Oszustwa SMS: jak rozpoznać i reagować na wiadomości od oszustów. Tak się teraz okrada Polaków
W mediach jest mnóstwo informacji na temat oszustw metoda na tzw. wnuczka czy policjanta, a od dziecka wpaja się nam, aby nie wpuszczać obcych do domu. Jednak relatywnie mało mówi się o oszustwach SMS, które również działają na niewiedzy i naiwności, a które nierzadko prowadzą do utraty oszczędności życia. Jak reagować na takie SMS-y? Co zrobić, żeby nie dać się oszukać.
Najciemniej jest pod latarnią i wiedzą to także oszuści. Bowiem nie ma prostszego sposobu na otrzymanie poufnych informacji niż sprowokowanie kogoś do podania ich.
Podszywanie się pod bank, urząd, dostawcę energii czy nawet system kwarantanny - to tylko niektóre przykłady. Obecnie metod oszustw SMS poprzez phishing są dziesiątki, jednakże wszystkie są możliwe do wychwycenia. Bowiem, jak bystrzy by nie byli cyberprzestępcy, ich metody działania są schematyczne i pełne dziur.
Czym jest atak phishingowy? Oszustwa SMS w pigułce
Phishing to typ oszustwa, w którym dana osoba próbuje wyłudzić od innej osoby informacje lub dane, nakłonić ją do instalacji szkodliwego oprogramowania czy podjęcia określonych działań. Phishing, choć jest wykonywany poprzez współczesne środki komunikacji (telefon, e-mail, SMS, serwisy społecznościowe) i nieodzowne połączenie z technologią, czerpie przede wszystkim ze zdobyczy tzw. inżynierii społecznej.
Oszuści stosują metody manipulacji i techniki psychologiczne tak, aby sterować kimś bez jego wiedzy. Mowa tu o m.in. manipulacjach językowych, perswazji językowej, wzbudzaniu zaufania poprzez podszywanie się pod jednostki zaufania społecznego (instytucje państwowe, banki) czy choćby wyświetlanie nazwy instytucji zamiast numeru. Warto jest także wymienić sposób "małe działanie uchroni przed większą katastrofą", który jest obecny w większości oszustw SMS.
Phishing jest popularną metodą cyberprzestępców ze względu na prostotę, bowiem nie wymaga on rozległej wiedzy z zakresu informatyki i programowania (która jest niezbędna w przypadku włamań i przejęć kont). Jednocześnie nierzadko phishing jest w stanie przynieść złodziejom większe korzyści niż tradycyjne metody oszustw.
Tak wyglądają typowe oszustwa SMS
Rozwój technologii sprawił, że w ciągu ostatnich kilku lat cyberprzestępcy zdecydowali się skierować ataki phishingowe na SMS-y. Zaufanie społeczne do tej formy komunikacji wzrosło, gdyż to właśnie za pomocą SMS-ów często udzielamy autoryzacji operacjom bankowym czy otrzymujemy powiadomienia od operatora, a nawet zapisujemy się na szczepienia.
Wypadkową tej wygody oraz zaufania jest fakt, że napędzają one działania przestępcze. Nie tak dawno pisaliśmy o oszustwie SMS, w którym oszuści podszywają się pod Polską Grupę Energetyczną. W SMS-ach rozsyłanych do Polaków w całym kraju w ostatnich kilku tygodniach oszuści podszywają się pod PGE, informując o odłączeniu energii elektrycznej i proszą o uregulowanie płatności poprzez wejście w specjalnie przygotowany link.
W tym przypadku oszuści liczą na działanie autorytetu (tu: PGE), metody psychologicznej (kto wyciągnie rękę jako pierwszy, jest godny zaufania) oraz ryzyka, z jakim wiąże się niepodjęcie czynności (odłączenie energii elektrycznej).
Innym przykładem jest tzw. metoda na paczkę. Pierwotnie oszustwo SMS dotyczyło jedynie Poczty Polskiej, ale z czasem objęła też inne firmy zajmujące się przewozem i dostawą paczek (InPost, DHL, DPD). W tym przypadku oszuści wysyłają fałszywą informację o przejściu paczki przez odprawę celną i prośbę o uiszczenie opłat z linkiem do fałszywej strony, mającej na celu wyłudzenie danych.
Ponownie działa autorytet instytucji, lecz bardziej niż na emocjach, oszuści polegają na naiwności odbiorcy (odprawa celna dotyczy jedynie paczek spoza Unii Europejskiej, a powiadomienia o niej nie są wysyłane SMSem).
