Cyberprzestępcy już od lat starają się wyczyścić nam konto lub przynajmniej wykraść wrażliwe dane, z pomocą metody oszustwa zwanej phishingiem. Ostatnie tygodnie i miesiące to jednak prawdziwa plaga oszustw. Korzystając z telefonu i internetu trudno nie spotkać się z kolejnymi fałszywymi SMS-ami, mailami czy spreparowanymi stronami, które udają witryny sklepów czy serwisy transakcyjne banków.
W ostatnim czasie "modne" wśród oszustów było nawet wydzwanianie do niczego niepodejrzewających klientów i podawanie się pracowników banków. Oszuści namawiali w ten sposób do wysłania im przelewów na poczet np. wyjątkowo "korzystnych inwestycji".
Kolejna fala fałszywych SMS-ów
Teraz nową "modą" stały się fałszywe SMS-y. Od kilku dni Polaków zalewają tysiące takich wiadomości. W jednym przestępcy podszywają się pod firmy kurierskie i oferują śledzenie (nieistniejącej) paczki na żywo lub informują o konieczności dopłacenia do rzekomej przesyłki. W innych podają się, chociażby za pocztę głosową.
Komisja Nadzoru Finansowego także ostrzega przed oszustami, którzy rozsyłają fałszywe wiadomości zawierające linki np. do złośliwego oprogramowania.
W ostatnich kilkunastu dniach na prywatne numery telefonów otrzymaliśmy wiele takich SMS-ów. Przestępcy w większości przypadków zachęcali w nich do kliknięcia podejrzanie wyglądające linki, aby śledzić paczki, których wcale nie zamawialiśmy. Jeden SMS zachęcał do osłuchania rzekomej wiadomości głosowej, ale - co trzeba przyznać - oszuści zbytnio nie starali się, aby komunikat wyglądał wiarygodnie.
Fałszywe SMS-y od oszustów fot. źródło własne
Głośno w ostatnich dniach było też m.in. o oszustwach "na InPost". Przestępcy rozsyłają na przypadkowe numery telefonów wiadomości z informacją o konieczności uiszczenia niewielkiej dopłaty do paczki. Rzecz jasna nie brakuje linku do fałszywej strony podszywającej się pod InPost i odpowiednio spreparowanej przez oszustów bramki płatności.
Celem tych i wielu innych ataków phishingowych jest oczywiście wyłudzenia danych kart płatniczych, danych do logowania w serwisach transakcyjnych czy zmuszenie do wykonania przelewu przestępcom. Niezależnie od metody, oszuści mają na celu wyczyszczenie konta nieświadomym lub zwyczajnie nieuważnych użytkowników telefonów.
Jak chronić się przed SMS-owym phishingiem
Wbrew pozorom na SMS-owe oszustwa nabiera się sporo osób. Wystarczy nieuważnie przeczytać wiadomość, kliknąć link bez sprawdzenia go i w pośpiechu "zalogować" się na konto bankowe. Chociażby spiesząc się do pracy, można w ten sposób stracić sporą kwotę.
Tymczasem podstawową metodą obrony przez phishingiem jest... zdrowy rozsądek. Otrzymując tego typu SMS-y, nie można działać pochopnie. Lepiej poczekać i w wolnym czasie dokładnie przeczytać wiadomość. Oszustwo można wykryć w kilka sekund.
Po pierwsze niemal każda wiadomość tego typu napisana jest bez użycia polskich znaków (tu trzeba uważać, bo te prawdziwe wiadomości czasem również nie zawierają polskich znaków). Częste są też błędy językowe, przypadkowe znaki specjalne i brak jakichkolwiek szczegółów dotyczących rzekomej paczki.
W rzeczywistości firma kurierska kontaktując się z klientem drogą SMS-ową, poda, chociażby numer paczki, nazwę nadawcy czy numer telefonu do kuriera. Ukrywanie tego typu informacji raczej nie leży w jej interesie.
Elementem obowiązkowym każdego fałszywego SMS-a jest oczywiście link. Warto zwrócić na niego szczególną uwagę, bo zazwyczaj wygląda bardzo podejrzanie. Przed kliknięciem zastanówmy się, dlaczego uznana polska firma spedycyjna miałaby rejestrować własną stronę internetową przy wykorzystaniu przypadkowych angielskich słów, takich jak: delivery, online, site, czy tracking. Lub wręcz przypadkowego ciągu znaków liter, cyfr i znaków specjalnych.
Dlaczego polski gigant rynku e-commerce miałby korzystać ze strony internetowej w domenie np. Salvadoru, a znane amerykańskie przedsiębiorstwo transportowe miałoby zakładać swoją stronę w domenie, chociażby rosyjskiej? Jeśli nie mamy pewności, lepiej jest sprawdzić, jak wygląda rzeczywisty adres strony internetowej danej firmy.
Kliknąłem link. Co zrobić?
Jeśli zdążyliście już pochopnie kliknąć link, pod żadnym pozorem nie można podawać żadnych wrażliwych danych lub pobierać plików. Jeśli jednak podaliście przestępcom takie informacje, pierwszym krokiem powinien być pilny kontakt z bankiem. Być może pracownicy infolinii będą w stanie zablokować przelew, który zlecieli z naszego konta przestępcy lub zastrzec kartę bankową, zanim skorzystają z niej oszuści.
