Smishing, czyli jedna z odmian phishingu, to zagrożenie które zyskuje ostatnio na popularności i przed którym ostrzega obecnie Alior Bank. Na czym to polega i jak się przed tym bronić?
Czym jest smishing i jak wygląda atak?
To pojecie, które powstało z połączenia dwóch słów – dobrze znanego już wielu osobom phishingu, a także SMS. To określenie jednej z taktyk oszustów, która ma na celu wyłudzenie wrażliwych danych – osobowych i finansowych (takich jak numery kart czy dane do logowania), bądź wyrządzenie szkody za pomocą innych narzędzi.
Atak smishingowy dokonuje się za pośrednictwem SMSów. Zazwyczaj mają one formę komunikatu, który informuje o jakimś zdarzeniu (np. blokada konta, wykrycie nieautoryzowanego dostępu, konieczność aktualizacji/ponownej rejestracji aplikacji itp.) i jednocześnie wymaga naszego działania – tu klasycznym haczykiem na ofiary jest link, o którym będzie zaraz mowa.
Przykładowa wiadomość SMS od oszustów może wyglądać następująco:
Wchodzimy na link, wykonujemy oczekiwaną czynność – logowanie/pobranie aplikacji/inne i nieszczęście w zasadzie gotowe.
Jak się bronić przed smishingiem?
Zaczniemy od początku: sama nazwa lub numer nadawcy/dzwoniącego mogą być fałszywe. Warto o tym pamiętać, bowiem to pierwsza sztuczka (a w zasadzie faza ataku), którą wykorzystują przestępcy podszywając się pod daną instytucję. Przykładowo otrzymując SMSa którego nadawcą jest "Alior Bank", nie podejrzewamy podstępu i niejako przyjmujemy to za prawdę – dopóki inne czynniki nie zakwestionują tego przekonania.
Fałszywą wiadomość SMS można podzielić zazwyczaj na dwie części:
- pierwsza to tekst informujący o jakimś zdarzeniu z koniecznością podjęcia działań ze strony klienta. Najlepszym sposobem na uniknięcie ataku są dwa głębokie wdechy i analiza otrzymanej wiadomości. Czasami na pierwszy rzut oka można zauważyć że coś jest nie tak – sygnalizować to mogą błędy w składni czy pisowni.
Forma jest jednak mniej istotna od treści – jeśli mamy jakiekolwiek wątpliwości dotyczące autentyczności otrzymanego komunikatu – skonsultujmy się z bankiem dzwoniąc na infolinię lub odwiedzając oddział – zanim podejmiemy działanie. - druga to link, który może na pierwszy rzut oka wyglądać łudząco podobnie do adresu internetowego prawdziwej strony – zwracajmy uwagę na literówki, dodatkowe znaki. W przypadku gdy wykryjemy fałszywą wiadomość generalnie najlepiej ją skasować (żeby np. przypadkiem nie kliknąć linku nieświadomie gdy telefon przykładowo odblokuje się w kieszeni) – chyba że chcemy zgłosić próbę oszustwa w banku/na policji, co również jest dobrą i pożądaną praktyką.
Podsumowując – przede wszystkim może nas ochronić zdrowy rozsądek i chłodna głowa.
Kliknąłem fałszywy link – i co dalej?
Na ogół samo wejście na spreparowaną przez oszustów stronę jeszcze nie oznacza kłopotów – chociaż nie musi to być regułą. Najczęściej problem stanowi podanie danych do logowania (lub innych) – naturalnie ofiary takich ataków podając te informacje zakładają że są na stronie banku – tym bardziej iż jej wygląd nie różni się od tej strony którą odwiedzali już setki razy logując się do bankowości online.
Jeśli w jakiś sposób zostaliśmy wciągnięci w oszustwo, najlepszym remedium pozostaje bezzwłoczne nawiązanie kontaktu z bankiem i policją. Warto rozważyć również zmianę haseł.
Niestety z biegiem lat oszustwa stają się coraz bardziej wyrafinowane – to ciągła walka między bankami a złodziejami, w której czynnik ludzki wciąż jest kluczowy dla bezpieczeństwa naszych środków.