Jak nie paść ofiarą smishingu, czyli kradzieży przez SMS?

Pandemia koronawirusa to nowe pole do działania dla przestępców internetowych. Obostrzenia, zapisy na szczepienia, informacje o kwarantannie – wszystko to może być potencjalnie wykorzystane przy próbie wyłudzenia danych. Szacuje się, że w 2020 roku próby smishingu wzrosły trzykrotnie.

Ostatnim głośnym przypadkiem próby kradzieży przez SMS były wiadomości z informacją o zatrzymaniu paczki przez służby celne wraz z linkiem do pobrania aplikacji, która miała pomóc w rozwiązaniu tej sprawy. Kliknięcie w link pobierało złośliwy program, który wykradał pieniądze z konta bankowego.

Inną ogólnopolską akcją były SMSy z prośbą o dopłatę do zatrzymanej przez urząd celny paczki. Kwota była niewielka – poniżej złotówki, ale przez wyłudzone dane ofiary smishingu traciły kwoty rzędu tysięcy złotych. Statystyki pokazują, że ofiary oszustwa, są silnie narażone na ponowny atak.  W przeciągu najbliższych 12 miesięcy sytuacja z pewnością się powtórzy. 

Czym jest smishing?

Smishing jest metodą oszustwa, w której złodziej za pośrednictwem SMS podszywa się pod daną osobę lub instytucję. Celem przestępcy jest pozyskanie personaliów – np. hasła do konta bankowego, numeru PESEL czy danych do logowania w mediach społecznościowych.

Te informacje najczęściej są wykorzystywane do kradzieży pieniędzy. Niestety, szacuje się, że o tym czym jest smishing wie zaledwie niecałe 35 proc. populacji.

Jak to działa?

Oszuści, podszywając się pod kogoś, wysyłają SMSa z prośbą o podjęcie określonego działania. Najczęściej jest to niewielka dopłata do paczki (jest przecież duża szansa, że potencjalna ofiara coś zamówiła), informacja o wygranej czy prośba o wsparcie organizacji charytatywnej.

Przypadki te łączy link, dołączony do wiadomości. Po jego kliknięciu następuje przeniesienie na specjalnie zbudowaną stronę. Może ona udawać stronę banku, urzędu, firmy kurierskiej. Zalogowanie się do jakiegokolwiek konta na takiej fałszywej stronie, jest podaniem oszustom niezbędnych informacji jak na tacy. Istnieje też ryzyko, że wejście wiąże się z pobraniem aplikacji lub złośliwego oprogramowania. Cel jest ten sam. 

Jak rozpoznać smishing?

Gdy otrzymana wiadomość zupełnie nie dotyczy jej odbiorcy – nie czeka on na żadną przesyłkę, nie jest zainteresowany wsparciem zbiórki charytatywnej – to prawdopodobnie zignoruje SMSa, a jego dane będą bezpieczne.

Problem pojawia się w sytuacji, gdy wiadomość brzmi bardzo wiarygodnie. Jak zatem rozpoznać próbę wyłudzenia?

Jak się ochronić?

Przypadki smishingu, choć nierzadkie, mogą być łatwe do wykrycia. Ważne, by pamiętać o powyższych zasadach. Każda, nawet najmniejsza wątpliwość, co do czystych intencji nadawcy SMSa, powinna wzbudzić wzmożoną czujność i być przesłanką do zaniechania interakcji, o którą prosi nadawca.

Jak wynika z przeprowadzonych badań, zaledwie 35% osób wie czym jest smishing więc możemy być właściwie pewni, że jeszcze niejeden użytkownik padnie ofiarą oszustów. Z pewnością edukacja społeczeństwa prowadzona przez odpowiednie organizacje pozwoli zwiększyć świadomość o istniejących zagrożeniach, co przełoży się na bezpieczeństwo. Oczywiście każdy z nas musi pamiętać o tym, aby upewnić się czy SMS jest prawdziwy. W pierwszej kolejności należy sprawdzić numer, z którego wiadomość została otrzymana – komentuje Bartosz Witczak, Partner Account Manager w Tpay.

Nazwy firm kurierskich czy organizacji rządowych zazwyczaj wyświetlają się jako nadawcy. Warto wyszukać numer w internecie i sprawdzić czy na pewno figuruje pod nim wskazany podmiot. Wiadomości smishingowe bardzo często są napisane niepoprawnie – bez polskich znaków, interpunkcji czy z dziwną składnią. To również powinno wzbudzić niepokój. Jeśli jakikolwiek element SMSa budzi naszą wątpliwość, pod żadnym pozorem nie odpisujemy na niego ani nie wchodzimy w podane w treści wiadomości linki. Dodatkowo warto poinformować organizację, że ktoś się pod nią podszywa. Ofiarą w takiej sytuacji jest zarówno płatnik, który otrzymał sms, jak i firma, w imieniu której oszuści wysłali wiadomość – dodaje.

Jeśli wymuszenie danych dojdzie do skutku, należy niezwłocznie podjąć odpowiednie kroki. Powinno się jak najszybciej zmienić dane do logowania w banku, a także zadzwonić do placówki w informacją o padnięciu ofiarą oszustwa. Te czynności należy wykonać z innego telefonu, niż ten, na którym wykonano operacje. Warto też zgłosić na policję zawiadomienie o popełnieniu przestępstwa oraz wypełnić formularz na stronie CERT. Jest to organizacja, która odpowiada za cyberbezpieczeństwo w Polsce.