Czym jest smishing i jak się przed nim bronić?

Czym jest smishing?

Smishing to atak socjotechniczny, który polega na wysyłaniu fałszywych wiadomości SMS przez przestępców usiłujących wyłudzić poufne informacje od osób prywatnych lub firm. Jeśli ofiara smishingu uwierzy, że nadawcą wiadomości jest bliska osoba, dostawca energii elektrycznej, firma kurierska albo bank, istnieje ryzyko, że dojdzie do przechwycenia ważnych danych (np. loginu i hasła do bankowości elektronicznej, numeru dowodu osobistego), a nawet utraty pieniędzy. Co więcej, konsekwencją smishingu może być także zaciągnięcie zobowiązania finansowego na dane ofiary czy utrata dostępu do kont w mediach społecznościowych.

Dowiedz się więcej: Jak sprawdzić, czy ktoś wziął na mnie kredyt lub pożyczkę?

Jak działa smishing?

Smishing bazuje na inżynierii społecznej, czyli praktyce manipulacji psychologicznej stosowanej w cyberprzestępczości. Techniki wpływu społecznego, w szczególności wspomniana manipulacja i perswazja, skłaniają odbiorców komunikatów do wykonania czynności pożądanych przez nadawcę. Oszuści nie tylko wywołują lęk przed stratą, strach przed karą albo współczucie w potencjalnych ofiarach, ale także stosują presję czasu, aby zmusić odbiorcę wiadomości do impulsywnego działania w pośpiechu.

Jak rozpoznać smishing? Przykłady wiadomości

Chociaż istnieją setki scenariuszy smishingu, to można wyróżnić pewne wspólne cechy fałszywych wiadomości, które powinny wzbudzić twój niepokój.

• Pochodzą z nieznanego numeru. Uwaga – zdarza się, że ataki smishingowe są połączone ze spoofingiem, czyli podszywaniem się pod autentyczne numery telefonów.
• Obfitują w błędy językowe (ortograficzne, składniowe, interpunkcyjne) i są niedbale napisane.
• Straszą konsekwencjami, np. złożeniem pozwu, nałożeniem kary finansowej, wstrzymaniem dostawy energii elektrycznej.
• Zawierają podejrzany, skrócony link.
• Nie podają konkretnych informacji, np. numeru faktury za energię elektryczną, który możesz sprawdzić.
• Dają krótki czas na reakcję.

Smishing w SMS-ach

Według raportu „Bezpieczeństwo cyfrowe Polaków. Oszustwa internetowe i zagrożenia w komunikacji mobilnej” niemal 54% respondentów dostało podejrzane wiadomości. Smishing w SMS-ach często polega na wysyłce:

• ponaglenia do zapłaty rachunku (z zaznaczeniem, że odbiorca zostanie np. pozbawiony energii elektrycznej),
• żądania dopłaty do paczki kurierskiej (z podkreśleniem, że nie zostanie wydana do doręczenia bez uiszczenia opłaty),
• informacji o zaległościach podatkowych,
• powiadomienia o złożeniu wniosku o kredyt lub pożyczkę,
• prośby o zrealizowanie przelewu na wysoką kwotę dla „wnuczka”, który chwilowo stracił swój telefon.

SMS może zawierać link, który prowadzi do sfałszowanej strony WWW, albo numer telefonu, pod który powinna zadzwonić ofiara zaniepokojona np. rzekomą kradzieżą tożsamości czy nieopłaconymi rachunkami. W przypadku oszustwa „na wnuczka” przestępca nakłania ofiarę do wykonania przelewu BLIK-iem na numer telefonu, obiecując jak najszybszy zwrot.

Fałszywe profile w social mediach

Chociaż ataki smishingowe odbywają się przede wszystkim przez SMS-y, to oszuści wysyłają analogiczne wiadomości w mediach społecznościowych (np. na Facebooku) oraz za pomocą komunikatorów internetowych (np. Messengera, WhatsAppa). Przestępcy tworzą fałszywe profile i fanpage’e, podszywając się pod bliskich znajomych, organizatorów zbiórek, celebrytów, popularne marki, sklepy internetowe czy instytucje finansowe.

Szczególną ostrożność powinny zachować osoby, które mają publiczne profile oraz aktywnie udzielają się pod postami na Instagramie czy w grupach na Facebooku. Zdarza się, że oszuści udają np. rekruterów, oferując ofiarom aż zanadto atrakcyjną umowę o pracę, która wymaga podania numeru PESEL i danych z dowodu osobistego. Niepokój powinny wzbudzić również „rekrutacje”, w których obowiązkowym etapem jest założenie konta bankowego poprzez link podany przez „pracodawcę.

Fałszywe e-maile

Fałszywe e-maile mogą dotyczyć m.in. nadania paczki przez sklep internetowy, wezwania do zapłaty od kancelarii prawnej czy nieudanego logowania na konta w mediach społecznościowych. Ofiary otrzymują także wiadomości z informacją o otrzymaniu nagrody pieniężnej lub wygranej drogiego sprzętu w loterii.

