Europejski Miesiąc Cyberbezpieczeństwa z OSE: smishing

Podejrzany SMS? Skorzystajcie z naszych rad i strzeżcie się smishingu – oszustwa, na które narażeni są wszyscy posiadacze telefonów komórkowych.

Trwa Europejski Miesiąc Cyberbezpieczeństwa (ECSM), którego tematem w tym roku są ataki socjotechniczne. W zeszłym tygodniu przypomnieliśmy Wam, jak chronić się przed phishingiem, a dziś zajmiemy się jednym z jego rodzajów – smishingiem, czyli fałszywymi wiadomościami SMS. Miejcie oczy szeroko otwarte!

Czym jest smishing?

Informacja o nietypowym ruchu na koncie, konieczności dopłaty do paczki lub uregulowania zaległości w fakturach, wiadomość z podejrzanym linkiem, oferta „darmowego” produktu – z SMS-ami o takiej treści możemy zetknąć się niemal codziennie. Co je łączy? Za ich pośrednictwem oszuści próbują nakłonić nas do podjęcia określonych działań (np. pobrania aplikacji czy wejścia na fałszywą stronę internetową), które umożliwią im dostęp do naszych danych osobowych, a nawet oszczędności na bankowym koncie.

Takie ataki to smishing (SMS phishng), czyli oszustwo wykorzystujące numery telefonów komórkowych (nie adresy e-mail, jak w przypadku tradycyjnego phishingu). Ich celem są zwykli ludzie. Właśnie dlatego smishing jest szczególnie groźny – każdy może paść jego ofiarą!

Przypomnijmy możliwe formy smishingu:

  • wiadomość zawierająca link prowadzący do fałszywej strony logowania, łudząco przypominającej prawdziwą;
  • wiadomość nakłaniająca do pobrania aplikacji, która rzekomo ma pomóc w rozwiązaniu jakiegoś problemu (aplikacja okazuje się najczęściej oprogramowaniem szpiegującym, które umożliwia przestępcy przejęcie kontroli nad urządzeniem ofiary);
  • wiadomość zawierająca prośbę o kontakt telefoniczny (podczas połączenia musimy najczęściej podać dane logowania lub numer karty płatniczej z kodem CVV);
  • wiadomość nakłaniająca do pilnego wykonania zawartego w niej żądania, np. opłacenia „zaległego” rachunku za prąd czy rozliczenia podatku.

Jak rozpoznać atak smishingowy?

Gdy otrzymacie dziwną wiadomość SMS, przyjrzyjcie się jej uważnie. Musicie wiedzieć, że:

  1. Wiadomości smishingowe zachęcają do podejmowania pilnych działań, stąd występujące w nich groźby i zwroty takie jak „działaj teraz”, „jeśli nie odpowiesz, zostaną podjęte przeciw Tobie kroki prawne”. Oszuści celowo próbują nas przestraszyć i skłonić do nieprzemyślanego kliknięcia w link, pobrania aplikacji czy opłacenia rzekomej zaległości.
  2. Cyberprzestępcy często próbują nas przekonać, że wygraliśmy np. sporą nagrodę pieniężną. Nie dajcie się zwieść, zwłaszcza jeśli nie braliście udziału w żadnym konkursie! Gdy klikniecie w link przesłany w wiadomości z gratulacjami, najprawdopodobniej zostaniecie przekierowani na fałszywą stronę, gdzie będziecie musieli podać swoje dane osobowe. Nie róbcie tego!
  3. Waszą czujność powinna wzbudzić także wiadomość SMS przesłana przez… bank. Zanim wykonacie zawarte w niej polecenie (np. weryfikację swoich danych w nowej aplikacji, którą musicie pobrać na swój telefon), zadzwońcie do swojego banku i potwierdźcie jej prawdziwość.
  4. SMS od oszustów najprawdopodobniej nie będzie wolny od błędów – ortograficznych, stylistycznych, językowych. Zwracajcie na to uwagę!
  5. Podejrzane wiadomości otrzymujemy często w nietypowych godzinach – wcześnie rano lub późnym wieczorem. Pamiętajcie, że firmy i zaufane instytucje, pod które podszywają się oszuści, nie pracują o tej porze.
  6. Oszuści stają się coraz bardziej wyrafinowani i do swoich ataków wykorzystują często aktualne wydarzenia (jak to miało miejsce np. podczas pandemii koronawirusa).
  7. Z ostrożnością traktujcie także nietypowe SMS-y, które rzekomo pochodzą od Waszych znajomych lub członków rodziny. One również mogą być niebezpieczne! Zanim podejmiecie jakiekolwiek działania (np. zrobicie przelew lub klikniecie w przesłany link), zadzwońcie do swoich bliskich i zweryfikujcie sytuację.

