SMS nie może zawierać wirusa ani złośliwego oprogramowania, ale strona, do której linkuje, niestety już tak. A “instrukcje” w nim zawarte potrafią skłonić do podzielenia się danymi osobowymi z podejrzaną instytucją. Eksperci radzą, jak rozpoznać, kiedy ktoś próbuje nas oszukać i podpowiadają firmom korzystającym z SMS-ów, jak zwiększyć poziom bezpieczeństwa. “Uwaga na fałszywe SMS-y” – taki nagłówek co jakiś czas sieje panikę na portalach internetowych.
Za każdym razem towarzyszy mu sugestia, że z popularnymi wiadomościami tekstowymi jest coś nie tak. Jednak nie samo narzędzie jest zagrożeniem, lecz pośpiech i brak ostrożności, które może je wywołać.
Najczęstsze metody oszustw
– Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe. Warto zaznaczyć, że phishing e-mailowy czy telefoniczny jest równie popularny, dlatego jest to bardziej sztuczka psychologiczna niż technologiczna. Przypomina nieco kradzieże metodą “na wnuczka”. Opiera się na przykład na tym, że prawie nikt nie pamięta dokładnie, jaki adres strony internetowej ma jego dostawca prądu ani czy wszystkie rachunki z minionych lat zostały opłacone. Oszust liczy więc, że odbiorca uwierzy, iż ma do czynienia z prawdziwą wiadomością – zauważa Andrzej Ogonowski Head Partner of Branding & PR SMSAPI.
Przed phishingiem ostrzega też Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów bezpieczeństwa w infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze.
– Najczęstszym oszustwem z wykorzystaniem SMS-ów, jakie obserwujemy jako Niebezpiecznik.pl, jest „numer na dopłatę”. Przestępcy podszywają się pod znane marki, podpisują SMS jako DHL, InPost, OTOMOTO czy Rossmann. W treści umieszczają informację o tym, że albo przesyłka, na którą czekamy, okazała się być cięższa i trzeba dopłacić złotówkę albo ogłoszenie w serwisie wygasa i można je podpromować w atrakcyjnej cenie kilku złotych. W wiadomości jest link, który przenosi użytkownika na strony wyglądem identyczne jak strony znanych pośredników w płatnościach, np. PayU lub DotPay. Są to jednak fałszywe strony kontrolowane przez przestępców (co można zauważyć, jeśli spojrzy się na pasek adresowy, który niestety na urządzeniach mobilnych często jest automatycznie chowany a adresy w nim są skracane). Jeśli ktoś zaloguje się do banku w celu zlecenia przelewu i nie zauważy, że treść SMS-a z banku informuje o operacji dodania zaufanego odbiorcy, a nie potwierdzania przelewu na 1 PLN, to straci wszystkie pieniądze, które ma na koncie – wyjaśnia ekspert.
Jak walczyć z phishingiem?
Większość firm, urzędów czy organizacji zleca przesyłanie SMS-ów marketingowych i informacyjnych do subskrybentów podmiotom zajmującym się masowymi wysyłkami. Nie oznacza to jednak, że każdy może bez przeszkód wykorzystać to narzędzie. Niestety, na rynku wciąż działają dostawcy masowych wysyłek SMS, którzy idą na skróty i niewystarczająco dokładnie sprawdzają klientów pod względem celu i bezpieczeństwa.
Jednak liderzy tej branży przykładają do tych kwestii dużą uwagę. Weryfikacja pola nadawcy (czyli nazwy, która zastępuje numer telefonu) oraz filtrowanie treści wiadomości po kluczowych spamowych linkach, słowach i sformułowaniach to tylko przykłady sposobów, które uniemożliwiają podszycie się pod instytucję, której się w rzeczywistości nie reprezentuje.
– Zawsze weryfikujemy wszystkie pola nadawcy, które udostępniamy naszym klientom. W przypadku wątpliwości prosimy klienta m.in o przesłanie dokumentów potwierdzających NIP czy numer KRS jego organizacji. W efekcie minimalizujemy możliwość wysłania wiadomości będąc podpisanym jako firma, z którą nie ma się nic wspólnego – wyjaśnia Jakub Kluz, Product Manager w SMSAPI.
Sztuczką, jakiej próbują czasem oszuści, jest nazwanie swojej działalności możliwie podobnie do banku, dostawcy mediów czy urzędu. Oszuści stale próbują wyszukiwać luk bezpieczeństwa w systemach wysyłek SMS. Niestety, czasem skutecznie.
Dlatego warto pamiętać, że przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe.
5 SPOSOBÓW NA FAŁSZYWE SMS-Y
- Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu.
- Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
- Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi zakupami, a dotyczy “zaległych” należności, zachowaj ostrożność.
- Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
- Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci nie opisały tego przypadku phishingu.