Smishing, czyli fałszywe wiadomości SMS to jeden z rodzajów phishingu, na który jesteśmy narażeni każdego dnia. Dopłata do paczki, niewielkie zaległości w fakturach czy podejrzana aktywność na naszym koncie bankowym to tylko wybrane przykłady wiadomości SMS, jakie wykorzystują oszuści, by nakłonić nas do podjęcia określonych działań, które z kolei pozwolą im pozyskać dostęp do naszych danych oraz oszczędności.

Jedną z najbardziej popularnych metod stosowaną przez oszustów jest dołączanie do wiadomości linków (czyli adresów URL) prowadzących do fałszywych stron logowania, które są łudząco podobne do tych prawdziwych. Zazwyczaj są to strony wykorzystujące wizerunek banku, firm kurierskich, instytucji państwowych, a  także bramki płatności. Niczego nieświadomy użytkownik, wpisując na takiej fałszywej swoje dane logowania, w rzeczywistości przekazuje je oszustom.

Inną, równie popularną metodą jest nakłonienie ofiary do pobrania aplikacji, która rzekomo ma pomóc w rozwiązaniu zaistniałego problemu.  Załączony w wiadomości link, w rzeczywistości prowadzi do szkodliwego oprogramowania szpiegującego, które pozwala przestępcom przejąć kontrolę nad naszym urządzeniem lub pozwala śledzić każdą naszą aktywność – również tę w aplikacjach czy na stronach logowania, np. naszego banku.

W niektórych przypadkach wiadomości smishingowe nakłaniają odbiorcę do wykonania połączenia na wskazany (dołączony w niej) numer telefonu. Jeśli użytkownik zdecyduje się zadzwonić, jego rozmówca (bardzo często automatyczna sekretarka/bot) proszą, by podążać za instrukcją, która wcześniej czy później prosi o podanie danych logowania lub numer karty płatniczej (wraz z kodem CVV). Zdarza się, że oszuści prowadzą również wymianę wiadomości SMS ze swoją ofiarą, i nakłaniają ją do podania potrzebnych im informacji.

Przede wszystkim zawsze należy zwracać uwagę na treść wiadomości – czy znajdują się w niej błędy (np. stylistyczne, językowe), czy ponagla do podjęcia jakichś działań lub wywiera presję oraz, czy wzbudza u Ciebie niepokój, lub inne emocje. Jeśli tak – zachowaj szczególną ostrożność – prawdopodobnie to smishing.

Więcej informacji jak rozpoznać smishing jest dostępnych tutaj.

Jak się chronić przed atakami typu smishing?

• Podobnie jak w przypadku phishingu tradycyjnego, rozsyłanego pocztą email musimy pamiętać o zasadzie ograniczonego zaufania. Zanim wejdziemy w link przesłany w wiadomości zweryfikujmy, czy jest ona prawdziwa.
• Najlepszą metodą na weryfikację, czy przesłana wiadomość jest prawdziwa, jest kontakt z podmiotem/firmą, od której ją otrzymaliśmy. Aby uniknąć kontaktu z oszustem, nie należy dzwonić ani odpisywać na otrzymaną wiadomość. Najlepiej sprawdzić kontakt na oficjalnej stronie usługodawcy.
• Zawsze sprawdzaj, czy adres strony, na której jesteś, jest prawdziwy. Jeśli zawiera literówkę lub różni się od tego, z którego zawsze korzystałeś, zamknij przeglądarkę.
• Uważaj na wiadomości, które wzbudzają w Tobie strach, panikę lub ponaglają Cię do podjęcia szybkich działań.
• Żaden bank ani inna instytucja nie będzie Cię prosić o podanie danych logowania, zwłaszcza haseł. Jeśli otrzymasz takie żądania bądź czujny – to oszuści.
• Korzystaj z uwierzytelniania dwuskładnikowego we wszystkich usługach, w jakich masz taką możliwość, a zwłaszcza w bankowości elektronicznej.  W ten sposób zwiększasz bezpieczeństwo swoich danych oraz uniemożliwiasz przestępcom przejęcie twojego konta.
• Jeśli, otrzymasz fałszywą wiadomość SMS, zgłoś ją do zespołu CERT Polska na numer 799-448-084.