Urząd Komunikacji Elektronicznej ostrzega przed zjawiskiem SMShingu. To forma ataku, który opiera się na wykorzystaniu ludzkiej łatwowierności, nieuważności, czy zwykłego błędu lub braku czasu. Ofiarą może paść w tym przypadku każdy z nas. Dlatego warto wiedzieć, jak rozpoznać SMShing i skutecznie się przed nim chronić.
Co to jest SMShing?
SMShing to odmiana innego, często spotykanego zjawiska, jakim jest phishing. Mowa tutaj o zbiorze zróżnicowanych oszustw, w których przestępca podszywa się pod inne podmioty, instytucje, czy osoby. Zazwyczaj przed podjęciem takich działań przeprowadza dokładne rozeznanie, z jakimi podmiotami dana osoba miała styczność. SMShing często więc polega na wysyłaniu smsów o neutralnej treści. Przykładowo firma kurierska wymaga dopłaty niewielkiej kwoty do przesyłki lub od dostawcy prądu z podobnym żądaniem (dopłata do ostatniego rachunku). W przypadku phishingu były to maile, tutaj – smsy.
Czasem przestępcy wysyłają również wiadomości z banku o zablokowaniu konta razem z linkiem, który owe konto ma odblokować, wiadomości o szczepieniu, albo o obowiązku złożenia PIT. Według informacji podanych przez UKE, jest to zjawisko występujące nagminnie w ostatnich miesiącach.
Jak to działa? Przede wszystkim okazuje się, że zdobycie czyjegoś numeru telefonu jest prostsze, niż uzyskanie adresu e-mail. Haker często ustawia program w taki sposób, aby wysyłał smsy na wygenerowane automatycznie numery (które – jak wiadomo – zawierają wyłącznie cyfry od 1-9). W rezultacie, przypadkowo może otrzymać je osoba, która faktycznie kliknie w niepożądany link.
Na czym polega taki atak?
Zazwyczaj celem ataku SMSHing jest:
- Uzyskanie danych osobowych;
- Zdobycie informacji o karcie kredytowej;
- Zdobycie dostępu do konta bankowego;
- Zainfekowanie urządzenia szkodliwym oprogramowaniem (co daje hakerom np. zdalny dostęp do naszego sprzętu).
Sam atak wygląda niemal zawsze tak samo: otrzymanie wiadomości z linkiem, który umożliwia np. dokonanie wskazanej płatności czy odblokowanie konta. Po jego kliknięciu ofiara SMShingu trafia na stronę niemal identyczną ze stroną banku lub innego podmiotu. Gdy wpisze swoje dane logowania, automatycznie przekazuje je cyberprzestępcom, którzy następnie zaciągają na daną osobę pożyczki lub wykonują z jej konta przelewy na ogromne kwoty.
Czasem jednak link przekierowuje na stronę do pobrania aplikacji, której instalacja daje hakerom bezpośrednią kontrolę nad urządzeniem. Wówczas można stracić całą jego zawartość. Zarówno dostęp do konta bankowego, jak i konta pocztowe, kontakty, zdjęcia, czy profile na social mediach. Takie zjawisko wystąpiło na początku w Australii i Islandii, gdzie ofiary otrzymały smsy z potwierdzeniem członkowska w serwisie randkowym. Według przesłanej wiadomości, portal miał pobierać od nich opłatę w wysokości 2 dolarów dziennie, czego można było uniknąć, anulując członkostwo. W tym celu należało oczywiście kliknąć we wskazany link. Po otwarciu strony na komputerze lub telefonie instalował się wirus, dzięki któremu haker uzyskiwał zdalny dostęp do sprzętu.
Sprawdź inne nasze artykuły z kategorii nowe technologie.
Sposoby na rozpoznanie fałszywej strony
Sprawa nie jest prosta, jednak najlepiej zachować wzmożoną czujność. Każdego smsa warto przeanalizować i poddać pod wątpliwość. Przykładowo, żaden bank nie będzie wymagać od klienta pobrania specjalnej aplikacji, a nawet jeśli, to nie zrobi tego za pośrednictwem zwykłej wiadomości. Oprócz tego mało możliwe jest to, aby po opłaceniu zamówienia z góry, kurier musiał otrzymać dodatkowe kilka złotych, żeby dostarczyć naszą paczkę. Należy również zwrócić uwagę, czy strona jest szyfrowana (posiada symbol kłódki przy adresie). Jeśli nie, prawdopodobnie będzie to witryna fałszywa.
Wskazówką może być też pasek adresu, np. te z końcówką .ua lub .ru powinny wzbudzić naszą nieufność. Przede wszystkim trzeba więc upewnić się, czy wiadomość została wysłana przez realny podmiot – ewentualnie zwrócić się do firmy kurierskiej czy banku z pytaniem, czy faktycznie skierowali do nas smsa o takiej treści.
Formy zabezpieczenia przed atakiem typu SMShing
Poza rozsądnym i uważnym podejściem do podejrzanych wiadomości, dobrym rozwiązaniem okazuje się instalacja programów antywirusowych, które automatycznie blokują strony uznawane za niebezpieczne. Dostępne są zarówno w wersji na komputer, jak i na telefon. Co więcej, nowe modele smartfonów z systemem Android zostały wyposażone w domyślną aplikację Google, która sama oznacza jako spam niektóre smsy i numery telefonu.
Pomimo technologicznych sposobów zabezpieczenia, nasze podstawowe „systemy obronne” przed SMShingiem to przede wszystkim uważność i ostrożność. Jeśli wiadomość będzie podejrzana, można przekazać ją do CERT Polska, gdzie zostanie poddana analizie i ewentualnie wpisana na Listę Ostrzeżeń. Na liście tej znajdują się strony, których blokadę zadeklarowali wszyscy dostawcy. Za to gdy próba wyłudzenia miała miejsca mailowo lub na konkretnej stronie www, zgłaszamy to do NASK.
Inne cenne wskazówki dotyczące ataków typu SMShing:
- Wszędzie, gdzie jest to możliwe, najlepiej korzystać z uwierzytelnienia dwuskładnikowego.
- Odradza się natomiast odpowiadanie na tego typu wiadomości z żądaniem usunięcia z listy mailingowej, gdyż może to tylko potwierdzić, że dany numer telefonu lub mail jest aktywny. Warto zaznaczyć, że anulacja subskrypcji nie jest prostą kwestią nawet w przypadku legalnie działających podmiotów.
Wnioski
Zarówno SMShing, jak i phishing są realnymi zagrożeniami dla użytkowników sieci. Skuteczna ochrona przed takimi atakami to odpowiednie zabezpieczenia sprzętowe oraz kierowanie się klasycznym, zdrowym rozsądkiem. Tylko w ten sposób możemy uniknąć wykradzenia danych.
Kolejny, dobrym krokiem jest przekazanie podejrzanych smsów lub maili do właściwych podmiotów, których celem jest walka z takimi praktykami (CERT lub NASK). Może to pomóc nie tylko nam, ale również innym osobom narażonym na zjawisko SMShingu lub phishingu.
Marcin Staniszewski
