REKLAMA

Smishing! I nie masz kasy na koncie

Dostajecie czasami dziwne SMS-y, które wydają się wiadomościami z banku? Lepiej uważaj, bo właśnie pod takie instytucje podszywają się przestępcy wykorzystujący metodę smishingu, jednej z odmian phishingu. Cyberprzestępcy biorą na celownik telefon, na który wysyłają wiadomości tekstowe, aby następnie podjąć próbę wyłudzenia poufnych danych. Eksperci podpowiadają, jak w porę rozpoznać atak tego typu oraz w jaki sposób się przed nim ochronić.

Smishing. I nie masz kasy na koncie
REKLAMA

Smishing jako termin funkcjonuje od 2006 r. Mimo że nie używa się go tak często, jak pojęcia phishing, powinien on być znany każdemu użytkownikowi telefonu komórkowego. Według danych Earthweb tylko w kwietniu 2022 r. cyberprzestępcy wysłali ponad 2,6 miliarda wiadomości smishingowych na tydzień, a obecnie wciąż nie zwalniają tempa, w związku z czym lepiej być świadomym ich działań.

REKLAMA

Tak wygląda atak smishingowy

Jak podaje Fortinet, treść wiadomości smishingowej może poruszać różne tematy. Bywa, że są to kwestie prawne lub też ostrzeżenie przed podejrzaną aktywnością na koncie bankowym odbiorcy. Wiadomość ta ma jednak spełniać jeden cel: nakłonienie ofiary do podjęcia działania.

Do SMS-a najczęściej dołączany jest link prowadzący do fałszywej strony logowania, łudząco przypominającej prawdziwą witrynę najczęściej banku. Odbiorca jest następnie proszony o wprowadzenie swoich poufnych danych, takich jak login i hasło, na fałszywej stronie. W konsekwencji, chcąc ratować swoje środki, sam je naraża na kradzież, w panice dzieląc się danymi z fałszywymi przedstawicielami banku.  W momencie, gdy napastnicy znajdą się w posiadaniu tych informacji, pierwsza faza ich ataku kończy się sukcesem.

Więcej wiadomości o cyberbezpieczeństwo

Istnieje również prostszy schemat smishingu. Załączony do wiadomości link nie zawsze prowadzi do strony logowania. Bywa, że po jego otwarciu, na urządzenie ofiary od razu pobierane jest złośliwe oprogramowanie, które samo będzie w stanie przechwycić poufne informacje ­– wyjaśnia Jolanta Malak, dyrektorka Fortinet w Polsce.

Z podejrzliwością należy podchodzić też do każdej wiadomości, która zawiera w sobie prośbę o przelew środków, bez względu na jej nadawcę. Cyberprzestępca jest w stanie zebrać listę nazwisk znajomych oraz członków rodziny potencjalnej ofiary z serwisów społecznościowych. Dzięki tej wiedzy może podać się za kogoś z otoczenia odbiorcy wiadomości, a następnie poprosić o pożyczkę.

Tego typu ataki często kończą się sukcesem nie tylko z powodu wykorzystania w nich inżynierii społecznej. W rzeczywistości wiele instytucji faktycznie komunikuje się ze swoimi klientami poprzez wiadomości tekstowe. Dlatego ważne jest, aby wiedzieć, jak wygląda uzasadniona prośba o informacje od konkretnych podmiotów. Jeśli otrzymana przez nas wiadomość tekstowa różni się doborem słów lub formatem od standardowego wzoru, należy ją traktować z ostrożnością ­– dodaje Jolanta Malak.

Co zrobić, żeby nie dać się naciąć

Od momentu wejścia w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, obrona przed smishingiem i innymi atakami typu phishing wykroczyła poza wyłączną odpowiedzialność użytkowników urządzeń końcowych. Zwalczanie takich nadużyć leży również w gestii przedsiębiorstw telekomunikacyjnych. W poczet wymaganych od nich działań zalicza się m.in. blokowanie SMS-ów wpisujących się wyglądem w schemat wiadomości smishingowych, a także połączeń głosowych, w których następuje próba podszycia się pod inną osobę lub instytucję. Tego typu blokada ma służyć przede wszystkim jako metoda ochrony osób starszych oraz najmłodszych grup, które najczęściej mają trudności w identyfikacji fałszywych wiadomości.

Niezależnie od wejścia w życie wspomnianej ustawy, warto wiedzieć, jak można chronić się przed działalnością oszustów. Jednym z najskuteczniejszych środków zapobiegania atakom typu smishing jest edukacja społeczeństwa w zakresie cyberhigieny. Napastnicy mogą próbować oszukać swoją ofiarę na wiele różnych sposobów, jednak przeważnie ich działania polegają na tym samym, ogólnym schemacie. Jego znajomość, a także wiedza o innych taktykach stosowanych przez cyberprzestępców, jest kluczowa w wykrywaniu i powstrzymywaniu ataków smishingowych.

Oto kilka porad, pomocnych w zapobieganiu atakom typu smishing:

REKLAMA
  1. Każda nagła sytuacja przedstawiona nam w wiadomości tekstowej powinna być traktowana z ostrożnością. Pochopne działanie jest niewskazane.
  2. Nie należy otwierać linków osadzonych w wiadomościach SMS.
  3. Zaleca się sprawdzanie każdego numeru nadawcy wiadomości zawierającej prośbę o udostępnienie danych. Jeśli wygląda on podejrzanie, prawdopodobnie jest to atak typu smishing.
  4. Nie należy przechowywać danych bankowych ani informacji o karcie kredytowej w telefonie. Złośliwe oprogramowanie może uzyskać do nich dostęp.
  5. Odradzane jest otwieranie jakichkolwiek wiadomości w przypadku braku pewności co do tożsamości jej nadawcy.
  6. Próby smishingu należy zgłaszać do CERT Polska, pod numerem 799 448 084 lub na stronie internetowej incydent.cert.pl.
  7. Zaleca się ignorowanie próśb o zmianę lub aktualizację danych o kontach, otrzymywanych za pośrednictwem wiadomości SMS.

W przypadku otrzymania wiadomości od nieznanego numeru warto wyszukać go w internecie, aby uzyskać więcej informacji na jego temat. Te, które faktycznie mają powiązania z instytucjami, szybko pojawią się w wynikach wyszukiwania. Możliwe jest także odnalezienie danego podejrzanego numeru na liście numerów używanych przez cyberprzestępców. Wówczas wszelkiego typu wątpliwości zostaną rozwiane.

REKLAMA
Najnowsze
Zobacz komentarze
REKLAMA
REKLAMA
REKLAMA