Smshing, czyli jak nie dać się oszukać?

Czym jest smishing?

Smishing jest to odmiana innego zjawiska – już od dość dawna spotykanego na rynku – jakim jest phishing. Ogólnie rzecz ujmując, jest to zbiór różnego rodzaju oszustw, w których przestępcy podszywają się pod inne osoby, instytucje lub podmioty, bardzo często też przeprowadzając uprzedni wywiad w celu ustalenia z jakimi podmiotami akurat mieliśmy styczność. Smishing zatem polega na tym, że zamiast wiadomości e-mail jak to ma najczęściej miejsce w przypadku phishingu otrzymujemy wiadomość sms o raczej neutralnej treści jak na przykład sms-y z żądaniem dopłaty jedynie kilku złotych do przesyłki od firmy kurierskiej, czy też brakami w ostatnim rachunku za prąd od dostawcy energii, który płaciliśmy. Inna formą może być wiadomość z banku o blokadzie naszego konta wraz z linkiem do jego odblokowania. Wyrafinowanie tych wiadomości niestety jednak rośnie. Zgodnie z danymi UKE pojawiały się już nawet złośliwe sms-y przypominające w swej treści wiadomości o szczepieniu czy nawet przypominające o konieczności złożenia PIT.

Wielu ludzi nie zdaje sobie bowiem sprawy, że dużo łatwiej jest uzyskać czyjś numer telefonu niż adres e-mail. Dzieje się tak dlatego, że numer telefonu składa się wyłącznie z cyfr od 1-9 co oznacza, że haker może ustawić program na to, by wysyłał wiadomości na przypadkowe numery. Któraś z nich w końcu trafi nie tylko na realny numer ale tez na osobę, która na nią odpowie.

Przede wszystkim można wywnioskować to z kontekstu. Bank raczej nie będzie chciał od swoich klientów, by pobrali aplikację, a już na pewno nie uczyni tego za pomocą wiadomości. Jeśli kupowaliśmy coś przez Internet i nabyliśmy to płacąc z góry to raczej niemożliwym jest, by nagle okazało się, że kurierowi w zamówieniu brakuje kilku złotych. Innym sposobem jest sprawdzenie samej strony. Prawdziwe strony na przykład banków będą posiadać szyfrowanie, które objawia się ikoną kłódki przy adresie. Ten element będzie charakterystycznie nieobecny w przypadku stron fałszywych.

Sprawdzić warto też sam pasek adresu. Jeśli znajdziemy w nim .ru albo .ua to raczej powinniśmy zrezygnować z korzystania z tej strony. Tym niemniej należy wskazać, że sposoby na wyłudzenie szybko ewoluują, jednak zdrowy rozsądek i upewnianie się, czy na pewno mamy do czynienia z realnym podmiotem powinny wystarczyć. Zawsze przecież możemy zadzwonić bezpośrednio do danego podmiotu i upewnić się, czy na pewno to on skierował do nas określoną wiadomość.

Czy mogę się jakoś przed tym zabezpieczyć?

Oprócz klasycznego rozsądku, pomóc mogą programy antywirusowe dostępne tak na telefon, jak i na komputer. W wielu przypadkach posiadają one automatyczną blokadę strony uznanej za niebezpieczną w ich bazach gdy przez przypadek wejdziemy w przesłany link. Nowsze telefony z systemem Android posiadają już często domyślnie aplikację Google do obsługi połączeń i wiadomości sms, która automatycznie oznacza numery i wiadomości podejrzane o bycie spamem. Jednak nawet najlepszy system zabezpieczeń nie jest w stanie nic zdziałać jeśli zabraknie woli dlatego pamiętajmy o tym, by regularnie go aktualizować i zastanowić się dwa razy zanim otworzymy link przysłany wiadomością sms. Podejrzane wiadomości można także przekazać do CERT Polska. Tam zostaną one przeanalizowane i dodane do Listy Ostrzeżeń, wobec której jeszcze w zeszłym roku wszyscy dostawcy zobowiązali się do blokowania stron na niej zamieszczonych.

Jeśli próba wyłudzenia nastąpiła przy wykorzystaniu wiadomości e-mail lub bezpośrednio na jakiejś stronie, można zgłosić to do NASK na ich adres mailowy. Dodatkowo tam, gdzie to możliwe, korzystajmy z uwierzytelniania dwuskładnikowego. Tak skonstruowane uwierzytelnianie sprawia, że nawet gdy przestępcy ukradną Twoje hasło, nie włamią się na powiązane z nim konto. Zdecydowanie odradzić należy odpowiadanie na takie wiadomości w celu żądania usunięcia z listy mailingowej. Odpowiedź jedynie potwierdzi, że dany numer telefonu jest aktywny. Nie zapominajmy, że anulowanie subskrypcji bywa często utrudnione nawet w przypadku legalnych firm, a co dopiero w przypadku przestępców.