Czym jest oszustwo smishingowe i jak się bronić


Smishing to szczególny rodzaj ataku phishingowego, którego celem są użytkownicy Poczty i Banków. Oto jak się bronić

Każde medium jest dobre do przeprowadzenia ataku phishingowego mającego na celu kradzież danych dostępowych do kont internetowych użytkowników. Nawet stara dobra wiadomość SMS może zostać wykorzystana do tzw. oszustwa smishingowego.

Ten rodzaj oszustwa jest bardzo prosty i wykorzystuje pozornie banalne metody: polega na wysłaniu SMS-a do użytkownika i przekonaniu go do kliknięcia w link, który następnie odsyła go na stronę internetową, gdzie odbywa się faktyczne oszustwo. Problem w tym, że jak w prawie wszystkich przypadkach phishingu, przeciętny użytkownik nie zastanawia się długo nad wiadomością i instynktownie klika w link. Jak zwykle, podaliśmy hakerom nasz numer telefonu: najprawdopodobniej wzięli go z jednego z naszych profili społecznościowych. Albo, co rzadsze, znaleźli go w pakiecie danych kupionym na czarnym rynku Deep Web.

Smishing Poczty Włoskiej i Banco Posta

Jednym z najczęstszych przypadków smishingu jest sytuacja, w której hakerzy próbują wykraść nasze dane uwierzytelniające Poczty Włoskiej lub Banco Posta. Oczywiście po to, by wydrenować nasze konto. Mechanizm jest bardzo prosty: SMS wygląda jak od Poste Italiane i ostrzega nas, że są problemy z naszym kontem i musimy kliknąć na link, aby zmienić nasze dane dostępu i OTP, czyli hasło jednorazowe chroniące nasze konto.

Oczywiście wszystko jest fałszywe: nadawcą nie jest Poste Italiane, nie ma żadnego problemu z naszym kontem, a jeśli klikniemy na link, zostaniemy odesłani na stronę, która nie jest Poste Italiane. Jeśli więc podajemy nasze dane na tej stronie, oddajemy je w ręce hakerów i możemy pożegnać się z naszymi oszczędnościami. W jednym z wariantów SMS-a na dole znajduje się opcja połączenia z numerem telefonu w celu uzyskania "pomocy". W rzeczywistości jest to numer zagraniczny, na który odpowiada call center: operator poprosi nas o dane dostępowe i obieca, że sam rozwiąże problem konta fantomowego. Rezultat jest taki sam: konto zostaje opróżnione.


Jak uchronić się przed smishingiem

Pierwszym sposobem na uchronienie się przed SMS-em smishingowym jest upewnienie się, że nie otrzymasz takiej wiadomości: nigdy nie podawaj swojego numeru telefonu na portalach społecznościowych, forach czy innych stronach internetowych. Jeśli oszukańczy SMS nadal do nas dociera, powinniśmy go zignorować i skasować: ani Poste Italiane, ani żaden bank czy operator kart kredytowych nie używa SMS-ów do ważnej komunikacji.

Zazwyczaj korzystają one z własnej aplikacji, która nawiązuje szyfrowaną komunikację z serwerami banku/poczty/karty, aby uniemożliwić komuś kradzież naszych poufnych danych.