Czym jest smishing? Przewodnik po SMS-owych atakach phishingowych
Dowiedz się, jak zrozumieć i wykryć ataki smishingowe i jak im zapobiec.
SMS-owe ataki phishingowe („smishing”) stają się coraz powszechniejsze. Im więcej wiesz o takich atakach, jakie mają możliwości i jakie są potencjalne zagrożenia, tym łatwiej będzie Ci je zidentyfikować i zapobiec szkodom z nimi związanym.
W tym prostym przewodniku pokażemy Ci, czym jest smishing, jak go wykryć i jak uniknąć zostania ofiarą ataku smishingowego.
Co oznacza smishing?
Smishing (inaczej SMS phishing) to atak polegający na wysłaniu fałszywej wiadomości na Twój numer SMS, która często zawiera ofertę darmowego produktu lub pilne powiadomienie dot. bankowości lub innych poufnych informacji.
Smishing jest szczególnie groźny dla osób, które nie znają podstawowych zasad zachowania cyberbezpieczeństwa, ponieważ SMS-y są tworzone w wiarygodny sposób. Niektóre z nich zawierają nawet mało konkretne dane osobowe, aby uwiarygodnić je jeszcze bardziej.
Na czym polegają ataki smishingowe?
Ataki smishingowe są zaliczane do ataków „inżynierii społecznej”, gdyż stosują manipulację psychologiczną, a ich celem są zwykli ludzie. W większości przypadków wiadomość smishingowa jest tworzona w taki sposób, aby zachęcić do podejmowania pilnych działań. Zawiera określone zwroty typu „działaj teraz”, „Twoje konto jest zagrożone, kliknij tutaj” lub „jeśli nie odpowiesz, zostaną podjęte przeciw Tobie kroki prawne”. Wiadomość ma wywołać strach, a następnie działanie ze strony odbiorcy.
Cyberprzestępcy uzyskują numery telefonów przez naruszenia danych w Internecie. Na przykład podczas rejestracji konta na stronie internetowej podajesz swój adres e-mail, numer telefonu i inne dane osobowe. Gdy cyberprzestępcy włamią się na tę stronę i wykradną te dane, często sprzedają je i udostępniają dla zysku w dark webie. Tak Twoje dane osobowe trafiają do innych osób.
Numery telefonów są też podawane za pośrednictwem phishingowych wiadomości e-mail lub na innych fałszywych stronach, gdzie cyberprzestępcy podszywają się pod prawdziwe firmy.
Cyberprzestępcy często wyłudzają od ofiar ataków smishingowych inne dane osobowe, a nawet pieniądze. Często podszywają się pod urząd skarbowy, a ofiary przesyłają tysiące złotych przelewem bankowym na konto cyberprzestępców, wierząc że urząd podejmie kroki prawne, jeśli tego nie zrobią.
Smishing vs. vishing
Zarówno smishing, jak i vishing wymaga użycia telefonu komórkowego, ale vishing korzysta z połączeń głosowych, nie zaś wiadomości SMS. Rozmawiasz z prawdziwą osobą, dlatego ten atak bywa skuteczniejszy. Ton rozmowy może wpłynąć na rezultat ataku. Jeśli sądzisz, że w przypadku braku działania zostaną podjęte przeciw Tobie środki prawne, zwiększa się prawdopodobieństwo podania przestępcom danych, o które proszą.
Jak wykryć ataki smishingowe
Są to powszechne ataki, które mają pewne charakterystyczne cechy.
- „Gratulacje, wygrałeś!” To popularna wiadomość smishingowa, której celem jest przekonanie ofiary, że wygrała nagrodę pieniężną. W przypadku kontaktu przez powiązany link lub numer telefonu najczęściej należy podać dane osobowe. Jeśli nie brałeś udziału w żadnym konkursie, najprawdopodobniej nic nie wygrałeś.
- Wiadomość wysłana o nietypowej godzinie. Większość firm działa w godzinach 8-18.00, więc jeśli otrzymujesz wiadomość od „prawdziwej” organizacji późno w nocy lub bardzo wcześnie rano, należy uważać.
- Pilna wiadomość z banku Może się zdarzyć, że pracownik Twojego banku zadzwoni do Ciebie w sprawie wniosku lub błędu, którym trzeba się pilnie zająć. W takim przypadku bank weryfikuje Twoje dane przez telefon. Jeśli otrzymasz pilną wiadomość z banku przez SMS, zadzwoń do swojego banku, aby najpierw ją zweryfikować.
- Błędy ortograficzne i literówki Prawdziwe organizacje zatrudniają edytorów i doświadczonych twórców treści. Sprawdź, czy SMSy nie zawierają błędów ortograficznych i literówek, które świadczą o oszustwach.
- Używaj sieci VPN. VPN to usługa umożliwiająca maskowanie adresów IP, aby niechciane osoby nie mogły zobaczyć Twojej prawdziwej lokalizacji i aktywności w internecie, nawet podczas korzystania z telefonu. Może to pomóc w rozpoznaniu ataku smishingowego, gdy wiadomość będzie zawierać informacje o nieprawdziwej lokalizacji sugerowanej przez VPN. Jednak niektórzy cyberprzestępcy wykorzystują fakt, że usługa VPN staje się coraz popularniejsza i wysyłają drogą SMS-ową oferty „darmowej” sieci VPN lub oferty „ze zniżką”.
Jak ochronić się przed smishingiem
- Korzystaj z menedżera haseł, takiego jak Keeper, do bezpiecznego przechowywania haseł i zarządzania nimi w przypadku wszystkich swoich kont. Zawsze włączaj uwierzytelnianie dwuskładnikowe lub uwierzytelnianie wieloskładnikowe. aby zapobiegać nieuprawnionemu dostępowi do kont.
- Nigdy nie dzwoń pod numer telefonu powiązany z potencjalnie fałszywą wiadomością. Jeśli wiadomość została wysłane przez „bank”, zadzwoń pod numer Twojego banku, aby ją zweryfikować.
- Zadzwoń do firmy bezpośrednio pod numer telefonu z ich strony internetowej, jeśli masz pytania. Uważaj na znaki na stronie internetowej mogące świadczyć o oszustwie.
- Nie klikaj w nieznane łącza tekstowe. Jeśli nie oczekiwałeś tej wiadomości, nigdy nie otwieraj dziwnych linków.
- Zgłaszaj próby ataków smishingowych przez efraudprevention.net, Urząd Skarbowy lub Twój bank.