Pracujesz jako specjalista lub menadżer? Phising na ciebie nie działa, ale czy jesteś odporny na smishing

• Jak rozpoznać atak smishingowy
• Co ze skradzionymi danymi zrobią przestępcy
• Jak stworzyć zaporę przed smishingiem?

Przedstawiciel banku, członek personelu wsparcia technicznego, czy też urzędnik – właśnie pod takie osoby podszywają się przestępcy wykorzystujący metodę smishingu, jednej z odmian phishingu. W przypadku tej taktyki ofiara nie otrzymuje jednak fałszywych e-maili. Zamiast tego, cyberprzestępcy biorą na celownik jej telefon, na który wysyłają wiadomości tekstowe. Są świadomi zaufania, jakim ofiara obdarza pewne instytucje i wykorzystują tę wiedzę, aby następnie podjąć próbę wyłudzenia jej poufnych danych.

Jak rozpoznać atak smishingowy

Termin smishing funkcjonuje od 2006 roku. Mimo że w przestrzeni publicznej nie używa się go tak często jak pojęcia phishing, powinien on być znany każdemu użytkownikowi telefonu komórkowego. Według danych Earthweb, tylko w kwietniu 2022 roku cyberprzestępcy wysłali ponad 2,6 miliarda wiadomości smishingowych na tydzień, a obecnie wciąż nie zwalniają tempa, w związku z czym warto być świadomym ich działań.

Treść wiadomości smishingowej może poruszać różne tematy. Bywa, że są to kwestie prawne lub też ostrzeżenie przed podejrzaną aktywnością na koncie bankowym odbiorcy. Wiadomość ta ma jednak spełniać jeden cel – nakłonienie ofiary do podjęcia działania.

Do SMS-a najczęściej dołączany jest link prowadzący do fałszywej strony logowania, łudząco przypominającej prawdziwą witrynę, np. banku. Odbiorca jest następnie proszony o wprowadzenie swoich poufnych danych, takich jak login i hasło, na fałszywej stronie. W konsekwencji, chcąc ratować swoje środki, sam je naraża na kradzież, w panice dzieląc się danymi z fałszywymi przedstawicielami banku.

Co ze skradzionymi danymi zrobią przestępcy

W momencie gdy napastnicy znajdą się w posiadaniu tych informacji, pierwsza faza ich ataku kończy się sukcesem. 

– Istnieje również prostszy schemat smishingu. Załączony do wiadomości link nie zawsze prowadzi do strony logowania. Bywa, że po jego otwarciu, na urządzenie ofiary od razu pobierane jest złośliwe oprogramowanie, które samo będzie w stanie przechwycić poufne informacje ¬– wyjaśnia Jolanta Malak, dyrektorka Fortinet w Polsce.

Z podejrzliwością należy podchodzić też do każdej wiadomości, która zawiera w sobie prośbę o przelew środków, bez względu na jej nadawcę. Cyberprzestępca jest w stanie zebrać listę nazwisk znajomych oraz członków rodziny swojej potencjalnej ofiary z np. serwisów społecznościowych. Dzięki tej wiedzy może podać się za kogoś z otoczenia odbiorcy wiadomości, a następnie poprosić o pożyczkę. 

– Tego typu ataki często kończą się sukcesem nie tylko z powodu wykorzystania w nich inżynierii społecznej. W rzeczywistości wiele instytucji faktycznie komunikuje się ze swoimi klientami poprzez wiadomości tekstowe. Dlatego ważne jest, aby wiedzieć, jak wygląda uzasadniona prośba o informacje od konkretnych podmiotów. Jeśli otrzymana przez nas wiadomość tekstowa różni się doborem słów lub formatem od standardowego wzoru, należy ją traktować z ostrożnością ¬– dodaje Jolanta Malak.

Jak stworzyć zaporę przed smishingiem?

Od momentu wejścia w życie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, obrona przed smishingiem i innymi atakami typu phishing wykroczyła poza wyłączna odpowiedzialność użytkowników urządzeń końcowych. Obecnie zwalczanie takich nadużyć leży również w gestii przedsiębiorstw telekomunikacyjnych.
Do działań, jakie są zobowiązani podejmować zalicza się m.in. blokowanie SMS-ów wpisujących się wyglądem w schemat wiadomości smishingowych, a także połączeń głosowych, w których następuje próba podszycia się pod inną osobę lub instytucję. Tego typu blokada ma służyć przede wszystkim jako metoda ochrony osób starszych oraz najmłodszych – grup, które najczęściej mają trudności w identyfikacji fałszywych wiadomości. 

Napastnicy mogą próbować oszukać swoją ofiarę na wiele różnych sposobów, jednak przeważnie ich działania polegają na tym samym, ogólnym schemacie. To właśnie jego znajomość, a także wiedza o innych taktykach stosowanych przez cyberprzestępców, jest kluczowa w wykrywaniu i powstrzymywaniu ataków smishingowych.

Poza ogólnie znanymi już z prób phisingowych zasadami zachowania ostrożności i postępowania warto jeszcze pamiętać, że nie należy przechowywać danych bankowych ani informacji o karcie kredytowej w telefonie. Złośliwe oprogramowanie może uzyskać do nich dostęp. Ponadto zaleca się ignorowanie próśb o zmianę lub aktualizację danych o kontach, otrzymywanych za pośrednictwem wiadomości SMS. 

Przede wszystkim jednak, w przypadku otrzymania wiadomości od nieznanego numeru, warto wyszukać go w Internecie, aby uzyskać więcej informacji na jego temat. Te, które faktycznie mają powiązania z instytucjami, szybko pojawią się w wynikach wyszukiwania. Możliwe jest także odnalezienie danego podejrzanego numeru na liście numerów używanych przez cyberprzestępców. Wówczas wszelkiego typu wątpliwości zostaną rozwiane.