Czym jest smishing? Wszystko, co powinieneś wiedzieć

Smishing jest jedną z bardziej popularnych form cyberprzestępczości umożliwiającą wyłudzenie danych osobowych i innych poufnych informacji od posiadaczy telefonów komórkowych. Dlatego tak ważne jest, aby znać podstawowe zasady bezpieczeństwa i wiedzieć, jak rozpoznać atak smishingowy oraz jak się przed nim chronić.

Kluczowe informacje warte zapamiętania dotyczące smishingu

  • Smishing to forma cyberprzestępczości polegająca na wykorzystaniu wiadomości tekstowych (SMS) do wyłudzenia danych osobowych lub innych poufnych danych od ofiar.
  • Smishing jest bardzo podobny do phishingu ale przestępca wykorzystuje wiadomości tekstowe (SMS) zamiast wiadomości e-mail.
  • Aby chronić się przed smishingiem, warto znać podstawowe zasady bezpieczeństwa, wiedzieć jak rozpoznać atak, a przede wszystkim nie klikać w podejrzane linki i nie podawać swoich danych osobowych osobom, których nie znamy i nie ufamy.

Czym jest smishing?

Smishing to rodzaj ataku phishingowego (SMS phishing), który dotyczy posiadaczy telefonów komórkowych. Atak ten jest bardzo podobny do phishingu, jednak zamiast wykorzystywać e-maile, przestępcy wysyłają fałszywe wiadomości tekstowe (SMS lub MMS), które często wyglądają jak oficjalne komunikaty od banków, firm kurierskich, firm ubezpieczeniowych, operatorów sieci komórkowych lub instytucji publicznych.

Reklama

Przestępcy, którzy przeprowadzają ataki smishingowe, często wykorzystują techniki socjotechniczne, aby przekonać ofiary do podania swoich poufnych informacji. Mogą na przykład twierdzić, że ofiara musi podać swoje dane osobowe w celu uniknięcia blokady konta lub innych problemów finansowych, a wszystko po to, aby zdobyć dostęp do wrażliwych danych ofiar. Wiadomości te często zawierają linki, które prowadzą do fałszywych stron internetowych, na których ofiary są proszone o podanie swoich danych lub są przekonywane do zainstalowania złośliwego oprogramowania.

Ataki smishingowe są bardzo popularne, ponieważ coraz więcej osób korzysta z telefonów komórkowych do przeprowadzania transakcji finansowych, takich jak płatności i przelewy za pomocą aplikacji bankowych lub za zakupy online. Przestępcy wykorzystują tę sytuację, aby wyłudzić dane osobowe, takie jak hasła, numery karty płatniczej.

W celu ochrony przed atakami, należy zachować ostrożność i nie udostępniać swoich poufnych informacji w odpowiedzi na podejrzane wiadomości tekstowe lub SMS. Należy również sprawdzać, czy linki prowadzą do oficjalnych stron internetowych, a nie do fałszywych stron stworzonych przez przestępców.

Reklama

Smishing przez komunikatory internetowe

Chociaż wykorzystanie komunikatorów internetowych, np. Facebook Messenger lub WhatsApp nie jest bezpośrednio ujęte w definicji smishingu, jest to zbliżona metoda oszustwa, która wykorzystuje takie same techniki i ma za zadanie zdobyć podobne informacje. W tym przypadku oszust wykorzystuje komunikator internetowy również do podszywania się pod inną osobę lub instytucję w celu wyłudzenia informacji osobistych, finansowych lub zainstalowania złośliwego oprogramowania na urządzeniu użytkownika.

Przestępcy korzystają z faktu, że użytkownicy komunikatorów częściej, niż SMS-y, otwierają wiadomości od nieznajomych na platformach społecznościowych i częściej na nie odpowiadają.

Jak działa atak smishingowy? Opis typowych technik używanych w smishingu

Atak smishingowy zaczyna się zwykle od pozyskania numerów telefonów lub adresów e-mail ofiar. Cyberprzestępcy mogą zdobyć takie dane na różne sposoby, np. poprzez phishing, podszywanie się pod prawdziwe instytucje i proszenie o podanie numerów telefonów, z publicznie dostępnych danych np. portali sprzedażowych typu OLX. Następnie po uzyskaniu większej liczby danych, osoby wysyłające fałszywe wiadomości rozsyłają je do dużej liczby osób jednocześnie, licząc na to, że choć kilka z nich kliknie w podejrzany link lub poda swoje dane.

