Grzegorz Puciato
|
12 lipca 2021

Spis treści

W ostatnim czasie Urząd Komunikacji Elektronicznej ostrzegał przed zjawiskiem tzw. smishing. Poruszając się po Internecie, nawet najbardziej przezorny i zabezpieczony użytkownik może paść jego ofiarą, bo zamiast na technologii bazuje ona na błędzie ludzkim i wykorzystaniu łatwowierności, czy też po prostu braku czasu. Czym zatem jest smishing i jak należy się przed nim chronić? Wskazujemy i objaśniamy.

Czym jest smishing?

Smishing jest to odmiana innego zjawiska – już od dość dawna spotykanego na rynku – jakim jest phishing. Ogólnie rzecz ujmując, jest to zbiór różnego rodzaju oszustw, w których przestępcy podszywają się pod inne osoby, instytucje lub podmioty, bardzo często też przeprowadzając uprzedni wywiad w celu ustalenia z jakimi podmiotami akurat mieliśmy styczność. Smishing zatem polega na tym, że zamiast wiadomości e-mail jak to ma najczęściej miejsce w przypadku phishingu otrzymujemy wiadomość sms o raczej neutralnej treści jak na przykład sms-y z żądaniem dopłaty jedynie kilku złotych do przesyłki od firmy kurierskiej, czy też brakami w ostatnim rachunku za prąd od dostawcy energii, który płaciliśmy. Inna formą może być wiadomość z banku o blokadzie naszego konta wraz z linkiem do jego odblokowania. Wyrafinowanie tych wiadomości niestety jednak rośnie. Zgodnie z danymi UKE pojawiały się już nawet złośliwe sms-y przypominające w swej treści wiadomości o szczepieniu czy nawet przypominające o konieczności złożenia PIT.

Wielu ludzi nie zdaje sobie bowiem sprawy, że dużo łatwiej jest uzyskać czyjś numer telefonu niż adres e-mail. Dzieje się tak dlatego, że numer telefonu składa się wyłącznie z cyfr od 1-9 co oznacza, że haker może ustawić program na to, by wysyłał wiadomości na przypadkowe numery. Któraś z nich w końcu trafi nie tylko na realny numer ale tez na osobę, która na nią odpowie.

Co jest celem takiego ataku i jak on wygląda?

Cel ataku może być różny, najczęściej jednak mamy do czynienia z chęcią przede wszystkim zdobycia danych osobowych, informacji o karcie kredytowej lub dostępu do konta, a także (choć to zdarza się jako pierwsze) zainfekowanie sprzętu szkodliwym oprogramowaniem mającym na celu nadanie cyberprzestępcom zdalny dostęp do naszego urządzenia.

Schemat samego ataku jest w większości bardzo podobny, wręcz identyczny. Najpierw otrzymujemy wiadomość o wskazanej wyżej treści. Na jej końcu najczęściej znajduje się link opisany jako umożliwiający dokonanie wskazanej w sms-ie płatności, odblokowania konta itp. Po jego uruchomieniu zostajemy przekierowani na stronę do złudzenia przypominającą stronę banku lub innego podmiotu. Jest to jednak mistyfikacja i strona ta tylko wygląda odpowiednio po to, by wyciągnąć od nas np. dane do logowania w banku. Jeśli podamy tam swoje dane to zazwyczaj chwilę później zaczniemy otrzymywać powiadomienia z banku o wzięciu na nas pożyczki czy wykonaniu gigantycznych przelewów za granicę. Innym wariantem tego ataku jest skierowanie użytkownika na stronę, z której ten następnie pobrać ma aplikację. Wtedy skutek jest jeszcze gorszy niż w poprzednim przypadku dlatego, że aplikacje takie są najczęściej spreparowane tak, by umożliwić przejęcie bezpośredniej kontroli nad telefonem. W tym momencie nie tylko tracimy dostęp np. do konta w banku, ale także kontakty, konta pocztowe, profile na mediach społecznościowych czy osobiste zdjęcia.

