Bezpieczeństwo IT

Smishing SMShing, phishing SMS – wiele nazw, jedno znaczenie.

Dodano: 21-03-2022 / Eximo Project


Przywykliśmy do używania telefonu w celu potwierdzania płatności bankowych, przesyłek kurierskich czy weryfikacji konta użytkownika. Coraz bardziej bezrefleksyjnie klikamy przez to w linki zawarte w wiadomościach SMS. Tymczasem cyberprzestępcy wykorzystują uśpioną czujność. Mamy obecnie do czynienia z plagą ataków phishingowych dokonywanych na nasze numery telefonu. Warto wiedzieć, jak się przed nimi bronić.

Phishing to popularny rodzaj ataku, w którym hakerzy wykorzystują zjawisko zwane inżynierią społeczną. Technika ta polega na podszywaniu się w treści wiadomości pod zaufaną instytucję - kuriera, urząd, czy operatora sieci komórkowej, aby np. wyłudzić od nas informacje lub zainfekować urządzenia złośliwym oprogramowaniem. Więcej o phishingu pisaliśmy tutaj.

Podobnie jak w wędkarstwie (ang. fishing), gdzie chodzi o złowienie ryby za pomocą przynęty, w przypadku phishingu ofiarą może być każdy z nas, a przynętą – wiadomość z linkiem. Przez ostatnie trzy dekady cyberprzestępcy zastawiali sidła głównie za pomocą sfałszowanych e-maili, ale w ostatnich latach widzimy wzrost ataków dokonywanych również za pomocą wiadomości SMS.

Smishing – co to jest?

O przewadze wiadomości SMS nad e-mailem stanowi jej wiarygodność. Jesteśmy bardziej ufni wobec wiadomości otrzymywanych na nasz numer telefonu, a SMS-y odznaczają się zdecydowanie wyższym współczynnikiem otwarć niż maile. Co więcej, forma „dymka chatu”, jaką najczęściej przybierają SMS-y, kojarzy nam się z graficznym przedstawieniem konwersacji, którą prowadzimy z reguły ze znanymi nam osobami.

Tę niewątpliwą przewagę SMS-ów nad mailami z chęcią wykorzystują hakerzy. Smishing, SMShing – bo takimi nazwami określamy  phishing w formie SMS – charakteryzuje się dużą skutecznością ze względu na nasze przywiązanie do telefonów komórkowych. O ile skrzynkę pocztową jesteśmy w stanie potraktować jako potencjalne źródło ataków, o tyle wiadomości SMS postrzegamy jako bezpieczniejsze i bardziej pożądane.

Ataki smishingowe często udają się również dzięki lukom w cyberbezpieczeństwie. Nasze urządzenia mobilne (telefony, tablety) rzadziej chronione są programami antywirusowymi niż komputery.

Po czym rozpoznać atak smishingowy?

Planując atak smishingowy, cyberprzestępca polega w głównej mierze na naszym zaufaniu. Treść wiadomości SMS jest krótka, zawiera wyraźne zachęcenie do podjęcia określonego działania i przypomina najczęściej wezwanie do zapłaty, przypomnienie o odbiorze przesyłki lub ponaglenie w kwestii uzupełnienia istotnych danych online.

Co powinno wzbudzić nasze wątpliwości, to podejrzany wygląd linku. Jeśli nie zawiera on nazwy instytucji, którą znamy i jesteśmy w stanie jej zaufać, lub odsyła na jakąś zagraniczna witrynę, powinniśmy znacznie ograniczyć nasze zaufanie i nie klikać w niego zbyt pochopnie.

Cyberprzestępca będzie dążył do jednego z poniższych celów:

  1. Zdobycie danych – najczęściej jest to próba nakłonienia odbiorcy wiadomości do ujawnienia loginu i hasła lub innych danych, jakie podajemy podczas uwierzytelniania kont internetowych. Ataki takie polegają na odesłaniu na spreparowaną stronę, np. przypominającą okno logowania do banku czy panel logowania w mediach społecznościowych. Podane tam dane przechwytywane są przez hakera.
  2. Zainfekowanie złośliwym oprogramowaniem – kliknięcie w link zawarty w SMS odsyła nas na stronę, na której znajdują się elementy do pobrania, np. zaległa faktura lub potwierdzenie płatności. Wraz z tymi sfałszowanymi plikami pobieramy złośliwe oprogramowanie, które może pozwolić hakerowi na przejęcie kontroli nad naszym urządzeniem.
  3. Nakłonienie do dokonania płatności – cyberprzestępca może podszywać się w wiadomości SMS pod bliską nam osobę lub zaufaną instytucję, nakłaniając do jak najszybszego uiszczenia płatności. Link w wiadomości najczęściej odsyła na stronę płatności internetowych, gdzie ofiara dokonuje płatności, sądząc, że reguluje zaległą fakturę lub pomaga przyjacielowi w potrzebie.

