Smishing jest jedną z bardziej popularnych form cyberprzestępczości umożliwiającą wyłudzenie danych osobowych i innych poufnych informacji od posiadaczy telefonów komórkowych. Dlatego tak ważne jest, aby znać podstawowe zasady bezpieczeństwa i wiedzieć, jak rozpoznać atak smishingowy oraz jak się przed nim chronić.
Kluczowe informacje warte zapamiętania dotyczące smishingu
- Smishing to forma cyberprzestępczości polegająca na wykorzystaniu wiadomości tekstowych (SMS) do wyłudzenia danych osobowych lub innych poufnych danych od ofiar.
- Smishing jest bardzo podobny do phishingu ale przestępca wykorzystuje wiadomości tekstowe (SMS) zamiast wiadomości e-mail.
- Aby chronić się przed smishingiem, warto znać podstawowe zasady bezpieczeństwa, wiedzieć jak rozpoznać atak, a przede wszystkim nie klikać w podejrzane linki i nie podawać swoich danych osobowych osobom, których nie znamy i nie ufamy.
Czym jest smishing?
Smishing to rodzaj ataku phishingowego (SMS phishing), który dotyczy posiadaczy telefonów komórkowych. Atak ten jest bardzo podobny do phishingu, jednak zamiast wykorzystywać e-maile, przestępcy wysyłają fałszywe wiadomości tekstowe (SMS lub MMS), które często wyglądają jak oficjalne komunikaty od banków, firm kurierskich, firm ubezpieczeniowych, operatorów sieci komórkowych lub instytucji publicznych.
Przestępcy, którzy przeprowadzają ataki smishingowe, często wykorzystują techniki socjotechniczne, aby przekonać ofiary do podania swoich poufnych informacji. Mogą na przykład twierdzić, że ofiara musi podać swoje dane osobowe w celu uniknięcia blokady konta lub innych problemów finansowych, a wszystko po to, aby zdobyć dostęp do wrażliwych danych ofiar. Wiadomości te często zawierają linki, które prowadzą do fałszywych stron internetowych, na których ofiary są proszone o podanie swoich danych lub są przekonywane do zainstalowania złośliwego oprogramowania.
Ataki smishingowe są bardzo popularne, ponieważ coraz więcej osób korzysta z telefonów komórkowych do przeprowadzania transakcji finansowych, takich jak płatności i przelewy za pomocą aplikacji bankowych lub za zakupy online. Przestępcy wykorzystują tę sytuację, aby wyłudzić dane osobowe, takie jak hasła, numery karty płatniczej.
W celu ochrony przed atakami, należy zachować ostrożność i nie udostępniać swoich poufnych informacji w odpowiedzi na podejrzane wiadomości tekstowe lub SMS. Należy również sprawdzać, czy linki prowadzą do oficjalnych stron internetowych, a nie do fałszywych stron stworzonych przez przestępców.
Smishing przez komunikatory internetowe
Chociaż wykorzystanie komunikatorów internetowych, np. Facebook Messenger lub WhatsApp nie jest bezpośrednio ujęte w definicji smishingu, jest to zbliżona metoda oszustwa, która wykorzystuje takie same techniki i ma za zadanie zdobyć podobne informacje. W tym przypadku oszust wykorzystuje komunikator internetowy również do podszywania się pod inną osobę lub instytucję w celu wyłudzenia informacji osobistych, finansowych lub zainstalowania złośliwego oprogramowania na urządzeniu użytkownika.
Przestępcy korzystają z faktu, że użytkownicy komunikatorów częściej, niż SMS-y, otwierają wiadomości od nieznajomych na platformach społecznościowych i częściej na nie odpowiadają.
Jak działa atak smishingowy? Opis typowych technik używanych w smishingu
Atak smishingowy zaczyna się zwykle od pozyskania numerów telefonów lub adresów e-mail ofiar. Cyberprzestępcy mogą zdobyć takie dane na różne sposoby, np. poprzez phishing, podszywanie się pod prawdziwe instytucje i proszenie o podanie numerów telefonów, z publicznie dostępnych danych np. portali sprzedażowych typu OLX. Następnie po uzyskaniu większej liczby danych, osoby wysyłające fałszywe wiadomości rozsyłają je do dużej liczby osób jednocześnie, licząc na to, że choć kilka z nich kliknie w podejrzany link lub poda swoje dane.
