Fałszywe SMS-y - jak się przed nimi obronić?

SMS nie może zawierać wirusa ani złośliwego oprogramowania, ale strona, do której linkuje, niestety już tak. A “instrukcje” w nim zawarte potrafią skłonić do podzielenia się danymi osobowymi z podejrzaną instytucją. Eksperci radzą, jak rozpoznać, kiedy ktoś próbuje nas oszukać i podpowiadają firmom korzystającym z SMS-ów, jak zwiększyć poziom bezpieczeństwa.

“Uwaga na fałszywe SMS-y" - taki nagłówek co jakiś czas sieje panikę na portalach internetowych. Za każdym razem towarzyszy mu sugestia, że z popularnymi  wiadomościami tekstowymi jest coś nie tak. Jednak nie samo narzędzie jest zagrożeniem, lecz pośpiech i brak ostrożności, które może je wywołać.

- Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe. Warto zaznaczyć, że phishing e-mailowy czy telefoniczny jest równie popularny, dlatego jest to bardziej sztuczka psychologiczna niż technologiczna. Przypomina nieco kradzieże metodą “na wnuczka". Opiera się na przykład na tym, że prawie nikt nie pamięta dokładnie, jaki adres strony internetowej ma jego dostawca prądu ani czy wszystkie rachunki z minionych lat zostały opłacone. Oszust liczy więc, że odbiorca uwierzy, iż ma do czynienia z prawdziwą wiadomością - zauważa Andrzej Ogonowski head partner of branding i PR SMSAPI.

Przed phishingiem ostrzega też Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl, firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów bezpieczeństwa w infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze.

- Najczęstszym oszustwem z wykorzystaniem SMS-ów, jakie obserwujemy jako Niebezpiecznik.pl, jest "numer na dopłatę". Przestępcy podszywają się pod znane marki, podpisują SMS jako DHL, InPost, OTOMOTO czy Rossmann. W treści umieszczają informację o tym, że albo przesyłka, na którą czekamy, okazała się być cięższa i trzeba dopłacić złotówkę albo ogłoszenie w serwisie wygasa i można je podpromować w atrakcyjnej cenie kilku złotych. W wiadomości jest link, który przenosi użytkownika na strony wyglądem identyczne jak strony znanych pośredników w płatnościach, np. PayU lub DotPay. Są to jednak fałszywe strony kontrolowane przez przestępców (co można zauważyć, jeśli spojrzy się na pasek adresowy, który niestety na urządzeniach mobilnych często jest automatycznie chowany a adresy w nim są skracane). Jeśli ktoś zaloguje się do banku w celu zlecenia przelewu i nie zauważy, że treść SMS-a z banku informuje o operacji dodania zaufanego odbiorcy, a nie potwierdzania przelewu na 1 PLN, to straci wszystkie pieniądze, które ma na koncie - wyjaśnia ekspert.

Reklama

Jak walczyć z phishingiem?

Większość firm, urzędów czy organizacji zleca przesyłanie SMS-ów marketingowych i informacyjnych do subskrybentów podmiotom zajmującym się masowymi wysyłkami. Nie oznacza to jednak, że każdy może bez przeszkód wykorzystać to narzędzie. Niestety, na rynku wciąż działają dostawcy masowych wysyłek SMS, którzy idą na skróty i niewystarczająco dokładnie sprawdzają klientów pod względem celu i bezpieczeństwa.

Weryfikacja pola nadawcy (czyli nazwy, która zastępuje numer telefonu) oraz filtrowanie treści wiadomości po kluczowych spamowych linkach, słowach i sformułowaniach to tylko przykłady sposobów, które uniemożliwiają podszycie się pod instytucję, której się w rzeczywistości nie reprezentuje.

Sztuczką, jakiej próbują czasem oszuści, jest nazwanie swojej działalności możliwie podobnie do banku, dostawcy mediów czy urzędu. Oszuści stale próbują wyszukiwać luk bezpieczeństwa w systemach wysyłek SMS. Niestety, czasem skutecznie.

Dlatego warto pamiętać, że przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe.

Simjacking - atak na kartę SIM

We wrześniu analitycy bezpieczeństwa z firmy AdaptiveMobile Security wykryli istnienie nowego zagrożenia na smartfony. Exploit (szkodliwy program wykorzystujący lukę w zabezpieczeniach), nazwany przez nich "Simjacker" (inna nazwa S@Tattack lub WIBattack), może za pomocą jednej wiadomości SMS śledzić położenie telefonu, podsłuchać nasze rozmowy, a nawet wykonywać połączenia.

Jak to możliwe? Wszystko za sprawą specjalnie ukrytego we wiadomości ciągu poleceń, który może aktywować pewne funkcje na karcie SIM. Jeśli karta odczyta je poprawnie, może przesłać informacje zwrotne dotyczące numeru IMEI czy samej lokalizacji. 

Niestety wspomniane "pewne funkcje" można wykorzystać do instalacji złośliwego oprogramowania czy wykonywania płatnych połączeń. Warto pamiętać, że najnowsze generacje kart SIM różnią się od kart wykorzystywanych wiele lat temu - w połączeniu z mobilnymi systemami operacyjnymi, mają one znacznie większy wpływ na operacje wykonywane przez nasze urządzenie. Autorzy "Simjackera" wykorzystali ten fakt.  Jak twierdzą analitycy AdaptiveMobile Security, "Simjacker" powstał w prywatnej firmie, prawdopodobnie na zlecenie bliżej nieokreślonego rządu. Jego głównym zadaniem miało być monitorowanie i podsłuchiwanie wskazanych osób.

Polscy operatorzy są jednak przygotowani na "Simjackera" - dzięki zastosowaniu odpowiednich zabezpieczeń karty SIM nie powinny być podatne na taką operację.

Pięć sposobów na fałszywe SMS-y

  1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu.
  2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.
  3. Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi zakupami, a dotyczy “zaległych" należności, zachowaj ostrożność.
  4. Jeśli wiadomość jest prośbą o dokonanie płatności - skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.
  5. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci nie opisały tego przypadku phishingu.


INTERIA.PL/informacje prasowe
Dowiedz się więcej na temat: fałszywe SMS-y
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy