Prawdziwa plaga fałszywych SMS-ów. Jak się przed nimi bronić?

Zgodnie z przewidywaniami ekspertów, po kwietniowym wycieku naszych danych z Facebooka wzrasta liczba fałszywych wysyłek służących wyłudzaniu wrażliwych informacji. Za nasilenie się phishingu pośrednio odpowiada też pandemia i związane z nią nagłe przyspieszenie cyfryzacji. Sposoby obrony przed oszustami pozostały takie same i wciąż działają.

• Z bazy Facebooka wykradziono ponad pół miliarda numerów telefonów z czego 2,5 mln należących do Polaków
• Część z nich trafi w ręce oszustów rozsyłających wiadomości SMS, w których podszywają się pod banki, kurierów czy instytucje rządowe, czyli tzw. phishing a właściwie smishing
• Smishing trafia na bardziej podatny grunt, bo coraz częściej korzystamy z kanału SMS - wg. Research And Markets masowych SMS-ów przybywa w tempie niemal 4 proc. rocznie, a badanie Coherent Market Insights wskazuje, że wśród nich przeważać zaczynają wiadomości transakcyjne i alerty.
• Wraz z pandemią pojawiło się więcej usług do, których wykorzystujemy cyfrowy dostęp i kanał SMS-owy (np. kwarantanna, szczepienia, e-recepty, Alert RCB). To stwarza nowe okazje dla oszustów
• Częściej kupujemy też online niż przed pandemią, więc wzrasta szansa, że losowo wybrany numer należy do osoby czekającej na kuriera.

Stosowanie się do instrukcji zawartych w fałszywych wiadomościach może prowadzić do poważnych strat finansowych. Dlatego eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.

1. Ministerstwo Zdrowia: Dla każdego obywatela przysługuje wsparcie żywieniowe w zwiazku z epidemia Koronawirusa. Zapisz sie na https://mzgov.net
2. Epidemia: W związku z wybuchem epidemii, wszyscy Polacy zobowiązani są uiścić wpłatę do ubezpieczenia zdrowotnego! https://info.korona-pl.net/?lQQJ9

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, jest jednym z najczęstszych sposobów na oszustwo SMS-owe (smishing). Równie popularny jest phishing e-mailowy (SPAM, hoax / spear phishing) jak i telefoniczny (vishing). Oto na czym najczęściej zależy oszustom:

• dane do logowania w bankowości online - aby je zdobyć wysyła się użytkownika na stronę przypominającą do złudzenia prawdziwy serwis banku. SMS jest więc częścią większej całości;
• numer karty kredytowej (wraz datą ważności i kodem CVC/CVV) - schemat jest podobny, tylko używa się fałszywej strony sklepu lub operatora płatności;
• autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
• inne wrażliwe dane

Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warunkiem jej otrzymania miało być wykonanie symbolicznego przelewu na wskazanej stronie, co samo w sobie powinno wzbudzić podejrzenia, zauważa Michał Kuliś, Content Marketer w SMSAPI.

Przedsiębiorców, którzy nigdy wcześniej nie korzystali z tej formy pomocy podany adres nie musiał specjalnie dziwić, w końcu w walce z pandemią liczy się czas i nie wszystkie powstałe w tym celu serwisy są dopracowane. Co innego, gdy ktoś podszywa się pod np. znany bank. Wprawne oko zaraz wychwyci, że adres powinien kończyć się na .pl, tymczasem w SMS-ie jest com.pl. Warto porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie, dodaje ekspert SMSAPI.

Jak nie dać się złapać na SMS-owy phishing

1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię - oszuści często nie używają polskich znaków.

przykład (pole Dostawa): Twoja paczka zostala zatrzymana przez brak wplaty 0,89 PLN. Przepraszamy za utrudnienia,prosze uregulowac rachunek. pay.dostawy24.com/?wSLDD

2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.

3. ​Śpiesz się powoli! Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi działaniami zakupami, lub dotyczy “zaległych” należności, zastanów się czy na pewno dotyczy Ciebie i zachowaj ostrożność.

przykład (pole MANDAT): Masz nie zaplacony mandat. Oplac mandat do dnia 22.04.2021 lub sprawa trafi do sadu. Kwota: 10.00 PLN https://odskah.net/9

4. Nie bądź chciwy! Jeśli w treści wiadomości dowiesz się, że wygrałeś jakiś konkurs, lub czekają na Ciebie ogromne pieniądze, zastanów się czy kliknąć w link - najprawdopodobniej więcej stracisz niż zyskasz.

przykład (pole 895142): Rabat -20PLN na zakupy w Allegro i 5 darmowych dostaw ! Wystarczy pobrac nasza nowa aplikacje HTTPS://ALLEGR0.NET/APK i wpisac kod: GSL2GW.

5. Jeśli wiadomość jest prośbą o dokonanie płatności - skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.

6. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.

Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Oszuści manipulują nami poprzez treści wywołujące strach (koronawirus), lub naciskające na szybką reakcję z naszej strony. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i niespodziewane przelewy.

Profeina