Czy można zablokować smishing?

Przedsiębiorcy telekomunikacyjni, którzy przetwarzają SMS-y, mogą korzystać z systemu teleinformatycznego utworzonego przez CSIRT NASK, aby zgłaszać podejrzane wiadomości i weryfikować wzorce stosowane przez oszustów. Ponadto teleoperatorzy są zobowiązani do blokowania fałszywych SMS-ów zgodnie ze wzorcami przekazywanymi przez CSIRT NASK². Dzięki współpracy z operatorami telekomunikacyjnymi i powiadomieniom od obywateli stworzono 600 wzorców smishingu i zablokowano niemal 1,1 mln wiadomości przed dotarciem do ofiar³.

Przeczytaj więcej: Nowe zabezpieczenia przed niechcianymi smsami

Jak się bronić przed smishingiem?

Niestety, ataki smishingowe są na tyle zróżnicowane, że nie sposób całkowicie uniemożliwić ich trafianie do odbiorców. Jak się bronić przed smishingiem?

• Nie otwieraj bez zastanowienia linków z SMS-ów.
• Jeżeli otrzymasz SMS-a od rzekomego banku, dostawcy prądu, kuriera czy platformy streamingowej, postaraj się skontaktować z obsługą klienta danej firmy. Sprawdź dane kontaktowe na stronie WWW bądź w umowie. Zdarza się, że oszuści podszywają się pod realne numery, dlatego zadzwoń na infolinię i zapytaj o problem w wiadomości.
• Unikaj podawania numeru telefonu w internecie. Jeśli musisz go wpisać w formularzu, aby np. zrobić zakupy, zamówić usługę czy uzyskać dostęp do publikacji, zwróć uwagę, czy udostępniono ci dokumenty, które opisują zasady przetwarzania twoich danych.
• Pamiętaj, że możesz wycofać tzw. zgody marketingowe w dowolnym momencie.
• Zastrzeż numer PESEL, aby uniemożliwić zawarcie umowy kredytowej lub pożyczkowej na Twoje dane.
• Zachowaj szczególną czujność w okresach, które sprzyjają specyficznym atakom smishingowym. Oszuści podszywają się pod firmy kurierskie przed świętami i urzędy skarbowe w okresie rozliczania PIT-ów.
• Sprawdź, czy twój bank umożliwia zweryfikowanie tożsamości rozmówcy w aplikacji mobilnej.

Oszuści wysyłający fałszywe wiadomości SMS mogą się podszywać również pod ciebie, usiłując wyłudzić od bliskich ci osób pieniądze. Jak zminimalizować ryzyko ich utraty? Możesz ustalić z rodziną i przyjaciółmi tzw. hasło bezpieczeństwa. Chociaż pierwotnym zamysłem tej idei jest ochrona najmłodszych przed obcymi osobami o złych zamiarach⁴, to sprawdzi się również w sytuacji, w której nie ma pewności, kto jest rzeczywistym nadawcą SMS-a. Hasło powinno być na tyle oryginalne, aby nie istniała możliwość jego przypadkowego odgadnięcia. Dobrym pomysłem jest określenie specyficznego pytania i odpowiedzi. Przestępca prawdopodobnie odpowie błędnie, myśląc, że ofiara uwierzyła, że rozmawia z bliską osobą.

Ochrona przed smishingiem w firmie, czyli symulacje cyberataków

Jak podaje „Raport Antyfraudowy BIK 2024”, 50% małych i średnich firm, które zorientowało się, że było ofiarami smishingu oraz innych ataków, odnotowało aż 10 prób wyłudzeń rocznie. Przedsiębiorcy zmagają się najczęściej z:

• fałszywymi fakturami do zapłaty,
• podszywaniem się pod kontrahentów,
• wiadomościami z niebezpiecznymi linkami,
• próbami podszywania się pod ich firmy,
• włamaniami na serwery.

Symulacje ataków smishingowych, które są organizowane przez zewnętrzne podmioty lub generowane w specjalnym oprogramowaniu przez właścicieli firm, pozwalają ocenić, czy pracownicy organizacji są świadomi zagrożeń i reagują odpowiednio na potencjalne oszustwa⁵. Jeśli okaże się, że osoby zatrudnione mogłyby podać poufne dane przestępcom, powinny przejść szkolenie, które zmniejszy ryzyko realnego wyłudzenia informacji poprzez smishing.

Gdzie i jak zgłaszać smishing?

Co zrobić, kiedy dostaniesz fałszywego SMS-a? Zanim zablokujesz nadawcę, powiadom CERT Polska o incydencie bezpieczeństwa. Jak zgłosić smishing? Przytrzymaj palcem podejrzaną wiadomość (uważaj, aby nie otworzyć ewentualnego linku) i użyj funkcji „Prześlij dalej”. Nie zmieniaj nic w treści – nie dodawaj żadnych komentarzy i nie podpisuj się. Wyślij oryginalny tekst na numer 8080. Pamiętaj, że ten numer jest obsługiwany przez zautomatyzowany system, dlatego nie jest możliwe prowadzenie rozmowy. Zgłoszenia, które zawierają screen ekranu smartfona, nie są przetwarzane⁶. Co ważne, możesz ostrzec także bliskie osoby przed potencjalnym oszustwem, szczególnie jeśli uważasz, że są podatne na ataki smishingowe.