Reklama

W atakach smishingowych cyberprzestępcy wykorzystują różne techniki, aby oszukać ofiarę. Najczęściej stosowana jest poniższa technika:

  • ofiara otrzymuje fałszywą wiadomość SMS – wiadomość zawiera zwykle prośbę o potwierdzenie danych, kliknięcie w podejrzany link lub zainstalowanie złośliwego oprogramowania.
    • fałszywe strony internetowe – po kliknięciu w podejrzany link ofiara zostaje przekierowana na fałszywą stronę internetową, która wygląda jak prawdziwa strona instytucji finansowej lub innych firm, np. kurierskich, urzędów publicznych. Na takiej stronie ofiara jest proszona o podanie swoich danych, np. numeru karty lub loginu i hasła do konta bankowego.
    • złośliwe oprogramowanie – po kliknięciu w podejrzany link ofiara może zostać poproszona o pobranie jakiegoś pliku lub o zainstalowanie aplikacji na swoim urządzeniu. Taki plik może zawierać złośliwe oprogramowanie, które pozwoli cyberprzestępcom na zdalny dostęp do urządzenia ofiary.

W celu ochrony przed atakami, należy zachować ostrożność i nigdy nie podawać swoich danych osobowych czy finansowych osobom, którym nie ufa się w 100%.

Wyjaśnienie podstawowych różnic między smishingiem a phishingiem

Smishing i phishing to dwa różne rodzaje oszustw, które mają na celu wyłudzenie poufnych informacji od ofiar. Smishing to rodzaj phishingu skierowanego na telefony komórkowe, który wykorzystuje wiadomości SMS, natomiast sam phishing to forma oszustwa, które używa poczty elektronicznej (e-mail). 

Reklama

Smishing jest coraz bardziej powszechny, ponieważ większość ludzi używa telefonów komórkowych, otrzymuje wiele wiadomości SMS każdego dnia i często nie zwraca uwagi na podejrzane wiadomości.. Oszuści wykorzystują tę sytuację, aby wysyłać fałszywe wiadomości SMS, które wydają się pochodzić z wiarygodnych miejsc. 

Na phishing narażone są osoby korzystające z poczty elektronicznej, które otrzymują fałszywe wiadomości e-mail, które na pierwszy rzut oka wyglądają na pochodzące od zaufanych źródeł.

Jak rozpoznać atak smishingowy? Najczęściej spotykane wiadomości

Jak rozpoznać atak smishingowy? Sprawdź znaki ostrzegawcze oraz typowe wiadomości, aby lepiej identyfikować tego rodzaju zagrożenia.

Reklama

Istnieje kilka znaków ostrzegawczych, na które należy zwrócić uwagę, aby rozpoznać atak. Oto kilka z nich:

  • nadawca wiadomości jest nieznany lub ma podejrzany nagłówek wiadomości lub numer telefonu;
  • fałszywe wiadomości często zawierają literówki lub błędy ortograficzne;
  • wiadomość jest nieoczekiwana lub niezwiązana z wcześniejszą korespondencją od tej osoby lub instytucji;
  • wiadomość zawiera prośbę o podanie poufnych informacji, takich jak hasła, numery kart kredytowych lub dane osobowe;
  • wiadomość zawiera link do strony internetowej, która wydaje się podejrzana lub nieznana;
  • wiadomość zawiera prośbę o dokonanie płatności lub przekazanie pieniędzy.

Oszuści stosują różne metody, aby oszukać ofiary i wyłudzić od nich pieniądze lub poufne informacje. Poniżej kilka typowych wiadomości:

  • fałszywe powiadomienia o wygranej w konkursie lub loterii, w których należy podać poufne informacje lub dokonać płatności, aby odebrać nagrodę;
  • fałszywe powiadomienia o blokadzie konta bankowego lub karty kredytowej, w których należy podać poufne dane lub dokonać płatności, aby odblokować konto.
  • fałszywe powiadomienia o dostawie przesyłki, w których należy podać poufne dane lub dokonać płatności, aby odebrać paczkę.
  • fałszywe powiadomienia o nadchodzącej lub zaległej płatności lub rachunku, w których należy podać poufne dane lub dokonać płatności, aby uniknąć konsekwencji, np. wyłączenia usługi.

W przypadku otrzymania podejrzanej wiadomości SMS, należy zachować ostrożność i nie udostępniać poufnych informacji ani nie dokonywać płatności bez wcześniejszej weryfikacji.

Reklama

Jak chronić się przed smishingiem?