Najczęściej stosowane metody

Zjawisko smishingu jest problemem, który może dotknąć każdego z nas. Cyberprzestępcy konstruują wiadomości w bardzo precyzyjny sposób, a wśród najczęściej wykorzystywanych metod można wyróżnić m.in.:

  • Płatność za przesyłkę – wiadomości o treści „Paczka na wskazany adres jest drozsza. Prosimy o doplate 1,59PLN. Brak oplaty oznacza anulowanie zamowienia” bazują na popularności zakupów internetowych. SMS skonstruowany jest w bardzo perswazyjny sposób. Istnieje duże prawdopodobieństwo, że czekamy akurat na jakąś przesyłkę, a niska kwota sugerowanej „dopłaty” ma skłonić nas do kliknięcia w link.
  • Odbiór paczki – wiele kampanii smishingowych dotyczy także przekierowania przesyłki, np. „Masz zalegla paczke do odbioru. Szczegoly pod linkiem” lub „Paczka czeka na ustawienie preferencji dostawy. Wejdz w link”. Tego typu ataki przeprowadzane są zwłaszcza w okresie przedświątecznym, gdy wiele osób oczekuje na różne przesyłki. Link często prowadzi do aplikacji, której pobranie może skończyć się utratą pieniędzy z konta bankowego.
  • Odbiór przelewu lub płatności BLIK – w wiadomości otrzymujemy informację o przekazaniu fikcyjnych środków, np. „Ktos wyslal ci przelew na telefon. Odbierz 270 zl klikajac w link”. Po wejściu zostajemy przeniesieni do fałszywej bramki płatności, gdzie jesteśmy zachęceni do podania wrażliwych danych. Warto pamiętać, że banki i strony do płatności online mogą wysyłać SMS, ale zazwyczaj kierują w nich do dedykowanej aplikacji mobilnej.
  • Skierowanie na kwarantannę – w dobie pandemii oszuści rozsyłają SMS-y, zgodnie z którymi „Zostales skierowany do odbycia 10-dniowej kwarantanny z powodu zakazenia w Twoim najbliższym otoczeniu. Wiecej informacji na stronie”. Hakerzy żerują w ten sposób na strachu przed narażeniem się na konsekwencje związane z niedotrzymaniem warunków kwarantanny domowej. Link w wiadomości kieruje do pobrania złośliwej aplikacji.
  • Wygrana w loterii – w wiadomości SMS otrzymujemy gratulacje w związku z wygraną w rzekomej loterii lub informację o przyznaniu bonu/vouchera do wykorzystania w popularnych sieciach handlowych, np. Biedronka czy Rossmann. Odbioru „wygranej” należy dokonać poprzez wejście w link i podanie wrażliwych danych.

Metod na uśpienie naszej czujności jest jednak zdecydowanie więcej, dlatego smishing może przybierać różne formy. Może to być informacja o blokadzie ogłoszenia na platformie zakupowej, wezwanie do zaległej zapłaty w urzędzie skarbowym lub powiadomienie o  źle wypełnionej deklaracji PIT.

Dodatkowym czynnikiem podnoszącym ryzyko jest korzystanie przez cyberprzestępców z technik Spoofingu SMS. Jeżeli odpowiednio przygotują oni wysyłkę wiadomości, fałszywy SMS może być po prostu kontynuacją naszej rozmowy z posiadanym kontaktem i nie wzbudzić żadnych podejrzeń. Działo się tak np. w przypadku SMS-ów o skierowaniu na kwarantannę domową, które zapisywały się w wątku rozmowy zawierającym poprzednie SMS-y wysyłane z zaufanych instytucji rządowych.

Co więcej, oszuści coraz częściej wykorzystują nie tylko SMS-y, ale także komunikatory internetowe. Jeden z ostatnich ataków przeprowadzanych za pomocą wiadomości prywatnych na platformach WhatsApp i Instagram polegał na rozsyłaniu wiadomości o treści „This took me about a few hours to make, hope you like it!” (Przygotowanie tego zajęło mi kilka godzin, mam nadzieję, że ci się spodoba!). Strona kryjąca się pod linkiem wyłudzała od ofiar dane do logowania na platformę społecznościową.

Jak się bronić przed smishingiem?

Podstawową zasadą obrony jest czujność – nie powinniśmy klikać w żadne linki, których się nie spodziewamy. Zasada ta dotyczy zarówno SMS-ów, jak i wiadomości otrzymywanych jakąkolwiek inną drogą, w tym mailową oraz za pośrednictwem komunikatorów internetowych. Jeżeli wiadomości otrzymujemy od nieznanych i losowych numerów, warto je sprawdzać w internecie - łatwo można dowiedzieć się, czy inni również otrzymywali podejrzane wiadomości z konkretnego numeru. Jeżeli numer uznamy za podejrzany lub niebezpieczny, zaleca się jego blokadę - obecnie większość smartfonów dostępnych na rynku posiada taką funkcjonalność.

Z pewnością nie powinniśmy oddzwaniać na numer, z którego przyszła wiadomość, ani na nią odpisywać – może to spowodować naliczenie dodatkowych opłat. Jeśli często otrzymujemy tego typu wiadomości, warto zaopatrzyć swój telefon w oprogramowanie antywirusowe i skontaktować się z operatorem sieci komórkowej.

Jeśli nadawca podejrzanej wiadomości podszywa się pod znaną instytucję, a nie masz pewności co do jej prawdziwości – możesz też skontaktować się z tą firmą lub organizacją. Lepiej opóźnić podjęcie działania w związku z otrzymanym SMS-em o kilka dni, niż w pośpiechu lub pod wpływem emocji ułatwić hakerowi dostęp do naszych danych i środków na koncie.