Media w Stanach Zjednoczonych, Włoszech i Brazylii informują o nowych oszustwach polegających na stosowaniu smishingu. O jednej z takich kampanii oficjalnie ostrzegła też niemiecka policja.
Zjawisko to bardzo się rozprzestrzeniło, o czym świadczy jego popularność wyszukiwania. A zatem, czym jest smishing?
Czym jest smishing i jak działa?
Smishing to phishing rozpowszechniany za pośrednictwem wiadomości tekstowych (SMS-ów) zamiast poczty e-mail. Nazwa smishing stanowi połączenie wyrazów „phishing” i . Czasami smishingiem określa się też phishing stosowany w aplikacjach do komunikowania się.
Podobnie jak w przypadku każdej innej próby wyłudzenia informacji, celem tego oszustwa jest nakłonienie odbiorców do ujawnienia poufnych danych, zazwyczaj hasła do bankowości internetowej lub szczegółów związanych z kartą bankową. W tym celu oszuści wysyłają wiadomości tekstowe, w których opisują wymyślony kłopot — na przykład problem z dostawą, niezapłacony rachunek lub zablokowane konto — który adresat musi rozwiązać, klikając link. Następnie sprawa może potoczyć się dwojako:
Scenariusz nr 1: infekcja ofiary złośliwym oprogramowaniem podszywającym się pod legalną aplikację, którego faktycznym celem jest zdobycie ważnych informacji,
Scenariusz nr 2: przeniesienie ofiary na stronę internetową podszywającą się pod legalną, której faktycznym celem jest zdobycie ważnych informacji.
Wybór scenariusza zależy od oszusta, ale w obu przypadkach ofiara ma podjąć odpowiednie kroki. Tego typu oszustwa doprowadziły już do kradzieży tysięcy dolarów, euro i funtów. Dlaczego phishing poprzez SMS-y stał się ostatnio tak popularny i co sprawia, że jest bardziej niebezpieczny niż typowy phishing?
Co sprawia, że smishing jest bardziej niebezpieczny niż typowy phishing
Większość z nas mniej lub bardziej przyzwyczaiła się do phishingu poprzez pocztę e-mail i w zasadzie wiemy już, jak go rozpoznać i uniknąć. Wiadomości tekstowe są dość nieoczekiwanym kanałem oszustw, dlatego z mniejszym prawdopodobieństwem podejrzewamy, że są one elementem oszustwa.
Ponadto chociaż ludzie bardziej ufają wiadomościom tekstowym, są one mniej bezpieczne niż wiadomości e-mail. Obecnie wiele przyzwoitych usług poczty e-mail zawiera wbudowane inteligentne filtry antyspamowe. Nie działają one idealnie, ale oszuści muszą ciągle wymyślać nowe sposoby ich omijania. Niestety, jeśli chodzi o elastyczność działania i dokładność, filtry antyspamowe stosowane przez operatorów komórkowych pozostawiają wiele do życzenia.
Ludzie zazwyczaj czytają wiadomości tekstowe, będąc w podróży lub podczas jakichś aktywności, a przy tym nie podejrzewają, że mogą one być szkodliwe, więc w mniejszym stopniu je analizują. Innymi słowy, nie patrzymy na SMS-y krytycznym okiem i klikamy zawarte w nich łącza, co zwiększa prawdopodobieństwo, że atak zakończy się sukcesem.
Ponadto wiadomości SMS wyświetlają mniej oznak pomagających w rozpoznaniu oszustwa. W przypadku wiadomości e-mail możemy sprawdzić adres nadawcy, ocenić jej wygląd i zastanowić się nad jej wiarygodnością — krótko mówiąc, możemy poszukać w niej podejrzanych aspektów.
Wszystkie wiadomości tekstowe wyglądają tak samo i często są napisane niestandardowym językiem. Zdolni oszuści mogą realistycznie podstawić informacje o nadawcy, zastępując numer rzeczywistego nadawcy fałszywym.
Jak zapewnić sobie ochronę przed smishingiem
Podobnie jak w przypadku tradycyjnych wiadomości phishingowych, przed smishingiem również możemy skutecznie się zabezpieczyć.
Nie klikaj łączy ani nie udostępniaj żadnych informacji w wiadomościach tekstowych. Co do zasady, im mniej aktywności wykonasz, tym lepiej.
Tam, gdzie to możliwe, korzystaj z uwierzytelniania dwuskładnikowego. W ten sposób nawet gdy przestępcy ukradną Twoje hasło, nie włamią się na powiązane z nim konto.
Jeśli podejrzewasz, że przestępcy uzyskali dostęp do Twojego konta, natychmiast skontaktuj się ze swoim bankiem. Może on zablokować Twoją kartę, zmienić hasła i udzielić porad w zakresie dalszych kroków.
Oto kilka często zadawanych pytań i odpowiedzi na nie:
Czy mogę odpowiadać na fałszywe wiadomości tylko po to, aby nadawca usunął mnie z listy mailingowej?
Nie zalecamy takiego działania. Odpowiedź ze strony odbiorcy potwierdzi, że dany numer telefonu jest aktywny. Warto zauważyć, że anulowanie subskrypcji bywa trudne nawet w przypadku legalnych firm; nie oczekuj więc uczciwości od osób, które łamią prawo.
A jeśli to nie będzie smishing, lecz ważna wiadomość z mojego banku?
Ogólnie jest mało prawdopodobne, aby bank wysyłał takie wiadomości. W razie jakichkolwiek wątpliwości skontaktuj się bezpośrednio z bankiem, używając numeru telefonu umieszczonego np. na oficjalnej stronie internetowej — nie używaj żadnych danych kontaktowych zawartych w podejrzanej wiadomości.
Czy istnieje sposób na automatyczne filtrowanie phishingu w wiadomościach SMS?
Oczywiście, że istnieje! Wiele rozwiązań zabezpieczających ma od dawna wbudowane filtry, które blokują podejrzane łącza w wiadomościach tekstowych i aplikacjach do komunikowania się, ostrzegają o nich użytkownika i dbają o to, aby nie stracił on pieniędzy tylko dlatego, że na chwilę stracił czujność. Takie filtry zawiera na przykład rozwiązanie Kaspersky Internet Security for Android.