Skąd bierze się phishing w SMS-ach i jak się przed nim chronić?

Przeczytaj także: Oszustwa internetowe: w teorii jesteśmy sprytniejsi niż cyberprzestępcy

To warto wiedzieć:

• Z bazy Facebooka wykradziono ponad pół miliarda numerów telefonów z czego 2,5 mln należących do Polaków
• Część z nich trafi w ręce oszustów rozsyłających wiadomości SMS, w których podszywają się pod banki, kurierów czy instytucje rządowe, czyli tzw. phishing a właściwie smishing
• Smishing trafia na bardziej podatny grunt, bo coraz częściej korzystamy z kanału SMS - wg. Research And Markets masowych SMS-ów przybywa w tempie niemal 4 proc. rocznie, a badanie Coherent Market Insights wskazuje, że wśród nich przeważać zaczynają wiadomości transakcyjne i alerty.
• Wraz z pandemią pojawiło się więcej usług do, których wykorzystujemy cyfrowy dostęp i kanał SMS-owy (np. kwarantanna, szczepienia, e-recepty, Alert RCB). To stwarza nowe okazje dla oszustów
• Częściej kupujemy też online niż przed pandemią, więc wzrasta szansa, że losowo wybrany numer należy do osoby czekającej na kuriera.

Stosowanie się do instrukcji zawartych w fałszywych wiadomościach może prowadzić do poważnych strat finansowych. Dlatego eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.

Czym jest phishing i co chce złowić?

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, jest jednym z najczęstszych sposobów na oszustwo SMS-owe (smishing). Równie popularny jest phishing e-mailowy (SPAM, hoax / spear phishing) jak i telefoniczny (vishing). Oto na czym najczęściej zależy oszustom:

• dane do logowania w bankowości online - aby je zdobyć wysyła się użytkownika na stronę przypominającą do złudzenia prawdziwy serwis banku. SMS jest więc częścią większej całości;
• numer karty kredytowej (wraz datą ważności i kodem CVC/CVV) - schemat jest podobny, tylko używa się fałszywej strony sklepu lub operatora płatności;
• autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
• inne wrażliwe dane

Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warunkiem jej otrzymania miało być wykonanie symbolicznego przelewu na wskazanej stronie, co samo w sobie powinno wzbudzić podejrzenia - zauważa Michał Kuliś, Content Marketer w SMSAPI.

Przedsiębiorców, którzy nigdy wcześniej nie korzystali z tej formy pomocy podany adres nie musiał specjalnie dziwić, w końcu w walce z pandemią liczy się czas i nie wszystkie powstałe w tym celu serwisy są dopracowane. Co innego, gdy ktoś podszywa się pod np. znany bank. Wprawne oko zaraz wychwyci, że adres powinien kończyć się na .pl, tymczasem w SMS-ie jest com.pl. Warto porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie - dodaje ekspert SMSAPI.

Jak nie dać się złapać na SMS-owy phishing

1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię - oszuści często nie używają polskich znaków.
   
2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
3. Śpiesz się powoli! Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi działaniami zakupami, lub dotyczy “zaległych” należności, zastanów się czy na pewno dotyczy Ciebie i zachowaj ostrożność.
   
4. Nie bądź chciwy! Jeśli w treści wiadomości dowiesz się, że wygrałeś jakiś konkurs, lub czekają na Ciebie ogromne pieniądze, zastanów się czy kliknąć w link - najprawdopodobniej więcej stracisz niż zyskasz.
5. Jeśli wiadomość jest prośbą o dokonanie płatności - skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
6. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.

Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Oszuści manipulują nami poprzez treści wywołujące strach (koronawirus), lub naciskające na szybką reakcję z naszej strony. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i niespodziewane przelewy.