Zgodnie z przewidywaniami ekspertów, po kwietniowym wycieku naszych danych z Facebooka wzrasta liczba fałszywych wysyłek służących wyłudzaniu wrażliwych informacji. Za nasilenie się phishingu pośrednio odpowiada też pandemia i związane z nią nagłe przyspieszenie cyfryzacji. Sposoby obrony przed oszustami pozostały takie same i wciąż działają.

Szybkie fakty

• Z bazy Facebooka wykradziono ponad pół miliarda numerów telefonów z czego 2,5 mln należących do Polaków
• Część z nich trafi w ręce oszustów rozsyłających wiadomości SMS, w których podszywają się pod banki, kurierów czy instytucje rządowe, czyli tzw. phishing a właściwie smishing
• Smishing trafia na bardziej podatny grunt, bo coraz częściej korzystamy z kanału SMS – wg. Research And Markets masowych SMS-ów przybywa w tempie niemal 4 proc. rocznie, a badanie Coherent Market Insights wskazuje, że wśród nich przeważać zaczynają wiadomości transakcyjne i alerty.
• Wraz z pandemią pojawiło się coraz więcej okazji i usług do wykorzystujemy cyfrowy dostęp i kanał SMS-owy (np. kwarantanna, szczepienia, e-recepty, Alert RCB). To stwarza nowe okazje dla oszustów
• Częściej kupujemy też online niż przed pandemią, więc wzrasta szansa, że losowo wybrany numer należy do osoby czekającej na kuriera.

Stosowanie się do instrukcji zawartych w fałszywych wiadomościach może prowadzić do poważnych strat finansowych. Dlatego eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.

Przykłady fałszywych SMS-ów

Co to jest phishing?

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, jest jednym z najczęstszych sposobów na oszustwo SMS-owe (smishing). Równie popularny jest phishing e-mailowy (SPAM, hoax / spear phishing) jak i telefoniczny (vishing).

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe.

Warto zaznaczyć, że phishing e-mailowy czy telefoniczny jest równie popularny, dlatego jest to bardziej sztuczka psychologiczna niż technologiczna. Przypomina nieco kradzieże metodą “na wnuczka”. Opiera się na przykład na tym, że prawie nikt nie pamięta dokładnie, jaki adres strony internetowej ma jego dostawca prądu ani czy wszystkie rachunki z minionych lat zostały opłacone. Oszust liczy więc, że odbiorca uwierzy, iż ma do czynienia z prawdziwą wiadomością.

Na czym polega phishing?

Najczęstszym oszustwem z wykorzystaniem SMS-ów, jakie obserwujemy jest „numer na dopłatę”. Przestępcy podszywają się pod znane marki, podpisują SMS jako DHL, InPost, OTOMOTO czy Rossmann.

W treści umieszczają informację o tym, że albo przesyłka, na którą czekamy, okazała się być cięższa i trzeba dopłacić złotówkę albo ogłoszenie w serwisie wygasa i można je podpromować w atrakcyjnej cenie kilku złotych.

W wiadomości jest link, który przenosi użytkownika na strony wyglądem identyczne jak strony znanych pośredników w płatnościach, np. PayU lub DotPay. Są to jednak fałszywe strony kontrolowane przez przestępców (co można zauważyć, jeśli spojrzy się na pasek adresowy, który niestety na urządzeniach mobilnych często jest automatycznie chowany a adresy w nim są skracane).

Jeśli ktoś zaloguje się do banku w celu zlecenia przelewu i nie zauważy, że treść SMS-a z banku informuje o operacji dodania zaufanego odbiorcy, a nie potwierdzania przelewu na 1 PLN, to straci wszystkie pieniądze, które ma na koncie.

Na czym najczęściej zależy oszustom?

• dane do logowania w bankowości online – aby je zdobyć wysyła się użytkownika na stronę przypominającą do złudzenia prawdziwy serwis banku. SMS jest więc częścią większej całości;
• numer karty kredytowej (wraz datą ważności i kodem CVC/CVV) – schemat jest podobny, tylko używa się fałszywej strony sklepu lub operatora płatności; 
• autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
  inne wrażliwe dane.

Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warunkiem jej otrzymania miało być wykonanie symbolicznego przelewu na wskazanej stronie, co samo w sobie powinno wzbudzić podejrzenia.

Przedsiębiorców, którzy wcześniej nie korzystali z tej formy pomocy podany adres nie musiał specjalnie dziwić, w końcu w walce z pandemią liczy się czas i nie wszystkie powstałe w tym celu serwisy są dopracowane.

Co innego, gdy ktoś podszywa się pod np. znany bank. Wprawne oko zaraz wychwyci, że adres powinien kończyć się na -.pl, tymczasem w SMS-ie jest -com.pl. Warto zwracać na to uwagę, jak również porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie.

Michał Kuliś – Content Marketer w SMSAPI

Jak walczyć z phishingiem?  

Większość firm, urzędów czy organizacji zleca przesyłanie SMS-ów marketingowych i informacyjnych do subskrybentów podmiotom zajmującym się masowymi wysyłkami. Nie oznacza to jednak, że każdy może bez przeszkód wykorzystać to narzędzie. Niestety, na rynku wciąż działają dostawcy masowych wysyłek SMS, którzy idą na skróty i niewystarczająco dokładnie sprawdzają klientów pod względem celu i bezpieczeństwa. 

Jednak liderzy tej branży przykładają do tych kwestii dużą uwagę. Weryfikacja pola nadawcy (czyli nazwy, która zastępuje numer telefonu) oraz filtrowanie treści wiadomości po kluczowych spamowych linkach, słowach i sformułowaniach to tylko przykłady sposobów, które uniemożliwiają podszycie się pod instytucję, której się w rzeczywistości nie reprezentuje.

Zawsze weryfikujemy wszystkie pola nadawcy, które udostępniamy naszym klientom. W przypadku wątpliwości prosimy klienta m.in o przesłanie dokumentów potwierdzających NIP czy numer KRS jego organizacji. W efekcie minimalizujemy możliwość wysłania wiadomości będąc podpisanym jako firma, z którą nie ma się nic wspólnego – wyjaśnia. 

Jakub Kluz – Product Manager w SMSAPI

Sztuczką, jakiej próbują czasem oszuści, jest nazwanie swojej działalności możliwie podobnie do banku, dostawcy mediów czy urzędu. Oszuści stale próbują wyszukiwać luk bezpieczeństwa w systemach wysyłek SMS. Niestety, czasem skutecznie. 

Dlatego warto pamiętać, że przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe. 

Jak nie dać się złapać na SMS-owy phishing?

1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię – oszuści często nie używają polskich znaków.
2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
3. Śpiesz się powoli! Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi działaniami zakupami, lub dotyczy “zaległych” należności, zastanów się czy na pewno dotyczy Ciebie i zachowaj ostrożność.
4. Nie bądź chciwy! Jeśli w treści wiadomości dowiesz się, że wygrałeś jakiś konkurs, lub czekają na Ciebie ogromne pieniądze, zastanów się czy kliknąć w link – najprawdopodobniej więcej stracisz niż zyskasz.
5. Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
6. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.

Infografika

Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Oszuści manipulują nami poprzez treści wywołujące strach (koronawirus), lub naciskające na szybką reakcję z naszej strony. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i niespodziewane przelewy.