Nie tak dawno przez Polskę przelała się fala oszustw na „szybki przelew”. Cyberprzestępcy wysyłali do abonentów, podszywając się pod ich znajomych, „niewinną” wiadomość SMS z prośbą o pożyczkę drobnej sumy pieniędzy. Ofiara generowała w swojej aplikacji bankowej kod do płatności i niczego nieświadoma przesyłała go oszustowi, a ten natychmiast wypłacał pieniądze w bankomacie.
W innej formie tego oszustwa przestępcy wysyłają wiadomość na popularnym komunikatorze albo SMS-y o treści „Ktoś wysłał ci przelew na telefon w wysokości 100 zł, skorzystaj z poniższego linku do odbioru środków” lub zbliżonej. Do wiadomości dołączony jest link, który przekierowuje na fałszywą stronę banku. Kiedy pokrzywdzony zaloguje się, przekazuje przestępcom wszystkie dane dostępowe do konta.
Opisane przykłady oszustw z użyciem spreparowanych SMS-ów określa się mianem smishingu.
Psychologia oszustwa
Sekret skuteczności smishingu tkwi głównie w nowatorskim sposobie oszustwa. Z pozoru jest to proste i łatwe do wykrycia. Przecież jesteśmy już, jako użytkownicy komputerów i smartfonów, w mniejszym lub większym stopniu przyzwyczajeni do działań cyberprzestępców w poczcie elektronicznej. Częścią takich maili „zajmują się” od razu programy antywirusowe, a i my na ogół wiemy jak rozpoznać tego typu zagrożenia i ich unikać.
Jednak wiadomości tekstowe, które trafiają na nasze telefony, to dużo bardziej nieoczekiwana i nieoczywista forma oszustwa, tym bardziej że w ten sposób komunikują się z nami banki, urzędy, dostawcy prądu, gazu, firmy kurierskie czy operatorzy telekomunikacyjni. Ponadto w tego typu wiadomościach zawsze przewijają się elementy socjotechniczne, takie jak wywieranie presji czasu – jeżeli nie zapłacisz w ciągu dnia, odłączymy prąd, nie odbierzesz paczki, przeprowadzimy zajęcie egzekucyjne konta, itp. Znamienne przy tym, że wiadomości grożą poważnymi konsekwencjami, ale zwykle zachęcają do przelewu stosunkowo niskich kwot, często poniżej 10 złotych, co ma uśpić czujność ofiary.
Czasami SMS-y nawiązują do głośnych wydarzeń; nadawcy odwołują się do emocji odbiorcy i proszą o wsparcie np. dla ofiar wojny w Ukrainie. Jeżeli dodamy do tego sposób, w jaki „konsumujemy” wiadomości – często w pośpiechu, jednocześnie wykonując inne czynności, co osłabia naszą spostrzegawczość – szybko okaże się, dlaczego smishing jest tak skuteczny i dlaczego tak łatwo się na niego nabrać.
Po pierwsze, nie klikać
Do wiadomości dołączane są skrócone linki, które na pierwszy rzut oka nie budzą podejrzeń. Mimo to, ich kliknięcie może powodować instalację szkodliwego oprogramowania na smartfonie. Przestępca uzyskuje w ten sposób dostęp do zasobów urządzenia. W innym scenariuszu kliknięcie w link zaprowadzi nas na stronę łudząco przypominającą taką, której zazwyczaj używamy logując się do naszej bankowości elektronicznej. Wówczas nie samo kliknięcie, a dopiero podanie danych powoduje negatywne konsekwencje.
Coraz częściej pojawiają się też oszustwa z wykorzystaniem kodu QR. Tutaj przestępca nakłania ofiarę do instalacji i skonfigurowania legalnej, nieszkodliwej aplikacji służącej do komunikowania się. Może ona być wręcz domyślnie zainstalowana przez producenta smartfona i sama w sobie jest absolutnie niegroźna. Następnie oszust wysyła ofierze kod QR, który ta ma w niej zeskanować. Taki kod służy do parowania urządzenia z aplikacją, dzięki czemu cyberprzestępca przejmuje kontrolę nad smartfonem i uzyskuje dostęp do zgromadzonych w nim informacji.
