Zgodnie z przewidywaniami ekspertów, po kwietniowym wycieku naszych danych z Facebooka (2,5 mln numerów telefonów z Polski) wzrasta liczba fałszywych wysyłek służących wyłudzaniu wrażliwych informacji. Za nasilenie się phishingu pośrednio odpowiada też pandemia i związane z nią nagłe przyspieszenie cyfryzacji. Sposoby obrony przed oszustami pozostały takie same i wciąż działają.
– Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warto porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie – podpowiada Michał Kuliś, Content Marketer w SMSAPI.
PRZYKŁADY FAŁSZYWYCH SMS-ÓW I SPOSOBY, JAK SIĘ PRZED NIMI BRONIĆ
Dlaczego nasilają się phishingowe SMS-y i jak się przed nimi bronić?
Zgodnie z przewidywaniami ekspertów, po kwietniowym wycieku naszych danych z Facebooka wzrasta liczba fałszywych wysyłek służących wyłudzaniu wrażliwych informacji. Za nasilenie się phishingu pośrednio odpowiada też pandemia i związane z nią nagłe przyspieszenie cyfryzacji. Sposoby obrony przed oszustami pozostały takie same i wciąż działają.
- •Z bazy Facebooka wykradziono ponad pół miliarda numerów telefonów z czego 2,5 mln należących do Polaków
- Część z nich trafi w ręce oszustów rozsyłających wiadomości SMS, w których podszywają się pod banki, kurierów czy instytucje rządowe, czyli tzw. phishing a właściwie smishing
- Smishing trafia na bardziej podatny grunt, bo coraz częściej korzystamy z kanału SMS – wg. Research And Markets masowych SMS-ów przybywa w tempie niemal 4 proc. rocznie, a badanie Coherent Market Insights wskazuje, że wśród nich przeważać zaczynają wiadomości transakcyjne i alerty.
- Wraz z pandemią pojawiło się więcej usług do, których wykorzystujemy cyfrowy dostęp i kanał SMS-owy (np. kwarantanna, szczepienia, e-recepty, Alert RCB). To stwarza nowe okazje dla oszustów
- Częściej kupujemy też online niż przed pandemią, więc wzrasta szansa, że losowo wybrany numer należy do osoby czekającej na kuriera.
Stosowanie się do instrukcji zawartych w fałszywych wiadomościach może prowadzić do poważnych strat finansowych. Dlatego eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.
- Ministerstwo Zdrowia: Dla każdego obywatela przysługuje wsparcie żywieniowe w zwiazku z epidemia Koronawirusa. Zapisz sie na https://mzgov.net
- Epidemia: W związku z wybuchem epidemii, wszyscy Polacy zobowiązani są uiścić wpłatę do ubezpieczenia zdrowotnego! https://info.korona-pl.net/?lQQJ9
Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, jest jednym z najczęstszych sposobów na oszustwo SMS-owe (smishing). Równie popularny jest phishing e-mailowy (SPAM, hoax / spear phishing) jak i telefoniczny (vishing). Oto na czym najczęściej zależy oszustom:
- dane do logowania w bankowości online – aby je zdobyć wysyła się użytkownika na stronę przypominającą do złudzenia prawdziwy serwis banku. SMS jest więc częścią większej całości;
- numer karty kredytowej (wraz datą ważności i kodem CVC/CVV) – schemat jest podobny, tylko używa się fałszywej strony sklepu lub operatora płatności;
- autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
- inne wrażliwe dane
– Internetowi oszuści są mistrzami w wyłapywaniu nowych “trendów“ komunikacji mobilnej. Ostatnio pojawiły się na przykład fałszywe SMS-y zachęcające do skorzystania z pomocy w ramach tarczy antykryzysowej. Warunkiem jej otrzymania miało być wykonanie symbolicznego przelewu na wskazanej stronie, co samo w sobie powinno wzbudzić podejrzenia – zauważa Michał Kuliś, Content Marketer w SMSAPI.
– Przedsiębiorców, którzy nigdy wcześniej nie korzystali z tej formy pomocy podany adres nie musiał specjalnie dziwić, w końcu w walce z pandemią liczy się czas i nie wszystkie powstałe w tym celu serwisy są dopracowane. Co innego, gdy ktoś podszywa się pod np. znany bank. Wprawne oko zaraz wychwyci, że adres powinien kończyć się na .pl, tymczasem w SMS-ie jest com.pl. Warto porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie – dodaje ekspert SMSAPI.
Jak nie dać się złapać na SMS-owy phishing
1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię – oszuści często nie używają polskich znaków.
przykład (pole Dostawa): Twoja packza zostala zatrzymana przez brak wplaty 0,89 PLN. Przepraszamy za utrudnienia,prosze uregulowac rachunek. pay.dostawy24.com/?wSLDD
2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
3. Śpiesz się powoli! Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi działaniami zakupami, lub dotyczy “zaległych” należności, zastanów się czy na pewno dotyczy Ciebie i zachowaj ostrożność.
przykład (pole MANDAT): Masz nie zaplacony mandat. Oplac mandat do dnia 22.04.2021 lub sprawa trafi do sadu. Kwota: 10.00 PLN https://odskah.net/9
4. Nie bądź chciwy! Jeśli w treści wiadomości dowiesz się, że wygrałeś jakiś konkurs, lub czekają na Ciebie ogromne pieniądze, zastanów się czy kliknąć w link – najprawdopodobniej więcej stracisz niż zyskasz.
przykład (pole 895142): Rabat -20PLN na zakupy w Allegro i 5 darmowych dostaw ! Wystarczy pobrac nasza nowa aplikacje HTTPS://ALLEGR0.NET/APK i wpisac kod: GSL2GW.
5. Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
6. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.
Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Oszuści manipulują nami poprzez treści wywołujące strach (koronawirus), lub naciskające na szybką reakcję z naszej strony. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i niespodziewane przelewy.