Czym jest smishing?
Smishing to popularny rodzaj oszustwa, który polega na rozsyłaniu fałszywych wiadomości tekstowych podszywających się pod bank, firmę kurierską, urząd lub osoby, które znasz osobiście. Celem ataku jest wyłudzenie loginów i haseł, danych osobowych, danych karty płatniczej lub nakłonienie ofiary do kliknięcia w zainfekowany link. Nazwa „smishing” pochodzi od połączenia słów „SMS” i „phishing” (czyli wysyłania fałszywych e-maili). W tym artykule wyjaśniam, jak rozpoznać smishing i co zrobić, jeśli otrzymasz taką wiadomość. Pokazuję też, jakie działania podejmują organy państwowe w celu ograniczenia skali takich oszustw.
Jak rozpoznać phishing SMS?
- Fałszywy SMS ma często wzbudzić u odbiorcy poczucie pilności lub zagrożenia: informuje o zablokowanym koncie bankowym, niedopłacie za paczkę czy konieczności natychmiastowego potwierdzenia danych.
- Wiadomości często zawierają link do fałszywej strony internetowej, której adres tylko pozornie przypomina witrynę znanej firmy. Może się zdarzyć, że link będzie skrócony, aby ukryć podejrzany adres strony, do której kieruje. Po kliknięciu w link może pojawić się podrobiony formularz logowania do mediów społecznościowych albo formularz wyłudzający dane karty płatniczej. Jeśli kliknąłeś w taki odnośnik, nigdy nie podawaj tych danych.
- W treści wiadomości mogą pojawić się błędy językowe, nietypowy szyk zdań lub anonimowe zwroty typu „Drogi Kliencie”. Dokładnie przeanalizuj wiadomość pod tym kątem.
- Może pojawić się prośba o pobranie aplikacji, podanie danych logowania, numeru karty płatniczej lub innych poufnych informacji. Nigdy nie pobieraj aplikacji spoza oficjalnego sklepu (np. Google Play, Apple Store) i nie przesyłaj swoich danych osobom nieznajomym.
WhatsApp – schemat oszustwa na dziecko
W ostatnich latach przestępcy wysyłają fałszywe wiadomości nie tylko przez SMS, ale również przez aplikacje, takie jak WhatsApp. Aplikacje pozwalają na korzystanie nawet z tych numerów telefonów, które zostały już zablokowane przez operatorów sieci komórkowych, więc to wygodne rozwiązanie z perspektywy oszustów.
W 2024 r. oprócz znanych wcześniej scenariuszy na „dopłatę za paczkę” albo „nieuregulowaną płatność za prąd” pojawił się nowy schemat oszustwa – na dziecko. Oszuści rozsyłali wiadomości, które celem było wyłudzenie pieniędzy na rzekomy zakup nowego telefonu dla dziecka. Prowadząc rozmowę z nieświadomym rodzicem, oszust próbował wzbudzić jego zaufanie, by następnie poprosić o dane karty płatniczej. Jeżeli rodzic był sceptyczny, oszust był gotowy na negocjacje: proponował zakup tańszego telefonu, pozwalał na inne formy płatności, a nawet prowadził ofiarę krok po kroku w procesie rzekomego zakupu.
Wielu rodziców w porę zorientowało się, że coś jest nie tak i zadzwoniło na prawdziwy numer swojego dziecka, by dowiedzieć się, czy naprawdę potrzebuje ono pomocy. W takich sytuacjach należy zachować spokój i nie ulegać presji wywieranej przez oszusta.
Co zrobić, jeśli otrzymałem podejrzaną wiadomość?
Po pierwsze, zachowaj spokój i myśl trzeźwo. Nie klikaj w link zawarty w wiadomości ani nie kontaktuj się z nieznanym numerem telefonu. Jeśli wiadomość otrzymałeś od znanej Ci osoby, spróbuj zadzwonić na jej właściwy numer telefonu. Jeżeli masz podejrzenia, czy wiadomość stanowi próbę oszustwa, przekieruj wiadomość do CERT Polska – państwowego zespołu reagowania na incydenty – pod bezpłatny numer 8080.
Warto poznać schematy oszustw, zanim staniesz się ich ofiarą. W tym celu zapoznaj się z modułem „Cyberbezpieczeństwo” na naszej platformie szkoleniowej. Dowiesz się więcej na temat metod radzenia sobie z phishingiem i innymi próbami podejmowanymi przez cyberprzestępców.
Smishing – jakie działania podejmują organy państwowe?
Jak wynika z Raportu CERT Polska za 2024 rok, w roku tym przekazano ponad 350 tysięcy zgłoszeń SMS, z których około 40% specjaliści uznali za złośliwe. Skala oszustw nadal jest ogromna, jednak organy państwowe podejmują działania mające na celu jej ograniczenie.
W 2024 r. zostały wprowadzone nowe rozwiązania wynikające z Ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. 2023 poz. 1703). Najważniejszym z nich jest system wymiany informacji o smishingu. Od 25 marca 2024 r. przedsiębiorcy podłączeni do systemu mają obowiązek blokować fałszywe wiadomości SMS zgodnie ze wzorcem przekazanym przez CSIRT NASK. W uproszczeniu polega to na tym, że państwowy zespół reagowania na incydenty przekazuje operatorom wyrażenia, które pojawiły się w SMS-ach rozsyłanych przez oszustów. W ciągu 5 minut od przekazania tych informacji operatorzy blokują każdą wiadomość zawierającą te frazy. Dzięki temu część fałszywych wiadomość nie trafia do potencjalnych ofiar.
W ramach walki ze smishingiem CSIRT NASK prowadzi również wykaz nadpisów SMS zarezerwowanych dla podmiotów publicznych. Nadpis to nazwa nadawcy, która wyświetla się zamiast numeru telefonu. Oszuści często podrabiają te informacje, aby wiadomość wyglądała na wiarygodną. Dzięki nowemu narzędziu każda instytucja publiczna może zgłosić nadpis, z którego pragnie korzystać, za pomocą dedykowanego serwisu. W następstwie uzyskuje do niego prawo, co skutkuje zablokowaniem próby wysłania wiadomości z danym nadpisem przez inną osobę. Jak wynika z raportu CERT Polska, w 2024 r. utworzono 746 wzorców, dzięki czemu zablokowano ponad milion wiadomości SMS niepochodzących od zweryfikowanego nadawcy.
Autor: Artur Janicki
To może Cię zainteresować:
- Oszustwa na SMS – jak działa phishing SMS i jak się chronić
- Bezpieczne hasła w pracy: dlaczego 'Janek123′ to zły wybór?
- Dr inż. Marek Doering o bezpieczeństwie informacji i ciągłości działania w szpitalach – relacja z konferencji „Jakość i Lean w Medycynie”
- Bezpieczeństwo informacji według projektu Ustawy o Krajowym Systemie Cyberbezpieczeństwa
- Ulga na bezpieczeństwo?
- Cyberflashing – czym jest i jak się przed tym chronić?
- Cyberbezpieczeństwo w samorządach kuleje
- Audyt bezpieczeństwa informacji