Jak się bronić przed smishingiem
Metody ochrony przed smishingiem są podobne jak w przypadku tradycyjnego phishingu. Przede wszystkim naszą czujność powinna wzbudzić wspomniana już presja czasu, gra na emocjach, np. groźba wyłączenia usługi, albo też informacja dotycząca niespodziewanej przesyłki lub wygranej, bądź też dotycząca wyjątkowo dużych korzyści czy zysku.
Lampka ostrzegawcza powinna zaświecić również wtedy, gdy widzimy w SMS-ie lub słyszymy od dzwoniącej do nas osoby prośbę o podanie różnych, często wrażliwych danych, rzekomo w celu weryfikacji. Czujność muszą wzbudzić również prośby o pobranie i zainstalowanie oprogramowania. W ten sposób postępują fałszywi konsultanci/pomoc techniczna – oszuści podszywający się pod przedstawicieli instytucji, z których usług korzystamy.
Ze szczególną ostrożnością należy traktować przekierowania do panelu płatności w sklepie internetowym czy banku. Musimy wówczas zwracać uwagę na wygląd witryny z płatnościami, stronę graficzną, językową, a przede wszystkim na adresy domen. Ikona kłódki, widoczna w pasku adresu przeglądarki, nie gwarantuje dziś bezpieczeństwa.
Podejrzane są też wszelkie prośby o pieniądze, pożyczki, nawet ze strony znajomego, który odezwał się do nas niespodziewanie poprzez komunikator internetowy taki jak Messenger, WhatsApp czy Telegram, albo też za pośrednictwem SMS-a. W takim wypadku najlepiej bezpośrednio skontaktować się z tą osobą i potwierdzić, czy to rzeczywiście ona przysłała wiadomość. Należy zachować daleko idącą ostrożność w wypadku dziwnych SMS-ów i wiadomości przesyłanych w komunikatorach przez znajome osoby – możliwe, że ktoś przejął ich konto.
Gdy podejrzewamy oszustwo…
Po otrzymaniu wiadomości noszącej znamiona smishingu warto ją zgłosić do CERT Polska. To zespół specjalistów powołany do reagowania na zdarzenia naruszające bezpieczeństwo w internecie, działający w strukturach instytutu badawczego NASK.
Za pomocą funkcji „przekaż” lub „udostępnij” prześlemy treść SMS-a lub fałszywą wiadomość na numer +48 799 448 084. Z jednego numeru można zgłosić do trzech wiadomości w ciągu czterech godzin, a każde zgłoszenie jest dokumentowane i weryfikowane przez operatorów CERT Polska. Uwaga: numer ten służy do zgłaszania prób wyłudzeń internetowo-telekomunikacyjnych czyli SMS-ów z podejrzanymi linkami, a nie zgłaszania nachalnych usług SMS premium.
Ważne, aby przesłać całą wiadomość w oryginalnej formie, bez zmian – nie wycinając odnośnika ani treści. Dzięki temu, po weryfikacji, niebezpieczna strona zostanie wpisana na Listę Ostrzeżeń. W ten sposób chronimy nie tylko siebie, ale także innych użytkowników sieci – bo dostęp do strony będzie dla nich zablokowany. Podejrzane strony najlepiej zgłaszać poprzez formularz na stronie: incydent.cert.pl, a wiadomości e-mail, które budzą wątpliwości przesyłać na adres: [email protected].
Warto zapisać numer +48 799 448 084 w telefonie po to, aby zawsze mieć go pod ręką. Przed niebezpieczeństwem należy też ostrzec bliskich i znajomych. Na smishingowe oszustwa jesteśmy narażeni wszyscy.