Przedstawiciel banku, członek personelu wsparcia technicznego, czy też urzędnik – właśnie pod takie osoby podszywają się przestępcy wykorzystujący metodę smishingu, jednej z odmian phishingu. W przypadku tej taktyki ofiara nie otrzymuje jednak fałszywych e-maili. Zamiast tego, cyberprzestępcy biorą na celownik jej telefon, na który wysyłają wiadomości tekstowe. Są świadomi zaufania, jakim ofiara obdarza pewne instytucje i wykorzystują tę wiedzę, aby następnie podjąć próbę wyłudzenia jej poufnych danych. Eksperci Fortinet podpowiadają, jak w porę rozpoznać atak tego typu oraz w jaki sposób się przed nim ochronić.
Termin smishing funkcjonuje od 2006 roku. Mimo że w przestrzeni publicznej nie używa się go tak często jak pojęcia phishing, powinien on być znany każdemu użytkownikowi telefonu komórkowego. Według danych Earthweb, tylko w kwietniu 2022 roku cyberprzestępcy wysłali ponad 2,6 miliarda wiadomości smishingowych na tydzień, a obecnie wciąż nie zwalniają tempa, w związku z czym warto być świadomym ich działań.
Jak wygląda typowy atak smishingowy?
Treść wiadomości smishingowej może poruszać różne tematy. Bywa, że są to kwestie prawne lub też ostrzeżenie przed podejrzaną aktywnością na koncie bankowym odbiorcy. Wiadomość ta ma jednak spełniać jeden cel – nakłonienie ofiary do podjęcia działania. Do SMS-a najczęściej dołączany jest link prowadzący do fałszywej strony logowania, łudząco przypominającej prawdziwą witrynę, np. banku. Odbiorca jest następnie proszony o wprowadzenie swoich poufnych danych, takich jak login i hasło, na fałszywej stronie. W konsekwencji, chcąc ratować swoje środki, sam je naraża na kradzież, w panice dzieląc się danymi z fałszywymi przedstawicielami banku. W momencie gdy napastnicy znajdą się w posiadaniu tych informacji, pierwsza faza ich ataku kończy się sukcesem.
– Istnieje również prostszy schemat smishingu. Załączony do wiadomości link nie zawsze prowadzi do strony logowania. Bywa, że po jego otwarciu, na urządzenie ofiary od razu pobierane jest złośliwe oprogramowanie, które samo będzie w stanie przechwycić poufne informacje – wyjaśnia Jolanta Malak, dyrektorka Fortinet w Polsce.
Z podejrzliwością należy podchodzić też do każdej wiadomości, która zawiera w sobie prośbę o przelew środków, bez względu na jej nadawcę. Cyberprzestępca jest w stanie zebrać listę nazwisk znajomych oraz członków rodziny swojej potencjalnej ofiary z np. serwisów społecznościowych. Dzięki tej wiedzy może podać się za kogoś z otoczenia odbiorcy wiadomości, a następnie poprosić o pożyczkę.
– Tego typu ataki często kończą się sukcesem nie tylko z powodu wykorzystania w nich inżynierii społecznej. W rzeczywistości wiele instytucji faktycznie komunikuje się ze swoimi klientami poprzez wiadomości tekstowe. Dlatego ważne jest, aby wiedzieć, jak wygląda uzasadniona prośba o informacje od konkretnych podmiotów. Jeśli otrzymana przez nas wiadomość tekstowa różni się doborem słów lub formatem od standardowego wzoru, należy ją traktować z ostrożnością – dodaje Jolanta Malak.
Jak chronić się przed smishingiem?
Od momentu wejścia w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, obrona przed smishingiem i innymi atakami typu phishing wykroczyła poza wyłączna odpowiedzialność użytkowników urządzeń końcowych. Obecnie zwalczanie takich nadużyć leży również w gestii przedsiębiorstw telekomunikacyjnych. W poczet wymaganych od nich działań zalicza się m.in. blokowanie SMS-ów wpisujących się wyglądem w schemat wiadomości smishingowych, a także połączeń głosowych, w których następuje próba podszycia się pod inną osobę lub instytucję. Tego typu blokada ma służyć przede wszystkim jako metoda ochrony osób starszych oraz najmłodszych – grup, które najczęściej mają trudności w identyfikacji fałszywych wiadomości.
Niezależnie od wejścia w życie wspomnianej ustawy, warto wiedzieć, jak można chronić się przed działalnością oszustów. Jednym z najskuteczniejszych środków zapobiegania atakom typu smishing jest edukacja społeczeństwa w zakresie cyberhigieny. Napastnicy mogą próbować oszukać swoją ofiarę na wiele różnych sposobów, jednak przeważnie ich działania polegają na tym samym, ogólnym schemacie. Jego znajomość, a także wiedza o innych taktykach stosowanych przez cyberprzestępców, jest kluczowa w wykrywaniu i powstrzymywaniu ataków smishingowych.
Oto kilka porad, pomocnych w zapobieganiu atakom typu smishing:
- Każda nagła sytuacja przedstawiona nam w wiadomości tekstowej powinna być traktowana z ostrożnością. Pochopne działanie jest niewskazane.
- Nie należy otwierać linków osadzonych w wiadomościach SMS.
- Zaleca się sprawdzanie każdego numeru nadawcy wiadomości zawierającej prośbę o udostępnienie danych. Jeśli wygląda on podejrzanie, prawdopodobnie jest to atak typu smishing.
- Nie należy przechowywać danych bankowych ani informacji o karcie kredytowej w telefonie. Złośliwe oprogramowanie może uzyskać do nich dostęp.
- Odradzane jest otwieranie jakichkolwiek wiadomości w przypadku braku pewności co do tożsamości jej nadawcy.
- Próby smishingu należy zgłaszać do CERT Polska, pod numerem 799-448-084 lub na stronie internetowej incydent.cert.pl.
- Zaleca się ignorowanie próśb o zmianę lub aktualizację danych o kontach, otrzymywanych za pośrednictwem wiadomości SMS.
W przypadku otrzymania wiadomości od nieznanego numeru, warto wyszukać go w internecie, aby uzyskać więcej informacji na jego temat. Te, które faktycznie mają powiązania z instytucjami, szybko pojawią się w wynikach wyszukiwania. Możliwe jest także odnalezienie danego podejrzanego numeru na liście numerów używanych przez cyberprzestępców. Wówczas wszelkiego typu wątpliwości zostaną rozwiane.