Co zrobić, kiedy zostaniesz ofiarą smishingu?

Jeśli oszust zdobędzie Twoje dane osobowe wskutek smishingu, możesz zgłosić kradzież tożsamości online i zastrzec dowód osobisty, np. w banku lub BIK (Biurze Informacji Kredytowej). W przypadku ataku związanego z bankowością elektroniczną poinformuj jak najszybciej daną instytucję finansową o sytuacji, zmień login i hasło oraz zablokuj karty bankowe. Ponadto masz prawo do złożenia reklamacji w banku w związku z utratą pieniędzy na rzecz oszustów. Pamiętaj również, aby zgłosić incydent do CERT Polska oraz na policję.

Jakie są różnice między smishingiem a phishingiem?

Smishing to odmiana phishingu, czyli ataku cybernetycznego, który polega na podszywaniu się przez oszustów pod inne osoby lub instytucje w celu zdobycia poufnych danych, zainfekowania sprzętu złośliwym oprogramowaniem lub wykonania innej czynności przez ofiarę, np. zlecenia przelewu bankowego⁷. Przyjmuje się, że „tradycyjny” phishing bazuje na e-mailach i komunikatorach (np. WhatsAppie), a smishing – na SMS-ach. W obu przypadkach przestępcy masowo wysyłają uniwersalne wiadomości do przypadkowych osób. Zdarza się również, że phishing bazuje na metodach offline, np. fałszywych listach pocztowych z wezwaniami do zapłaty.

Co ważne, oszuści stosują również spear phishing i spear smishing, czyli „spersonalizowane” ataki, których celami są pojedyncze osoby lub firmy⁸. W tych scenariuszach hakerzy zbierają szczegółowe informacje o ofiarach, aby zwiększyć wiarygodność fałszywych wiadomości. Jeżeli przestępca planuje atak na przedsiębiorstwo – szczególnie podszywając się pod wysoko postawioną osobę w organizacji – dochodzi do whalingu⁹.

Czym się różni smishing od vishingu?

Smishing polega na wysyłce wiadomości SMS z fałszywymi informacjami, a vishing (voice phishing) to podszywanie się przestępcy pod inną osobę lub instytucję w trakcie rozmowy telefonicznej. Aż 63% Polaków doświadczyło vishingu¹⁰. Najczęstsze ataki vishingowe polegają na wcielaniu się w rolę pracownika banku, który informuje klienta o próbie wyłudzenia kredytu albo włamaniu na konto bankowe.

Ofiara oszusta może postąpić impulsywnie pod wpływem silnych emocji, obawiając się utraty np. poduszki finansowej zgromadzonej na rachunku . Istnieje duże ryzyko, że poda przestępcy poufne dane, zgodzi się na zainstalowanie aplikacji umożliwiającej zdalną obsługę ekranu lub wykona przelew na dużą kwotę na „rachunek techniczny”.

Niestety, vishing staje się coraz groźniejszy ze względu na szeroką dostępność aplikacji opartych na AI (Artificial Intelligence, czyli sztucznej inteligencji). Przestępcy wykorzystują technologię deep fake, aby podszywać się pod członków rodziny lub bliskich znajomych ofiar¹¹. Wystarczy zaledwie kilkusekundowa próbka głosu, aby stworzyć brzmiącą realistycznie kopię.

Źródła:
1. https://www.smsapi.pl/static/files/Bezpieczenstwo_cyfrowe_Polakow-Raport_SMSAPI_2024.pdf
2. https://www.gov.pl/web/cyfryzacja/wystartowal-system-wymiany-informacji-o-smishingu
3. https://pap-mediaroom.pl/nauka-i-technologie/cert-polska-ponad-1-mln-wiadomosci-od-oszustow-zablokowanych
4. https://czestochowa.policja.gov.pl/ka7/informacje/wiadomosci/254723,Bezpieczne-Haslo-Rodzinne.html
5. https://istrosec.com/files/datasheets/Attack_Simulations_PL.pdf
6. https://incydent.cert.pl/#!/lang=pl,entityType=notObligatedEntity,easyIncidentType=sms
7. https://cebrf.knf.gov.pl/encyklopedia/hasla/385-definicje/818-phishing
8. https://cebrf.knf.gov.pl/encyklopedia/hasla/385-definicje/831-spear-phishing
9. https://www.bankier.pl/wiadomosc/Whaling-czyli-phishing-i-grube-ryby-7292350.html
10. https://rozwiazania-antyfraudowe.bik.pl/download/raport/bik-raport-antyfraudowy-2024.pdf
11. https://mazowiecka.policja.gov.pl/ra/aktualnosci/aktualnosci/103397,Deepfake-a-oszustwa-inwestycyjne.html