Ostrożność jest istotna w przypadku ataków tą metodą. Aby uniknąć skutków ataków, zaleca się przestrzeganie kilku zasad. Jeżeli otrzymasz podejrzaną wiadomość tekstową, która mogłaby być próbą smishingu, wykonaj poniższe działania, które ograniczą potencjalne straty.

  • Nie odpowiadaj na wiadomość – wiadomości od nieznanych numerów, szczególnie te z prośbami o podanie poufnych informacji, powinny być traktowane jako podejrzane. Jeśli otrzymujesz prośbę o podanie poufnych informacji, zawsze potwierdź ją bezpośrednio z firmą lub osobą, która rzekomo wysłała wiadomość. Odpowiadanie na podejrzane wiadomości tekstowe może tylko potwierdzić cyberprzestępcy, że Twój numer telefonu jest aktywny i może skłonić ich do dalszych działań.
  • Nie klikaj w linki – linki w podejrzanych wiadomościach tekstowych najczęściej prowadzą do stron internetowych, które wyglądają jak oficjalne strony bankowe lub innych instytucji publicznych, ale w rzeczywistości są fałszywe i służą do kradzieży danych. Zawsze sprawdzaj adres strony, aby upewnić się, że jest on autentyczny, zanim klikniesz na link.
  • Użyj funkcji blokowania numerów – używaj funkcji blokowania numerów, aby zapobiec otrzymywaniu wiadomości tekstowych od niechcianych nadawców. Ta funkcja jest dostępna na większości smartfonów i umożliwia użytkownikom zablokowanie numerów, które wysyłają podejrzane wiadomości tekstowe.
  • Nie podawaj poufnych informacji przez SMS – unikaj podawania poufnych informacji, takich jak hasła, numery kart kredytowych przez wiadomości tekstowe.
  • Zainstaluj oprogramowanie antywirusowe – użytkownicy telefonów powinni instalować oprogramowanie antywirusowe na swoich urządzeniach, aby chronić się przed atakami przestępców. Dobre oprogramowanie antywirusowe powinno mieć funkcje, takie jak skanowanie urządzenia w poszukiwaniu złośliwego oprogramowania, blokowanie podejrzanych wiadomości SMS oraz wykrywanie oszustów podszywających się pod rzeczywiste firmy i instytucje. Użytkownicy smartfonów powinni zawsze aktualizować swoje urządzenia do najnowszych wersji systemu operacyjnego i aplikacji.
  • Zgłoś podejrzane wiadomości tekstowe: Jeśli otrzymałeś podejrzaną wiadomość tekstową, możesz ją zgłosić do swojego operatora sieci komórkowej lub CSIRT NASK na numer 799 448 084.
  • Zabezpiecz swoje dane: Jeśli uważasz, że Twoje dane osobowe lub numer karty kredytowej mogły zostać skradzione, skontaktuj się z bankiem, aby zablokować swoje konto lub kartę kredytową i zmienić swoje hasła logowania.
  • Bądź czujny: Smishing jest tylko jednym z wielu sposobów, w jakie cyberprzestępcy próbują wyłudzić dane osobowe i informacje finansowe. Bądź czujny i nie ujawniaj swoich danych osobowych lub informacji finansowych, chyba że jesteś pewien, że dana strona internetowa lub osoba jest wiarygodna.

Pamiętaj, że zawsze należy zweryfikować, czy wiadomość pochodzi od rzeczywistej firmy lub instytucji, a nie od oszustów podszywających się pod nią.

W przypadku ataku smishingowego należy działać szybko i skutecznie, aby zminimalizować szkody. Przestrzeganie powyższych kroków może pomóc w ochronie Twoich danych osobowych i uniknięciu wyłudzenia danych. Należy również pamiętać, że instytucje finansowe nigdy nie proszą o potwierdzenie danych lub dokonanie przelewu przez SMS.

Reklama

Przykłady ataków smishingowych

Poniżej zostały przedstawione przykłady najczęściej spotykanych ataków:

