Jak nie dać się nabrać na fałszywe SMS-y?

Wraz z chaosem informacyjnym związanym z koronawirusem wróciła plaga fałszywych SMS-ów służących wyłudzaniu od odbiorców ich danych osobowych. Stosowanie się do instrukcji w nich zawartych może prowadzić do poważnych strat finansowych. Eksperci SMSAPI przypominają, jak rozpoznać, kiedy ktoś próbuje nas oszukać.

W ciągu kilku dni od kiedy koronawirus stał się w Polsce tematem numer 1, oszuści już parokrotnie próbowali wysyłać wiadomości w imieniu Ministerstwa Zdrowia i polskich banków. Podszywając się pod te instytucje starają się wyłudzić wrażliwe dane odbiorców swoich wiadomości.

Doświadczenia z podobnych przypadków pokazują, że oszuści zwykle nie chcą wcale przejmować kontroli nad urządzeniem, ani wykradać zdjęć czy numerów telefonów. To na czym im zależy, to najczęściej: numer karty kredytowej (wraz datą ważności i kodem CVC/CVV); dane do logowania w bankowości online; autoryzowanie przelewu lub zlecenia stałego na koncie użytkownika; inne wrażliwe dane.

Phishing, bo tak nazywa się podszywanie pod instytucję czy znaną firmę, by wyłudzić wrażliwe dane użytkowników, takie jak numer karty kredytowej czy dane do logowania, jest jednym z najczęstszych sposobów na oszustwo SMS-owe. Równie popularny jest phishing e-mailowy jak i telefoniczny, dlatego to bardziej sztuczka psychologiczna niż technologiczna.

– Powoływanie się na głośny temat zagrożenia koronawirusem oraz na Ministerstwo Zdrowia miało uwiarygodnić prośbę zawartą w wiadomości. Nadawca chciał wykorzystać sytuację napięcia panującą w społeczeństwie. Na tej samej zasadzie w fałszywych wiadomościach opłaty żąda inny podmiot, który odbiorca kojarzy i który darzy zaufaniem, np. bank czy dostawca prądu. W rzeczywistości ministerstwo nigdy nie zapyta o podzielenie się takimi danymi, a instytucje finansowe nie proszą o dopłaty w ten sposób. Warto zwracać na to uwagę, jak również porównać przesłane w wiadomości adresy www z domenami prawdziwych firm czy instytucji  np. Ministerstwo Zdrowia ma stronę pacjent.gov.pl, nie mzgov.net, zaś a NBP nie zachęci do dopłaty na dpdoplata.org czy na innej stronie o podejrzanie krótkiej nazwie- zauważa Maja Wiśniewska, PR & Content Marketing Manager w SMSAPI.

Jak nie dać się złapać na SMS-owy phishing

1. Dokładnie czytaj treść SMS-a. Jeśli to wiadomość autoryzująca przelew, sprawdź czy zgadzają się numery kont i kwota przelewu. Zwróć uwagę na poprawną pisownię – oszuści często nie używają polskich znaków.

2. Zweryfikuj czy strona i domena płatności, na którą przekierowuje link z SMS-a, jest poprawna. Najlepiej otwórz ją na komputerze w bezpiecznej przeglądarce.

3. Jeśli wiadomość pojawia się nieoczekiwanie, bez związku z twoimi zakupami, a dotyczy “zaległych” należności, zachowaj ostrożność.

4. Jeśli wiadomość jest prośbą o dokonanie płatności – skontaktuj się z nadawcą i upewnij, czy coś takiego wysyłał. Zaufani dostawcy usług nie proszą SMS-em o podanie wrażliwych danych.

5. Jeśli niepokoi Cię otrzymany SMS, sprawdź, czy media internetowe specjalizujące się bezpieczeństwem w sieci, np. Niebezpiecznik.pl, nie opisały tego przypadku phishingu.

Przy wszystkich technologicznych systemach zabezpieczeń ostatnią i najważniejszą barierą dla oszustów jest sam odbiorca, który powinien zachować czujność. Generalną zasadą jest podchodzenie z ostrożnością do wszelkich nieoczekiwanych komunikatów otrzymanych rzekomo od zaufanej instytucji, szczególnie do takich nakazujących pośpiech i transakcje finansowe.