"Smishing", czyli oszustwo wykorzystujące SMS

UKE ostrzega przed SMS-ami z informacją o konieczności dopłaty

SMS-y z żądaniem dopłaty kilku złotych do przesyłki od firmy kurierskiej czy do rachunku za prąd od dostawcy energii to może być tzw. "smshing", czyli oszustwo wykorzystujące komunikację SMS - ostrzega we wtorek UKE, przestrzegając przed klikaniem w linki w takich wiadomościach.

Jak wskazał Urząd Komunikacji Elektronicznej na swojej stronie internetowej, smishing to odmiana phishingu, czyli różnego rodzaju oszustw, w których przestępcy podszywają się pod inne osoby lub instytucje. Cel ataku może być różny, ale najpopularniejsze z nich to przede wszystkim zdobycie danych osobowych lub informacji o karcie kredytowej, a także zainfekowanie sprzętu szkodliwym oprogramowaniem, które może zapewnić cyberprzestępcom zdalny dostęp do urządzenia.

SMS z informacją o konieczności uiszczenia dopłaty do przesyłki

W wypadku smshingu oszuści wykorzystują komunikację SMS, np. rzekomą wiadomość od firmy kurierskiej z informacją o konieczności uiszczenia dopłaty do przesyłki, albo od dostawcy energii, że brakuje kilku złotych do ostatniego rachunku.

Według UKE przestępcy, przygotowując ataki, świetnie potrafią dopasować się do aktualnej sytuacji w kraju i na świecie. "Mieliśmy już przypadki wiadomości informujących o konieczności rejestracji na szczepienia, a także takie przypominające o rozliczeniu PIT. Oczywiście liczba SMS-ów od firmy kurierskiej wzrasta przede wszystkim w okresie przedświątecznym" - podkreśla UKE.

Urząd zauważa, że mimo wielu wariantów główny schemat działania jest bardzo podobny. Link w SMS-ie prowadzi zwykle do podstawionej strony z fałszywym panelem płatności. Inna opcja to otwarcie strony z odnośnikiem do pobrania aplikacji. Otwierane witryny do złudzenia mają przypominać te oryginalne.

"Jest to szalenie niebezpieczne, gdyż mając +zadanie+ dopłacenia niewielkiej kwoty, zwykle nie analizujemy tego zbyt długo. Wchodzimy w link, widzimy stronę, którą – jak sądzimy – dobrze znamy (np. portal służący do płatności), wybieramy swój bank i logujemy się do niego" - podkreśla w informacji UKE.

Dlatego Urząd uczula, by spojrzeć na adres strony, na której się jest. "Zwykle ma on w swojej treści fragment oryginału, ale to jedyne, co łączy go z rzeczywistym adresem. Na nasze szybkie, często impulsywne działanie liczą oszuści. Ta niska kwota do zapłaty ma sprawić, że potraktujemy ją jako błahostkę i szybko zechcemy załatwić sprawę i o niej zapomnieć, bo przecież tyle mamy na głowie" - wskazał UKE.

Urząd przestrzega również, by w razie jakichkolwiek wątpliwości, czy faktycznie nie trzeba czegoś dopłacić bądź uzupełnić danych, nigdy nie robić tego poprzez link z SMS-a. Lepiej samemu skontaktować się z firmą, która ma być nadawcą wiadomości, i potwierdzić jej treść telefonicznie.

Wiadomość można przesłać do CERT Polska

Urząd zaleca też, by podobne wiadomości zgłaszać do CERT Polska. Dzięki funkcji "przekaż" lub "udostępnij" można przesłać treść wiadomości na nr 799 448 084. Ważne, aby przesłać całą wiadomość w oryginalnej formie. Po weryfikacji analityków strona zostanie wpisana na Listę Ostrzeżeń. Jeśli próba wyłudzenia nastąpiła przy wykorzystaniu wiadomości email lub bezpośrednio na jakiejś stronie, także można to zgłosić do NASK na stronie: incydent.cert.pl/phishing lub emailem na adres: cert@cert.pl.

UKE przypomina, że na mocy porozumienia z marca 2020 r. operatorzy internetowi zobowiązali się m.in. do blokowania dostępu do witryn wykorzystujących nazwy domen opublikowanych na Liście Ostrzeżeń. (PAP)

autorka: Małgorzata Werner-Woś
mww/ mk/