Jak nie dać się okraść w Internecie – niebezpieczne SMS-y od oszustów

Materiał informacyjny UKNF
Dostałeś podejrzanego SMS-a zachęcającego do kliknięcia w zawarty w nim link? Być może była to wiadomość o rzekomych zaległościach za prąd, niezapłaconym mandacie, zatrzymaniu Twojej przesyłki przez służby celne lub przekierowaniu jej na inny adres? Najprawdopodobniej Twój numer wyciekł, a Ty stałeś się celem oszustów. Dowiedz się, jak w takiej sytuacji rozpoznać zagrożenie i jak mu przeciwdziałać.

Jak wygląda oszustwo SMS-owe? W ostatnich miesiącach, jako zespół cyberbezpieczeństwa sektora finansowego Komisji Nadzoru Finansowego, zaobserwowaliśmy kilkanaście różnych rodzajów ataków. Wszystkie łączy wspólny mianownik – zachęcają do kliknięcia w link przesłany w wiadomości. Link, w zależności od rodzaju ataku, prowadzi do fałszywej płatności lub powoduje pobranie złośliwej aplikacji. Obie możliwości skutkować mogą utratą pieniędzy z konta bankowego.

Jak rozpoznać fałszywy SMS? Na pewno nie można kierować się wyłącznie nazwą adresata, która często powiązana jest bezpośrednio z treścią SMS-a – oszuści są w stanie skutecznie podszyć się pod dowolny numer telefonu. Dlatego w przypadku SMS-a informującego o dopłacie do mandatu, w nazwie adresata może się wyświetlać „Mandaty” lub „Policja”. Jeżeli SMS dotyczy przesyłek kurierskich, może być to nazwa jednej z najpopularniejszych firm przewozowych. Często zdarza się również, że zamiast nazwy, wyświetla się standardowy numer telefonu. Przestępcy cały czas udoskonalają swój warsztat, wymyślając coraz bardziej autentycznie wyglądające motywy, mające zachęcić do kliknięcia w wyświetlany link.

Istnieją liczne warianty tego oszustwa. Przestępcy podszywają się pod policję, dostawców paczek, kurierów, a także sklepy handlowe, takie jak IKEA, LIDL czy Biedronka. Często podają się również za operatora telekomunikacyjnego lub dostawcę energii elektrycznej. Za każdym razem SMS wygląda bardzo przekonująco. Najczęściej już w pierwszym zdaniu jego treść zachęca do niezwłocznego kliknięcia w link: może to być informacja o wygranej, potrzebie dopłaty, konieczności przekierowania paczki czy uzupełnienia formalności. W dalszej części widnieje link prowadzący do fałszywej witryny.

Kliknięcie w link może prowadzić do jednego z kilku standardowych scenariuszy. Najczęściej jesteśmy przekierowywani na stronę, która jest łudząco podobna do strony naszej bankowości elektronicznej. Komunikaty na takiej stronie będą zachęcać nas do tego, abyśmy wprowadzili na niej nasz login i hasło do konta bankowego. Często też fałszywe strony proszą o podanie numeru naszej karty płatniczej wraz z danymi, takimi jak data ważności czy kod CVC. Pod żadnym pozorem nie należy wprowadzać tych danych. Jeżeli to zrobimy, trafią one bezpośrednio do oszustów, którzy wykorzystają je do wyprowadzenia pieniędzy z naszego konta.

W innym popularnym scenariuszu po kliknięciu w link zostajemy przekierowani na stronę łudząco przypominającą sklep z aplikacjami na telefon. Oszuści zachęcają nas do tego, abyśmy pobrali ich aplikację i zainstalowali ją na naszym urządzeniu. Jeżeli to zrobimy, nasz telefon prawdopodobnie zostanie zainfekowany. Przestępcy będą mieli możliwość uzyskania dostępu nie tylko do naszych prywatnych danych, lecz również np. do treści wiadomości SMS. Będą mogli także przechwycić nasz login i hasło do bankowości elektronicznej w momencie logowania się do banku.

Co należy zrobić po otrzymaniu takiego SMS-a? Przede wszystkim nie klikać w link! Jeżeli chcemy upewnić się, czy to oszustwo, zawsze warto wyszukać w Internecie treść takiej wiadomości lub numer telefonu, z którego go otrzymaliśmy. Najprawdopodobniej dostało ją już wielu użytkowników, którzy chcąc przestrzec pozostałe potencjalne ofiary, zamieszczają na ten temat informacje w Internecie.

Czy coś mi grozi, jeśli kliknąłem w link? Samo kliknięcie przeważnie nie powoduje od razu utraty pieniędzy. Jeśli jednak wpisane zostały dane logowania lub numery karty, jak najszybciej zadzwońmy na infolinię naszego banku! Konsultanci pomogą nam zabezpieczyć konto oraz poinformują o dalszych krokach.

W przypadku złośliwej aplikacji problem może być o wiele poważniejszy. Złośliwe oprogramowanie może próbować wykraść nasze hasła do bankowości elektronicznej. Jeśli więc niechcący zainstalowałeś złośliwą aplikację – jak najszybciej wyłącz telefon i skontaktuj się ze swoim bankiem! Następnie zmień hasła do wszystkich kont, na których byłeś zalogowany na telefonie. Taka aplikacja jest niezwykle niebezpieczna i najbezpieczniejszą możliwością na jej odinstalowanie jest przywrócenie telefonu do ustawień fabrycznych.

Przykład jak może wyglądać niebezpieczny sms

Zapraszamy do śledzenia naszego profilu na Twitterze, gdzie na bieżąco ostrzegamy przed różnymi oszustwami w Internecie https://twitter.com/CSIRT_KNF

CSIRT KNF – Zespół cyberbezpieczeństwa polskiego sektora finansowego powołany przez KNF w ramach ustawy o krajowym systemie cyberbezpieczeństwa.

Autor: Bartosz Biderman – Zespół CSIRT KNF

Materiał oryginalny: Jak nie dać się okraść w Internecie – niebezpieczne SMS-y od oszustów - Polska Times

Dodaj ogłoszenie