  • Atak w celu wyłudzenia danych dostępu do konta bankowego: Przestępca może wysłać fałszywą wiadomość SMS z informacją, że konto bankowe ofiary zostało zablokowane lub zainfekowane wirusem. W wiadomości może być zawarty link, który prowadzi do fałszywej strony logowania, gdzie przestępca prosi o podanie danych do logowania. W ten sposób przestępca zdobywa dostęp do konta bankowego ofiary, z którego ukradnie zgromadzone środki.
  • Atak w celu wyłudzenia danych osobowych: Przestępca może wysłać fałszywą wiadomość SMS, w której prosi o podanie danych osobowych, takich jak numer dowodu osobistego, numer PESEL, adres zamieszkania itp. Przestępca może wykorzystać kradzież tożsamości do innych cyberprzestęptw lub na podstawie otrzymanych danych zaciągnąć kredyt.
  • Atak w celu wyłudzenia pieniędzy przez przelew na telefon BLIK: Przestępca może wysłać fałszywą wiadomość SMS, teoretycznie od znajomego lub członka rodziny, w której prosi o przesłanie pewnej kwoty pieniędzy przy użyciu usługi przelew na telefon BLIK na określony numer telefonu.
  • Nieuregulowany rachunek za prąd, gaz lub usługi telekomunikacyjne – wiadomość dotycząca nieuregulowanego rachunku grożąca zablokowaniem telefonu lub wstrzymaniem dostawy energii elektrycznej lub gazu, która zawiera link do fałszywej strony umożlwiającej płatności online. 
  • Atak podszywający się pod firmę kurierską – oszust wysyła SMS-a, w którym informuje ofiarę o brakującej kwocie (na ogół do 2 złotych) do dopłaty za dostarczenie przesyłki oraz linkiem do fałszywej strony płatności internetowych lub firma kurierska ma problem z dostawą paczki i prosi o podanie numeru karty kredytowej, aby móc ponownie wysłać paczkę.
  • Atak pod pretekstem wygranej – oszust wysyła SMS-a, w którym informuje ofiarę, że wygrała nagrodę w konkursie. Następnie prosi ofiarę o podanie swoich poufnych danych, takich jak numer karty kredytowej, aby móc przesłać nagrodę.
  • Zablokowanie ogłoszenia (np. na OLX lub OTOMOTO) – osoby publikujące oferty na portalu z ogłoszeniami otrzymują wiadomości SMS informujące o blokadzie ich ogłoszeń z powodu niewystarczających opłat. Atak ten jest szczególnie skuteczny, gdyż wiadomości są wysyłane na prawdziwe numery telefonów dostępne w ogłoszeniach. Treść wiadomości zawiera odnośnik do podrobionej strony internetowej, która umożliwia dokonywanie płatności online. 
  • Informacja o fakturze z linkiem do jej pobrania lub załącznikiem – faktura zwierająca złośliwe oprogramowanie, które infekuje urządzenie ofiary a cyberprzestępca przejmuje kontrolę nad telefonem.

Wszystkie powyższe ataki smishingowe mają na celu wyłudzenie danych osobowych, finansowych lub poufnych informacji od ofiar. Aby uniknąć takich ataków, użytkownicy powinni zachować ostrożność i nigdy nie ujawniać swoich danych osobowych lub finansowych w odpowiedzi na wiadomości SMS lub MMS.

Różnice między smishingiem a SMS spoofingiem

Smishing i SMS Spoofing to dwa różne rodzaje ataków,, choć często mogą być stosowane jednocześnie, wykorzystujące fałszywe wiadomości tekstowe, które mają na celu wyłudzenie danych lub pieniędzy od użytkowników telefonów komórkowych. Oba ataki wykorzystują numer telefonu i opierają się na technikach inżynierii społecznej, ale różnią się sposobem, w jaki atakują użytkownika.

W smishingu przestępca nie zmienia numeru telefonu, ale podszywa się pod zaufaną instytucję, co może sprawić, że użytkownik uwierzy, że wiadomość jest prawdziwa. W przeciwieństwie do smishingu, w SMS spoofingu cyberprzestępcy wykorzystują specjalne narzędzia, które pozwalają im na zmianę numeru nadawcy wiadomości. W ten sposób, ofiary otrzymują wiadomości tekstowe, które wydają się pochodzić od zaufanych źródeł, takich jak banki lub dostawcy usług telekomunikacyjnych.

Zgłoś incydent – Zgłoszenia do CERT Polska

Zgodnie z ustawą o narodowym systemie bezpieczeństwa cybernetycznego do zespołu CERT Polska można zgłaszać podejrzane wiadomości SMS na stronie internetowej https://incydent.cert.pl/ poprzez wypełnienie odpowiedniego formularza i przesłanie kopii wiadomości. Można również zgłaszać podejrzane wiadomości SMS z linkami za pomocą funkcji „Przekaż”, bezpośrednio na numer telefonu: 799 448 084

Sprawdź informacje na temat innych cyberoszustw.

FAQ – najczęściej zadawane pytania związane ze smishingiem:

Co to jest smishing i jak działa?

