Dopłać, ureguluj należność, odbierz nagrodę… Smishing nie jedno ma imię

SMS to stosunkowo łatwa forma kontaktu z potencjalną ofiarą umożliwiająca przestępcy przesłanie specjalnie przygotowanego linka. Celem SMSa jest zazwyczaj skłonienie ofiary do kliknięcia w link, a następnie podania swoich danych, przede wszystkim danych autoryzacyjnych.  To może zaś prowadzić do kradzieży pieniędzy z konta bankowego. Konsekwencje nieopatrznego kliknięcia w link mogą być zatem dotkliwe, zaś wygenerowanie lub zdobycie bazy numerów telefonów nie jest niczym trudnym dla przestępcy. To sprawia, że tego rodzaju oszustwa mają charakter masowy, czyli fałszywe wiadomości trafiają do dużej liczby osób. Pomimo dotkliwości skutków niestety chętniej ufamy SMS-om niż e-mailom, choć mogą dostarczyć taki sam fałszywy link.

Oszuści w wiadomościach SMS podobnie jak w e-mailach umieszczają linki prowadzące do fałszywych stron internetowych – zazwyczaj podmiotów, pod które się podszywają bądź do spreparowanych bramek płatności. Treść wiadomości jest zależna od inwencji oszusta.  Oszustwa na bieżąco dostosowywane są do zmieniającej się rzeczywistości.

PKO Bank Polski specjalnie dla swoich klientów przygotował animację pokazującą, jak taki atak smishingowy może wyglądać. Poniżej zobrazowano przebieg metody tzw. „SMS na dopłatę”:

Jak można zobaczyć na powyższym filmie po kliknięciu w link zawarty w SMS-ie ofiara jest proszona o wpisanie danych swojej karty płatniczej, myśląc że dokonuje drobnej opłaty. Wpisanie tak wrażliwych danych jakimi są dane karty płatniczej powinno być uprzedzone właściwą weryfikacją ze strony jej posiadacza. To jest tylko jeden z przykładów w jaki sposób oszuści konstruują fałszywe strony.

Dlatego pamiętaj aby:

• Zawsze sprawdzić adres strony internetowej, na której wpisujesz swoje dane
• Zweryfikować czy otrzymana wiadomość jest autentyczna poprzez bezpośredni kontakt z firmą
• Nie ufać wiadomościom informującym o dopłacie, które dodatkowo zawierają link do płatności
• Dokładnie sprawdzać treść SMS i powiadomienia IKO przed potwierdzeniem transakcji, w szczególności: kwotę i rodzaj operacji oraz nr konta do przelewu.

Warto podkreślić, że potencjalną ofiarą przedstawionych wiadomości może być każdy, bo oszuści podszywają się nie tylko pod firmy kurierskie, ale także dostawców prądu, innych usługodawców czy instytucje publiczne i organy wykonawcze. Oszust często próbuje wzbudzić niepokój (np. informacją o blokadzie konta), poczucie obowiązku (np. wezwaniem do zapłaty) czy zainteresować odbiorcę rzekomą super okazją.

Jeśli nie jesteś pewien, czy strona płatności na której się znajdujesz jest prawdziwa bezpieczniej jest skontaktować się z firmą i zapytać, czy otrzymany SMS jest autentyczny. Taki kontakt możesz podjąć telefonicznie. Pamiętaj, aby numer telefonu uzyskać z oficjalnej strony internetowej danego podmiotu.