Skąd przestępcy mają nasze numery telefonów?

Niestety – zdobycie naszych numerów telefonów jest łatwiejsze, niż sądzimy. Cyberprzestępcy uzyskują je np. w wyniku kradzieży danych ze stron, gdzie podajemy informacje na swój temat (np. rejestrując konto w sklepie internetowym). Zdarza się też, że oszuści, którzy wykradną dane, następnie udostępniają je dalej dla zysku.

Pamiętajcie też, że łatwiej zdobyć numer telefonu niż e-mail – pula dziewięciocyfrowych numerów jest przecież ograniczona. Oszuści wysyłają SMS-y na przypadkowe numery telefonów, licząc, że przynajmniej część wiadomości trafi do realnych odbiorców.

Jak nie dać się złapać w pułapkę smishingu?

Dostaliście podejrzany SMS? Przede wszystkim: zachowajcie czujność i zimną krew. Zanim wykonacie żądanie z SMS-a, zastanówcie się dwa razy! Oto lista porad, które pomogą Wam w takiej sytuacji.

  • Nie podawajcie nikomu swoich wrażliwych danych! Pamiętajcie, że żaden bank ani inna instytucja nie poprosi Was o podanie danych logowania, zwłaszcza haseł. Co więcej – nikt nie może Was o to prosić!
  • Nie dawajcie się nabrać na ponaglające na wiadomości, które wzbudzają w Was panikę. Zdrowy rozsądek przede wszystkim!
  • Zachowujcie podstawowe zasady cyberhigieny: nie klikajcie w linki w wiadomościach, których się nie spodziewaliście, i sprawdzajcie, czy znajdujecie się na prawdziwych stronach logowania.
  • Jeśli macie wątpliwości, czy otrzymany SMS faktycznie pochodzi np. z banku, koniecznie się upewnijcie, zanim podejmiecie jakiekolwiek inne kroki – np. dzwoniąc na infolinię lub numer telefonu znaleziony na stronie danej instytucji.
  • Zapobiegajcie nieuprawnionemu dostępowi do swoich kont: stosujcie silne zabezpieczenia, w tym weryfikację dwuetapową. Więcej na ten temat przeczytacie w naszej aktualności: „Bezpieczni w sieci z OSE: silne hasła i uwierzytelnianie dwuskładnikowe”.
  • Nie odpisujcie na podejrzane wiadomości i nie spełniajcie opisanych w nich żądań. Zgłaszajcie je za to do CERT Polska: przekazujcie na numer 799 448 084. Zobaczcie spot informacyjny:

Europejski Miesiąc Cyberbezpieczeństwa

W ramach ECSM przez cały październik możecie dowiedzieć się więcej o bezpieczeństwie w internecie: wziąć udział w bezpłatnych wydarzeniach (webinarach, szkoleniach, kursach itd.). Wykaz działań prowadzonych w ramach kampanii jest dostępny na stronie internetowej Europejskiego Miesiąca Cyberbezpieczeństwa. Każdy na pewno znajdzie coś dla siebie!

Pamiętajcie, że możecie też zgłaszać swoje inicjatywy – wypełnijcie formularz na stronie bezpiecznymiesiac.pl.

Europejski Miesiąc Cyberbezpieczeństwa organizowany jest przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską. W Polsce koordynatorem kampanii jest Państwowy Instytut Badawczy NASK (NASK-PIB).

11.10.2023

Najnowsze artykuły

Europejski Miesiąc Cyberbezpieczeństwa z OSE: smishing - Ogólnopolska Sieć Edukacyjna