Wraz z chaosem informacyjnym związanym z koronawirusem wróciła plaga fałszywych SMS-ów służących wyłudzaniu od odbiorców ich danych osobowych. Stosowanie się do instrukcji w nich zawartych może prowadzić do poważnych strat finansowych. Eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.
W ciągu kilku dni od kiedy koronawirus stał się w Polsce tematem numer 1, oszuści już parokrotnie próbowali wysyłać wiadomości w imieniu Ministerstwa Zdrowia i polskich banków. Podszywając się pod te instytucje starają się wyłudzić wrażliwe dane odbiorców swoich wiadomości.
Doświadczenia z podobnych przypadków pokazują, że oszuści zwykle nie chcą wcale przejmować kontroli nad urządzeniem, ani wykradać zdjęć czy numerów telefonów. To na czym im zależy, to najczęściej:
- numer karty kredytowej (wraz datą ważności i kodem CVC/CVV);
- dane do logowania w bankowości online;
- autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika;
- inne wrażliwe dane.
Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe. Równie popularny jest phishing e-mailowy jak i telefoniczny, dlatego to bardziej sztuczka psychologiczna niż technologiczna.
– Powoływanie się na głośny temat zagrożenia koronawirusem oraz na Ministerstwo Zdrowia miało uwiarygodnić prośbę zawartą w wiadomości. Nadawca chciał wykorzystać sytuację napięcia panującą w społeczeństwie. Na tej samej zasadzie w fałszywych wiadomościach opłaty żąda inny podmiot, który odbiorca kojarzy i który darzy zaufaniem, np. bank czy dostawca prądu. W rzeczywistości ministerstwo nigdy nie zapyta o podzielenie się takimi danymi, a instytucje finansowe nie proszą o dopłaty w ten sposób. Warto zwracać na to uwagę, jak również porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś a NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie– zauważa Maja Wiśniewska, PR & Content Marketing Manager w SMSAPI.
Jak nie dać się złapać na SMS-owy phishing
- Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię – oszuści często nie używają polskich znaków.
- Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
- Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi zakupami, a dotyczy “zaległych” należności, zachowaj ostrożność.
- Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
- Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.
Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe.