5 sposobów na rozpoznanie fałszywych smsów

Przeczytaj także: Oszustwa internetowe: w teorii jesteśmy sprytniejsi niż cyberprzestępcy

“Uwaga na fałszywe SMS-y”. Tego rodzaju hasła co jakiś czas pojawiają się na łamach portali internetowych, siejąc przy tym niemałą panikę wśród użytkowników. Autorzy takich ostrzeżeń sugerują przeważnie, że z otrzymywanymi przez nas wiadomościami tekstowymi coś jest nie tak. W praktyce jednak zagrożeniem są nie same sms-y, ale odczytujący je człowiek, a konkretnie jego pośpiech i nieostrożność.

Najczęstsze metody oszustw

- Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe. Warto zaznaczyć, że phishing e-mailowy czy telefoniczny jest równie popularny, dlatego jest to bardziej sztuczka psychologiczna niż technologiczna. Przypomina nieco kradzieże metodą “na wnuczka”. Opiera się na przykład na tym, że prawie nikt nie pamięta dokładnie, jaki adres strony internetowej ma jego dostawca prądu ani czy wszystkie rachunki z minionych lat zostały opłacone. Oszust liczy więc, że odbiorca uwierzy, iż ma do czynienia z prawdziwą wiadomością - zauważa Andrzej Ogonowski Head Partner of Branding & PR SMSAPI.

O zagrożeniach stwarzanych przez phishing wspomina również Piotr Konieczny, szef zespołu bezpieczeństwa firmy Niebezpiecznik.pl, która za zgodą innych firm włamuje się na ich serwery i namierza błędy w infrastrukturze teleinformatycznej, wyprzedzając w tym prawdziwych włamywaczy.

- Najczęstszym oszustwem z wykorzystaniem SMS-ów, jakie obserwujemy jako Niebezpiecznik.pl, jest "numer na dopłatę". Przestępcy podszywają się pod znane marki, podpisują SMS jako DHL, InPost, OTOMOTO czy Rossmann. W treści umieszczają informację o tym, że albo przesyłka, na którą czekamy, okazała się być cięższa i trzeba dopłacić złotówkę albo ogłoszenie w serwisie wygasa i można je podpromować w atrakcyjnej cenie kilku złotych. W wiadomości jest link, który przenosi użytkownika na strony wyglądem identyczne jak strony znanych pośredników w płatnościach, np. PayU lub DotPay. Są to jednak fałszywe strony kontrolowane przez przestępców (co można zauważyć, jeśli spojrzy się na pasek adresowy, który niestety na urządzeniach mobilnych często jest automatycznie chowany a adresy w nim są skracane). Jeśli ktoś zaloguje się do banku w celu zlecenia przelewu i nie zauważy, że treść SMS-a z banku informuje o operacji dodania zaufanego odbiorcy, a nie potwierdzania przelewu na 1 PLN, to straci wszystkie pieniądze, które ma na koncie - wyjaśnia ekspert.

Jak walczyć z phishingiem?

Większość firm, urzędów czy organizacji zleca przesyłanie SMS-ów marketingowych i informacyjnych do subskrybentów podmiotom zajmującym się masowymi wysyłkami. Nie oznacza to jednak, że każdy może bez przeszkód wykorzystać to narzędzie. Niestety, na rynku wciąż działają dostawcy masowych wysyłek SMS, którzy idą na skróty i niewystarczająco dokładnie sprawdzają klientów pod względem celu i bezpieczeństwa.

Jednak liderzy tej branży przykładają do tych kwestii dużą uwagę. Weryfikacja pola nadawcy (czyli nazwy, która zastępuje numer telefonu) oraz filtrowanie treści wiadomości po kluczowych spamowych linkach, słowach i sformułowaniach to tylko przykłady sposobów, które uniemożliwiają podszycie się pod instytucję, której się w rzeczywistości nie reprezentuje.

- Zawsze weryfikujemy wszystkie pola nadawcy, które udostępniamy naszym klientom. W przypadku wątpliwości prosimy klienta m.in o przesłanie dokumentów potwierdzających NIP czy numer KRS jego organizacji. W efekcie minimalizujemy możliwość wysłania wiadomości będąc podpisanym jako firma, z którą nie ma się nic wspólnego - wyjaśnia Jakub Kluz, Product Manager w SMSAPI.

Sztuczką, jakiej próbują czasem oszuści, jest nazwanie swojej działalności możliwie podobnie do banku, dostawcy mediów czy urzędu. Oszuści stale próbują wyszukiwać luk bezpieczeństwa w systemach wysyłek SMS. Niestety, czasem skutecznie.

Dlatego warto pamiętać, że przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe.