Spis treści

Zgodnie z przewidywaniami ekspertów, po kwietniowym wycieku naszych danych z Facebooka wzrasta liczba fałszywych wysyłek służących wyłudzaniu wrażliwych informacji. Za nasilenie się phishingu pośrednio odpowiada też pandemia i związane z nią nagłe przyspieszenie cyfryzacji. Sposoby obrony przed oszustami pozostały takie same i wciąż działają.

Szybkie fakty

  • Z bazy Facebooka wykradziono ponad pół miliarda numerów telefonów z czego 2,5 mln należących do Polaków
  • Część z nich trafi w ręce oszustów rozsyłających wiadomości SMS, w których podszywają się pod banki, kurierów czy instytucje rządowe, czyli tzw. phishing a właściwie smishing
    Smishing trafia na bardziej podatny grunt, bo coraz częściej korzystamy z kanału SMS – wg. Research And Markets masowych SMS-ów przybywa w tempie niemal 4 proc. rocznie, a badanie Coherent Market Insights wskazuje, że wśród nich przeważać zaczynają wiadomości transakcyjne i alerty.
  • Wraz z pandemią pojawiło się coraz więcej okazji i usług do wykorzystujemy cyfrowy dostęp i kanał SMS-owy (np. kwarantanna, szczepienia, e-recepty, Alert RCB). To stwarza nowe okazje dla oszustów  
  • Częściej kupujemy też online niż przed pandemią, więc wzrasta szansa, że losowo wybrany numer należy do osoby czekającej na kuriera.

Stosowanie się do instrukcji zawartych w fałszywych wiadomościach może prowadzić do poważnych strat finansowych. Dlatego eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.

Przykłady fałszywych SMS-ów

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, jest jednym z najczęstszych sposobów na oszustwo SMS-owe (smishing). Równie popularny jest phishing e-mailowy (SPAM, hoax / spear phishing) jak i telefoniczny (vishing).

Na czym najczęściej zależy oszustom?

  • dane do logowania w bankowości online – aby je zdobyć wysyła się użytkownika na stronę przypominającą do złudzenia prawdziwy serwis banku. SMS jest więc częścią większej całości;
  • numer karty kredytowej (wraz datą ważności i kodem CVC/CVV) – schemat jest podobny, tylko używa się fałszywej strony sklepu lub operatora płatności; 
  • autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
    inne wrażliwe dane.

Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warunkiem jej otrzymania miało być wykonanie symbolicznego przelewu na wskazanej stronie, co samo w sobie powinno wzbudzić podejrzenia.

Przedsiębiorców, którzy wcześniej nie korzystali z tej formy pomocy podany adres nie musiał specjalnie dziwić, w końcu w walce z pandemią liczy się czas i nie wszystkie powstałe w tym celu serwisy są dopracowane.

Co innego, gdy ktoś podszywa się pod np. znany bank. Wprawne oko zaraz wychwyci, że adres powinien kończyć się na -.pl, tymczasem w SMS-ie jest -com.pl. Warto zwracać na to uwagę, jak również porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie.

Michał Kuliś, Content Marketer w SMSAPI

Jak nie dać się złapać na SMS-owy phishing?

  1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię – oszuści często nie używają polskich znaków.
  2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
  3. Śpiesz się powoli! Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi działaniami zakupami, lub dotyczy “zaległych” należności, zastanów się czy na pewno dotyczy Ciebie i zachowaj ostrożność.
  4. Nie bądź chciwy! Jeśli w treści wiadomości dowiesz się, że wygrałeś jakiś konkurs, lub czekają na Ciebie ogromne pieniądze, zastanów się czy kliknąć w link – najprawdopodobniej więcej stracisz niż zyskasz.
  5. Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
  6. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.

Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Oszuści manipulują nami poprzez treści wywołujące strach (koronawirus), lub naciskające na szybką reakcję z naszej strony. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i niespodziewane przelewy.