autentyczne wiadomości wyglądają bardzo podobnie – nie posiadają oprawy graficznej, są krótkie i używają standardowego języka.

Jak chronić się przed smishingiem?

Podobnie jak w przypadku tradycyjnego phishingu, przed smishingiem możesz się chronić. Skorzystaj z poniższych wskazówek, a będziesz bezpieczny:

  • Nie klikaj linku w wiadomości, aby zalogować się do banku lub na jakikolwiek portal. Aby się zalogować, sam wpisz adres w pasku wyszukiwarki.
  • Korzystaj z uwierzytelniania dwuskładnikowego, gdziekolwiek masz taką możliwość. W ten sposób nawet posiadanie skradzionego hasła nie pomoże przestępcom dostać się na Twoje konto.
  • Natychmiast skontaktuj się ze swoim bankiem, jeśli podejrzewasz, że przestępcy uzyskali dostęp do Twojego konta. Bank może zablokować Twoją kartę, zmienić hasła i doradzić, co zrobić dalej.
  • Nigdy nie odpowiadaj na fałszywe wiadomości – to potwierdzi, że Twój numer telefonu jest aktywny.
  • Jeśli masz jakiekolwiek wątpliwości co do prawdziwości wiadomości, skontaktuj się z firmą, która jest jej nadawcą i dowiedz się, wy rzeczywiście ją wysłali.
  • Zainstaluj dobry program antywirusowy. Wiele rozwiązań bezpieczeństwa od dawna używa wbudowanych filtrów do przechwytywania podejrzanych linków w wiadomościach tekstowych i komunikatorach, ostrzegania o nich i upewniania się, że nie stracisz pieniędzy tylko dlatego, że na chwilę stracisz czujność. Świetnie sprawdzą się tu programy znanych i cenionych firm, jak Kaspersky, Norton, Bitdefender, McAfee, Panda lub ESET.

Co zrobić, gdy zauważysz oszustwo?

Jeśli otrzymujesz wiadomość od nieznanej osoby, która próbuje uzyskać Twoją reakcję w postaci kliknięcia w link, powinieneś zawsze podejrzewać, że to smishing. Bądź ostrożny również w przypadku SMS-ów od znajomej osoby – możliwe, że ktoś przejął jej konto.

Otrzymałeś wiadomość, którą uważasz za smishing? Możesz ją zgłosić do CERT Polska. Aby to zrobić, wykorzystaj funkcję „przekaż” lub „udostępnij” aby przesłać treść wiadomości na numer 799 448 084. Ważne, abyś przesłał całą wiadomość – w oryginalnej formie, bez zmian. Dzięki Twojemu działaniu, po weryfikacji taka strona zostanie wpisana na Listę Ostrzeżeń. Dzięki temu, inni użytkownicy mają szansę ochronić się przed zagrożeniem.

Możesz postąpić podobnie, gdy zauważysz próbę wyłudzenia danych poprzez wiadomość e-mail lub bezpośrednio na jakiejś stronie. W takiej sytuacji, zgłoś niebezpieczną witrynę do NASK na stronie incydent.cert.pl/phishing lub emailem na adres: cert@cert.pl.

Pamiętaj również, aby ostrzec przed niebezpieczeństwem swoich bliskich. Najbardziej narażone są dzieci oraz osoby starsze, które nie mają świadomości metod stosowanych przez oszustów. Jeśli otrzymujesz SMS-a i masz wątpliwości, czy faktycznie powinieneś dopłacić czy uzupełnić dane, nigdy nie rób tego wchodząc w podany link. Sam skontaktuj się z firmą, która jest nadawcą wiadomości i dowiedz się, czy faktycznie ją wysłała. Zachowaj czujność i nie daj się nabrać!