Smishing to metoda phishingowa, która wykorzystuje wiadomości tekstowe SMS. Przestępca podszywa się pod instytucję lub osobę, która jest uznawana za zaufaną przez ofiarę, wysyłając fałszywą wiadomość, która zawiera link lub prośbę o podanie poufnych danych. Kliknięcie w link może spowodować pobranie szkodliwego oprogramowania lub przekierowanie na fałszywą stronę internetową, gdzie ofiara zostaje poproszona o podanie swoich danych np. do logowania do bankowości elektronicznej.

Jakie są sposoby na ochronę przed smishingiem?

Aby zabezpieczyć się przed smishingiem, warto zachować ostrożność i nie podawać swoich danych osobowych lub finansowych w odpowiedzi na wiadomości tekstowe SMS. Warto również zainstalować oprogramowanie antywirusowe na swoim urządzeniu.

Jakie są skutki ataku smishingowego?

Skutki ataku smishingowego mogą być poważne i obejmują kradzież danych osobowych i finansowych, a także zainfekowanie urządzenia szkodliwym oprogramowaniem. Ofiary ataku mogą stracić pieniądze lub stać się ofiarą kradzieży tożsamości.

Jaka jest różnica między smishingiem a phishingiem?

Smishing i phishing to dwa rodzaje oszustw, które mają na celu wyłudzić dane lub inne informacje wrażliwe. Różnica polega na tym, że w przypadku smishingu drogą ataku są wiadomości tekstowe SMS, podczas gdy phishing jest oparty na wiadomościach e-mail.

Jak mogę się chronić przed smishingiem?

Istnieje kilka sposobów, aby chronić się przed smishingiem:

1. Nie odpowiadaj na podejrzane wiadomości tekstowe lub SMS.

2. Nie klikaj na podejrzane łącza.

3. Upewnij się, że oprogramowanie na swoim telefonie jest zaktualizowane.

4. Nie udostępniaj swoich danych logowania lub innych informacji wrażliwych przez wiadomości tekstowe SMS.

O jakie informacje oszuści mogą prosić w atakach smishingowych?

W atakach smishingowych oszuści mogą prosić o różne informacje, takie jak dane logowania do kont bankowych, numery kart płatniczych, informacje personalne lub inne informacje wrażliwe, które mogą być wykorzystane do kradzieży tożsamości lub popełnienia innych cyberoszustw.

Jak rozpoznać smishingową wiadomość tekstową SMS?

Istnieje kilka znaków, które mogą wskazywać na smishingową wiadomość tekstową lub SMS: – Nieznany nadawca – Prośba o podanie danych logowania lub innych informacji wrażliwych – Podejrzane linki, które przekierowują na fałszywe strony internetowe – Zbyt dobre oferty lub promocje, aby być prawdziwymi – Niewłaściwa gramatyka lub interpunkcja.

Czy smishing może występować w komunikatorach, takich jak WhatsApp?

Tak, smishing może występować również w komunikatorach, takich jak WhatsApp. Oszuści mogą wysyłać fałszywe wiadomości z prośbą o podanie danych logowania lub inne informacje wrażliwe.

Jakie są konsekwencje udostępnienia swoich danych w ataku smishingowym?

Udostępnienie swoich danych logowania lub innych informacji wrażliwych w ataku smishingowym może prowadzić do kradzieży tożsamości, nieuprawnionych transakcji na Twoim koncie bankowym lub innego rodzaju oszustwa, które mogą mieć poważne konsekwencje finansowe i osobiste.

Czy oszuści mogą wykorzystywać media społecznościowe do ataków smishingowych?

Tak, oszuści mogą wykorzystywać media społecznościowe do ataków smishingowych. Mogą np. wysyłać wiadomości prywatne z prośbą o podanie danych logowania lub innych informacji wrażliwych, udając, że są Twoimi znajomymi lub członkami rodziny.

Czy można zgłosić atak smishingowy?

Tak, atak smishingowy można zgłosić. Zgłoś incydent do CERT Polska na numer 799 448 084 lub do Twojego dostawcy usług telekomunikacyjnych i przekaż informacje dotyczące otrzymanych wiadomości tekstowych lub SMS, włącznie z ich treścią oraz numerem telefonu nadawcy.

Czy liczba możliwych numerów telefonu dla ataków smishingowych jest nieograniczona?

Tak, liczba możliwych numerów telefonu dla ataków smishingowych jest nieograniczona, a oszuści mogą korzystać z różnych numerów telefonu do wysyłania fałszywych wiadomości tekstowych lub SMS. Dlatego ważne jest, aby być ostrożnym i nie ufać podejrzanym wiadomościom.

.

Reklama
Podziel się swoją opinią:

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.