W atakach smishingowych cyberprzestępcy wykorzystują różne techniki, aby oszukać ofiarę. Najczęściej stosowana jest poniższa technika:
- ofiara otrzymuje fałszywą wiadomość SMS – wiadomość zawiera zwykle prośbę o potwierdzenie danych, kliknięcie w podejrzany link lub zainstalowanie złośliwego oprogramowania.
- fałszywe strony internetowe – po kliknięciu w podejrzany link ofiara zostaje przekierowana na fałszywą stronę internetową, która wygląda jak prawdziwa strona instytucji finansowej lub innych firm, np. kurierskich, urzędów publicznych. Na takiej stronie ofiara jest proszona o podanie swoich danych, np. numeru karty lub loginu i hasła do konta bankowego.
- złośliwe oprogramowanie – po kliknięciu w podejrzany link ofiara może zostać poproszona o pobranie jakiegoś pliku lub o zainstalowanie aplikacji na swoim urządzeniu. Taki plik może zawierać złośliwe oprogramowanie, które pozwoli cyberprzestępcom na zdalny dostęp do urządzenia ofiary.
W celu ochrony przed atakami, należy zachować ostrożność i nigdy nie podawać swoich danych osobowych czy finansowych osobom, którym nie ufa się w 100%.
Wyjaśnienie podstawowych różnic między smishingiem a phishingiem
Smishing i phishing to dwa różne rodzaje oszustw, które mają na celu wyłudzenie poufnych informacji od ofiar. Smishing to rodzaj phishingu skierowanego na telefony komórkowe, który wykorzystuje wiadomości SMS, natomiast sam phishing to forma oszustwa, które używa poczty elektronicznej (e-mail).
Smishing jest coraz bardziej powszechny, ponieważ większość ludzi używa telefonów komórkowych, otrzymuje wiele wiadomości SMS każdego dnia i często nie zwraca uwagi na podejrzane wiadomości.. Oszuści wykorzystują tę sytuację, aby wysyłać fałszywe wiadomości SMS, które wydają się pochodzić z wiarygodnych miejsc.
Na phishing narażone są osoby korzystające z poczty elektronicznej, które otrzymują fałszywe wiadomości e-mail, które na pierwszy rzut oka wyglądają na pochodzące od zaufanych źródeł.
Jak rozpoznać atak smishingowy? Najczęściej spotykane wiadomości
Jak rozpoznać atak smishingowy? Sprawdź znaki ostrzegawcze oraz typowe wiadomości, aby lepiej identyfikować tego rodzaju zagrożenia.
Istnieje kilka znaków ostrzegawczych, na które należy zwrócić uwagę, aby rozpoznać atak. Oto kilka z nich:
- nadawca wiadomości jest nieznany lub ma podejrzany nagłówek wiadomości lub numer telefonu;
- fałszywe wiadomości często zawierają literówki lub błędy ortograficzne;
- wiadomość jest nieoczekiwana lub niezwiązana z wcześniejszą korespondencją od tej osoby lub instytucji;
- wiadomość zawiera prośbę o podanie poufnych informacji, takich jak hasła, numery kart kredytowych lub dane osobowe;
- wiadomość zawiera link do strony internetowej, która wydaje się podejrzana lub nieznana;
- wiadomość zawiera prośbę o dokonanie płatności lub przekazanie pieniędzy.
Oszuści stosują różne metody, aby oszukać ofiary i wyłudzić od nich pieniądze lub poufne informacje. Poniżej kilka typowych wiadomości:
- fałszywe powiadomienia o wygranej w konkursie lub loterii, w których należy podać poufne informacje lub dokonać płatności, aby odebrać nagrodę;
- fałszywe powiadomienia o blokadzie konta bankowego lub karty kredytowej, w których należy podać poufne dane lub dokonać płatności, aby odblokować konto.
- fałszywe powiadomienia o dostawie przesyłki, w których należy podać poufne dane lub dokonać płatności, aby odebrać paczkę.
- fałszywe powiadomienia o nadchodzącej lub zaległej płatności lub rachunku, w których należy podać poufne dane lub dokonać płatności, aby uniknąć konsekwencji, np. wyłączenia usługi.
W przypadku otrzymania podejrzanej wiadomości SMS, należy zachować ostrożność i nie udostępniać poufnych informacji ani nie dokonywać płatności bez wcześniejszej weryfikacji.
Jak chronić się przed smishingiem?
