W dobie powszechnej cyberprzestępczości coraz trudniej jest odnaleźć się w gąszczu pojęć dotyczących rodzajów zagrożeń cybernetycznych. Skupiamy się głównie na tych funkcjonujących w przestrzeni Internetu, nieco zapominając, że przestępcy wciąż chętnie wykorzystują także tradycyjne kanały komunikacji. Tutaj doskonałym przykładem będzie smishing, o którym więcej przeczytasz w naszym artykule.
Smishing polega na wyłudzaniu danych osobowych lub pieniędzy poprzez wiadomości SMS. Nazwa tego oszustwa wzięła się od połączenia słów „SMS” i „phishing”. Smishing należy do grupy ataków phishingowych, natomiast jego specyfika polega na tym, że zamiast e-maili, cyberprzestępcy wykorzystują popularne wiadomości tekstowe, co może uśpić czujność osób skupiających się na ochronie przed przestępstwami w sieci.
Schemat ataku smishingowego jest bardzo prostu. Ofiara otrzymuje wiadomość SMS, która najczęściej zawiera informację mającą wywołać strach, niepokój czy skłonić do podjęcia pilnego działania.
Przestępcy w wiadomościach najczęściej powołują się na instytucje zaufania publicznego (gazownię, zakład energetyczny, policję, bank), bliskich czy chociażby firmy kurierskie. W fałszywych wiadomościach informują o rzekomej zaległości w płatności za fakturę, proszą o dopłacenie do przesyłki kurierskiej czy przekonują o wygranej w loterii, zachęcając do kliknięcia w link znajdujący się w treści SMS-a.
Po kliknięciu w link ofiara jest przenoszona na fałszywą stronę, która może do złudzenia przypominać witrynę banku czy zakładu energetycznego. Podając swoje dane, na przykład logowania do bankowości elektronicznej, narażamy się na utratę tożsamości i pieniędzy.
Najważniejsza zasada brzmi: nigdy nie klikamy w żadne linki w treści wiadomości SMS, szczególnie wtedy, gdy treść wiadomości ewidentnie ma na celu nas do tego skłonić i wywołać w nas niepokój.
Sprawdzamy nadawcę wiadomości – można przepisać numer telefonu do wyszukiwarki Google i przekonać się, czy rzeczywiście jest to numer instytucji, z której rzekomo wysłano SMS-a.
Jeśli na stronie, do której odsyła link, trzeba podać jakieś wrażliwe dane, to nigdy tego nie robimy. Zawsze najpierw kontaktujemy się z instytucją, na którą powołuje się autor wiadomości i upewniamy się, czy to faktycznie ona rozsyła SMS-y do swoich klientów.
Mając pewność, że jest to próba smishingu, warto powiadomić o tym operatora sieci komórkowej, który doda numer do listy alertów oraz zgłosić incydent w CERT Polska.