Inna popularna metoda oszustwa SMS dotyczy zarówno operatorów komórkowych, jak i dostawców podstawowych mediów (energia elektryczna, woda, gaz) oraz instytucji (Urząd Skarbowy). Cyberprzestępcy informują o rzekomym odłączeniu danego medium lub zadłużeniu, któremu można zapobiec poprzez uiszczenie niskiej (wynoszącej poniżej 10 złotych) opłaty. W każdej wiadomości zawarty jest link przenoszący do spreparowanej strony mającej na celu wyłudzenie danych.
Także i tu działa mechanizm autorytetu, wysokiego ryzyka i niskiego wysiłku, a także perswazji językowej ("prosimy lub sprawa trafi do sądu"; "prosimy o natychmiastową opłatę lub numer zostanie zablokowany").
Przykładów ataków phishingowych poprzez SMS jest znacznie więcej (m.in. fałszywa informacja o oszustwie czy sfabrykowana informacja o dacie kolejnego szczepienia). Niezależnie od tego, jaką metodę wybiorą oszuści, wszystkie oszustwa SMS mają kilka wspólnych cech.
Jak rozpoznać oszustwo przez SMS?
Niemal każde oszustwo SMS-owe wykonane metodą phishingową zawiera odnośnik przenoszący do strony łudząco podobnej do strony instytucji wymienionej w wiadomości (bank, PGE, urząd, Google Play) prosząc albo o przelew, albo o instalację aplikacji.
W tym przypadku najłatwiej poznać oszustwo po samym linku bowiem albo jest on łudząco podobny do właściwego adresu URL (np. m-bank.com.pl zamiast mbank.pl) lub wykorzystuje on tzw. skracacz linków (np. cutt.ly/48Hea7 zamiast domeny rządowej).
Wiadomości nierzadko przychodzą z numerów, które można zwyczajnie wyszukać w sieci. Jeżeli jednak numer ukryty jest za wizytówką (np. POCZTA) często owe wizytówki, nie pokrywają się z wizytówkami wykorzystywanymi przez daną instytucję (np. PODATNIK jako wizytówka Urzędu Skarbowego).
Niejednokrtonie oszustów zdradza również brak polskich znaków diakrytycznych w wiadomości lub błędy językowe, tak jak np. oszustwo SMS na mandat.
Jak reagować na oszustwa SMS?
Przede wszystkim należy pod żadnym pozorem nie odpisywać na podejrzane SMSy ani nie klikać w załączone w nie linki.
Oszustwo warto zgłosić danej instytucji, pod którą podszywa się cyberprzestępca. Jednakże nie zawsze owe instytucje mają możliwości ścigania oszustw, a otrzymanie SMS-a nie jest podstawą do wszczęcia postępowania przez policję.
Każdy SMS zawierający próbę wyłudzenia można przekazać dalej na numer 799 448 084 prowadzony przez CERT Polska. Numer ten służy do zgłaszania prób wyłudzeń internetowych (phishingu, fałszywych aplikacji).
Ale przede wszystkim, powinniśmy poinformować naszych bliskich, bowiem to edukacja - zwłaszcza osób starszych - jest najlepsza ochroną.
Nauczmy bliskich, jak bronić się przed oszustwami SMS. Zwłaszcza dzieci i osoby starsze
Na oszustwa SMS podane są szczególnie dzieci i osoby starsze. Wynika to pośrednio zarówno z ich zaufania jak i niewiedzy o niebezpieczeństwach cyfrowego świata. Najlepszą metodą ochrony i walki z cyberprzestępcami wykorzystującymi phishing jest wzajemne edukowanie się o nowych zagrożeniach, ich źródłach, rodzajach i metodach działania.
Tłumaczenie rodzicom, dziadkom oraz innym starszym osobom, dlaczego SMS od PGE jest oszustwem, może być wyzwaniem. Dlatego należy wykazać się cierpliwością, a tłumaczenie opierać na dostępnych przykładach i wspomagać się materiałami przygotowanymi również przez instytucje rządowe.
Nawet jeżeli jesteśmy już biegli w cyfrowym świecie i czujemy, że przestępcy nie są nam straszni, podawajmy dalej informacje o oszustwach SMS, które odnotowano (lub które otrzymaliśmy) ostatnio. Proste pokazanie zrzutu ekranu współpracownikowi, znajomemu czy wujkowi podczas świąt może uratować komuś oszczędności życia. A jak dowodzi historia pana Marcina, oszuści są w stanie uśpić czujność nawet doświadczonych osób.