Ostrożność jest istotna w przypadku ataków tą metodą. Aby uniknąć skutków ataków, zaleca się przestrzeganie kilku zasad. Jeżeli otrzymasz podejrzaną wiadomość tekstową, która mogłaby być próbą smishingu, wykonaj poniższe działania, które ograniczą potencjalne straty.
- Nie odpowiadaj na wiadomość – wiadomości od nieznanych numerów, szczególnie te z prośbami o podanie poufnych informacji, powinny być traktowane jako podejrzane. Jeśli otrzymujesz prośbę o podanie poufnych informacji, zawsze potwierdź ją bezpośrednio z firmą lub osobą, która rzekomo wysłała wiadomość. Odpowiadanie na podejrzane wiadomości tekstowe może tylko potwierdzić cyberprzestępcy, że Twój numer telefonu jest aktywny i może skłonić ich do dalszych działań.
- Nie klikaj w linki – linki w podejrzanych wiadomościach tekstowych najczęściej prowadzą do stron internetowych, które wyglądają jak oficjalne strony bankowe lub innych instytucji publicznych, ale w rzeczywistości są fałszywe i służą do kradzieży danych. Zawsze sprawdzaj adres strony, aby upewnić się, że jest on autentyczny, zanim klikniesz na link.
- Użyj funkcji blokowania numerów – używaj funkcji blokowania numerów, aby zapobiec otrzymywaniu wiadomości tekstowych od niechcianych nadawców. Ta funkcja jest dostępna na większości smartfonów i umożliwia użytkownikom zablokowanie numerów, które wysyłają podejrzane wiadomości tekstowe.
- Nie podawaj poufnych informacji przez SMS – unikaj podawania poufnych informacji, takich jak hasła, numery kart kredytowych przez wiadomości tekstowe.
- Zainstaluj oprogramowanie antywirusowe – użytkownicy telefonów powinni instalować oprogramowanie antywirusowe na swoich urządzeniach, aby chronić się przed atakami przestępców. Dobre oprogramowanie antywirusowe powinno mieć funkcje, takie jak skanowanie urządzenia w poszukiwaniu złośliwego oprogramowania, blokowanie podejrzanych wiadomości SMS oraz wykrywanie oszustów podszywających się pod rzeczywiste firmy i instytucje. Użytkownicy smartfonów powinni zawsze aktualizować swoje urządzenia do najnowszych wersji systemu operacyjnego i aplikacji.
- Zgłoś podejrzane wiadomości tekstowe: Jeśli otrzymałeś podejrzaną wiadomość tekstową, możesz ją zgłosić do swojego operatora sieci komórkowej lub CSIRT NASK na numer 799 448 084.
- Zabezpiecz swoje dane: Jeśli uważasz, że Twoje dane osobowe lub numer karty kredytowej mogły zostać skradzione, skontaktuj się z bankiem, aby zablokować swoje konto lub kartę kredytową i zmienić swoje hasła logowania.
- Bądź czujny: Smishing jest tylko jednym z wielu sposobów, w jakie cyberprzestępcy próbują wyłudzić dane osobowe i informacje finansowe. Bądź czujny i nie ujawniaj swoich danych osobowych lub informacji finansowych, chyba że jesteś pewien, że dana strona internetowa lub osoba jest wiarygodna.
Pamiętaj, że zawsze należy zweryfikować, czy wiadomość pochodzi od rzeczywistej firmy lub instytucji, a nie od oszustów podszywających się pod nią.
W przypadku ataku smishingowego należy działać szybko i skutecznie, aby zminimalizować szkody. Przestrzeganie powyższych kroków może pomóc w ochronie Twoich danych osobowych i uniknięciu wyłudzenia danych. Należy również pamiętać, że instytucje finansowe nigdy nie proszą o potwierdzenie danych lub dokonanie przelewu przez SMS.
Przykłady ataków smishingowych
Poniżej zostały przedstawione przykłady najczęściej spotykanych ataków:
- Atak w celu wyłudzenia danych dostępu do konta bankowego: Przestępca może wysłać fałszywą wiadomość SMS z informacją, że konto bankowe ofiary zostało zablokowane lub zainfekowane wirusem. W wiadomości może być zawarty link, który prowadzi do fałszywej strony logowania, gdzie przestępca prosi o podanie danych do logowania. W ten sposób przestępca zdobywa dostęp do konta bankowego ofiary, z którego ukradnie zgromadzone środki.
- Atak w celu wyłudzenia danych osobowych: Przestępca może wysłać fałszywą wiadomość SMS, w której prosi o podanie danych osobowych, takich jak numer dowodu osobistego, numer PESEL, adres zamieszkania itp. Przestępca może wykorzystać kradzież tożsamości do innych cyberprzestęptw lub na podstawie otrzymanych danych zaciągnąć kredyt.
- Atak w celu wyłudzenia pieniędzy przez przelew na telefon BLIK: Przestępca może wysłać fałszywą wiadomość SMS, teoretycznie od znajomego lub członka rodziny, w której prosi o przesłanie pewnej kwoty pieniędzy przy użyciu usługi przelew na telefon BLIK na określony numer telefonu.
- Nieuregulowany rachunek za prąd, gaz lub usługi telekomunikacyjne – wiadomość dotycząca nieuregulowanego rachunku grożąca zablokowaniem telefonu lub wstrzymaniem dostawy energii elektrycznej lub gazu, która zawiera link do fałszywej strony umożlwiającej płatności online.
- Atak podszywający się pod firmę kurierską – oszust wysyła SMS-a, w którym informuje ofiarę o brakującej kwocie (na ogół do 2 złotych) do dopłaty za dostarczenie przesyłki oraz linkiem do fałszywej strony płatności internetowych lub firma kurierska ma problem z dostawą paczki i prosi o podanie numeru karty kredytowej, aby móc ponownie wysłać paczkę.
- Atak pod pretekstem wygranej – oszust wysyła SMS-a, w którym informuje ofiarę, że wygrała nagrodę w konkursie. Następnie prosi ofiarę o podanie swoich poufnych danych, takich jak numer karty kredytowej, aby móc przesłać nagrodę.
- Zablokowanie ogłoszenia (np. na OLX lub OTOMOTO) – osoby publikujące oferty na portalu z ogłoszeniami otrzymują wiadomości SMS informujące o blokadzie ich ogłoszeń z powodu niewystarczających opłat. Atak ten jest szczególnie skuteczny, gdyż wiadomości są wysyłane na prawdziwe numery telefonów dostępne w ogłoszeniach. Treść wiadomości zawiera odnośnik do podrobionej strony internetowej, która umożliwia dokonywanie płatności online.
- Informacja o fakturze z linkiem do jej pobrania lub załącznikiem – faktura zwierająca złośliwe oprogramowanie, które infekuje urządzenie ofiary a cyberprzestępca przejmuje kontrolę nad telefonem.
Wszystkie powyższe ataki smishingowe mają na celu wyłudzenie danych osobowych, finansowych lub poufnych informacji od ofiar. Aby uniknąć takich ataków, użytkownicy powinni zachować ostrożność i nigdy nie ujawniać swoich danych osobowych lub finansowych w odpowiedzi na wiadomości SMS lub MMS.
Różnice między smishingiem a SMS spoofingiem
Smishing i SMS Spoofing to dwa różne rodzaje ataków,, choć często mogą być stosowane jednocześnie, wykorzystujące fałszywe wiadomości tekstowe, które mają na celu wyłudzenie danych lub pieniędzy od użytkowników telefonów komórkowych. Oba ataki wykorzystują numer telefonu i opierają się na technikach inżynierii społecznej, ale różnią się sposobem, w jaki atakują użytkownika.
W smishingu przestępca nie zmienia numeru telefonu, ale podszywa się pod zaufaną instytucję, co może sprawić, że użytkownik uwierzy, że wiadomość jest prawdziwa. W przeciwieństwie do smishingu, w SMS spoofingu cyberprzestępcy wykorzystują specjalne narzędzia, które pozwalają im na zmianę numeru nadawcy wiadomości. W ten sposób, ofiary otrzymują wiadomości tekstowe, które wydają się pochodzić od zaufanych źródeł, takich jak banki lub dostawcy usług telekomunikacyjnych.
Zgłoś incydent – Zgłoszenia do CERT Polska
Zgodnie z ustawą o narodowym systemie bezpieczeństwa cybernetycznego do zespołu CERT Polska można zgłaszać podejrzane wiadomości SMS na stronie internetowej https://incydent.cert.pl/ poprzez wypełnienie odpowiedniego formularza i przesłanie kopii wiadomości. Można również zgłaszać podejrzane wiadomości SMS z linkami za pomocą funkcji “Przekaż”, bezpośrednio na numer telefonu: 799 448 084.
Sprawdź informacje na temat innych cyberoszustw.
FAQ – najczęściej zadawane pytania związane ze smishingiem:
.