Jedne z pierwszych ofiar tego zjawiska w Islandii i Australii otrzymywały sms-y z potwierdzeniem rzekomego członkostwa w serwisie randkowym oraz informacją o związanej z tym opłacie w wysokości 2 dolarów dziennie. Haczyk polegał na tym, że opłaty można było rzekomo uniknąć, anulując członkostwo na wskazanej stronie internetowej. W rzeczywistości otwarcie strony powodowało zainstalowanie na komputerze ofiary wirusa umożliwiającego zdalne przejęcie kontroli nad urządzeniem.

Jak rozpoznać fałszywą stronę?

Przede wszystkim można wywnioskować to z kontekstu. Bank raczej nie będzie chciał od swoich klientów, by pobrali aplikację, a już na pewno nie uczyni tego za pomocą wiadomości. Jeśli kupowaliśmy coś przez Internet i nabyliśmy to płacąc z góry to raczej niemożliwym jest, by nagle okazało się, że kurierowi w zamówieniu brakuje kilku złotych. Innym sposobem jest sprawdzenie samej strony. Prawdziwe strony na przykład banków będą posiadać szyfrowanie, które objawia się ikoną kłódki przy adresie. Ten element będzie charakterystycznie nieobecny w przypadku stron fałszywych.

Sprawdzić warto też sam pasek adresu. Jeśli znajdziemy w nim .ru albo .ua to raczej powinniśmy zrezygnować z korzystania z tej strony. Tym niemniej należy wskazać, że sposoby na wyłudzenie szybko ewoluują, jednak zdrowy rozsądek i upewnianie się, czy na pewno mamy do czynienia z realnym podmiotem powinny wystarczyć. Zawsze przecież możemy zadzwonić bezpośrednio do danego podmiotu i upewnić się, czy na pewno to on skierował do nas określoną wiadomość.

Czy mogę się jakoś przed tym zabezpieczyć?

Oprócz klasycznego rozsądku, pomóc mogą programy antywirusowe dostępne tak na telefon, jak i na komputer. W wielu przypadkach posiadają one automatyczną blokadę strony uznanej za niebezpieczną w ich bazach gdy przez przypadek wejdziemy w przesłany link. Nowsze telefony z systemem Android posiadają już często domyślnie aplikację Google do obsługi połączeń i wiadomości sms, która automatycznie oznacza numery i wiadomości podejrzane o bycie spamem. Jednak nawet najlepszy system zabezpieczeń nie jest w stanie nic zdziałać jeśli zabraknie woli dlatego pamiętajmy o tym, by regularnie go aktualizować i zastanowić się dwa razy zanim otworzymy link przysłany wiadomością sms. Podejrzane wiadomości można także przekazać do CERT Polska. Tam zostaną one przeanalizowane i dodane do Listy Ostrzeżeń, wobec której jeszcze w zeszłym roku wszyscy dostawcy zobowiązali się do blokowania stron na niej zamieszczonych.

Jeśli próba wyłudzenia nastąpiła przy wykorzystaniu wiadomości e-mail lub bezpośrednio na jakiejś stronie, można zgłosić to do NASK na ich adres mailowy. Dodatkowo tam, gdzie to możliwe, korzystajmy z uwierzytelniania dwuskładnikowego. Tak skonstruowane uwierzytelnianie sprawia, że nawet gdy przestępcy ukradną Twoje hasło, nie włamią się na powiązane z nim konto. Zdecydowanie odradzić należy odpowiadanie na takie wiadomości w celu żądania usunięcia z listy mailingowej. Odpowiedź jedynie potwierdzi, że dany numer telefonu jest aktywny. Nie zapominajmy, że anulowanie subskrypcji bywa często utrudnione nawet w przypadku legalnych firm, a co dopiero w przypadku przestępców.

Podsumowanie

Grzegorz Puciato

Jak można było zaobserwować powyżej, smishing – tak jak jego starszy brat phishing – stanowią realne i wciąż aktualne zagrożenie dla użytkowników Internetu. Jednakże dobre zabezpieczenia sprzętowe i odrobina zdrowego rozsądku powinny skutecznie zabezpieczyć nas i nasze dane przed wykradzeniem. Pamiętajmy też, by w miarę możliwości przekazywać podejrzane wiadomości do odpowiednich podmiotów zajmujących się ich zwalczaniem. Wtedy nie tylko uchronimy samych siebie, ale także i innych.




Zaufali nam: