Smishing – co to jest? Przykłady zagrożenia | Biznes Netia
Menu główne
Wyszukiwarka
linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon

Smishing – przykłady i dlaczego jest niebezpieczny?

13 listopada 2023, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
Smishing to coraz bardziej zauważalny problem. Nie wymaga od oszustów skomplikowanej wiedzy i umiejętności, dzięki czemu staje się powszechnie stosowaną metodą cyberataków. Czym dokładnie jest, jak się przed nim bronić i gdzie zgłaszać tego rodzaju incydenty?
 
 
 
   

Smishing – co to jest?

 

Smishing to popularna w ostatnich latach socjotechniczna metoda cyberataków. Narzędziem do jej przeprowadzenia są rozsyłane wiadomości SMS, a celem pozyskanie wrażliwych danych (np. danych logowania do konta w bankowości elektronicznej czy numerów karty płatniczej) lub skłonienie ofiary do wykonania konkretnej czynności (np. zainstalowania złośliwego oprogramowania, które imituje aplikację banku).

 

Oszuści stosują smishing z kilku powodów:

 
  • Niemal każdy użytkownik Internetu ma dziś własną skrzynkę pocztową, w której codziennie znajduje wiadomości SPAM – jesteśmy więc ostrożniejsi wobec kolejnych wiadomości nakłaniających nas do ryzykownych działań. Wiadomości SMS w poważnym tonie mogą więc wykazywać większą skuteczność i wzbudzać większe zaufanie, ponadto rzadko przechodzą niezauważone.

  • Z uwagi na ograniczoną liczbę kombinacji numerów telefonicznych możliwe jest ich generowanie za pomocą prostych algorytmów. Nie ma więc konieczności zdobywania baz numerów. Ataki smishingowe zazwyczaj realizowane są na numery wybierane w sposób losowy, rzadko kiedy zdarzają się ataki targetowane na konkretny numer.

  • Za pomocą wiadomości SMS hakerzy są w stanie dotrzeć także do starszej części społeczeństwa – w tym seniorów, którzy są bardziej podatni na socjotechniki.
 

Smishing może występować pod postacią masowo rozsyłanych wiadomości, a także jako bardziej spersonalizowane SMS-y skierowane do konkretnej grupy odbiorców lub nawet pojedynczych osób. Mówimy wówczas o tzw. spear phishingu, o którym pisaliśmy wcześniej w tym wpisie.

 

Smishing, phishing a vishing – czym się różnią?

 

Phishing to jedna ze znanych od dawna socjotechnik, polegających na próbie nakłonienia użytkownika do wykonania konkretnych działań – logowania do fałszywego formularza, udostępnienia danych czy pobrania zainfekowanego załącznika. Stanowi ogólną nazwę dla tego rodzaju ataków hakerskich przeprowadzanych różnymi kanałami. Smishing i vishing to pochodne metody, wykorzystujące wiadomości SMS oraz połączenia głosowe, jako kanał kontaktu z potencjalnymi poszkodowanymi.

 

Więcej na temat vishingu (czyli inaczej voice phishingu) przedstawiliśmy w dedykowanym wpisie.

 

Przykłady smishingu

 

Przykładowe scenariusze ataku smishingowego to:

 
  • Wiadomości SMS informujące o niedopłacie lub nadpłacie rachunku za energię/gaz – oszuści wysyłają wówczas link do fałszywego formularza logowania do banku, przechwytując w ten sposób hasło dostępowe.

  • Informacje o zdobyciu nagrody i konieczności zalogowania do serwisu w celu jej odbioru.

  • Wiadomości dotyczące problemów z przesyłką – wysyłane rzekomo przez firmę kurierską.

  • Informacje o podejrzanym logowaniu do konta na portalu społecznościowym – oszuści w ten sposób próbują nakłonić ofiarę do logowania w fałszywym formularzu, aby przechwycić jej dane logowania.

  • Wiadomości z prośbą o pomoc finansową w nagłej sytuacji. Ich autor podszywa się pod bliskie osoby.
 

To tylko kilka przykładów smishingu, jednak hakerzy potrafią doskonale dopasować się do aktualnych realiów i trendów. W trakcie pandemii COVID-19 masowo rozsyłane były informacje o skierowaniu na kwarantannę i konieczności zalogowania się do rządowego systemu w celu poznania szczegółów lub pobrania aplikacji. Kolejne światowe bądź lokalne wydarzenia z pewnością przyniosą kolejne scenariusze, na które powinniśmy być gotowi.

 

Co zrobić, gdy padnie się ofiarą smishingu?

 

Scenariusz postępowania jest uzależniony od sposobu przeprowadzenia ataku i rodzaju danych, jakie zostały wykradzione:

 
  1. W przypadku wycieku danych logowania do konta bankowego należy natychmiast skontaktować się z infolinią i wydać dyspozycję blokady rachunku oraz kart płatniczych.

  2. Atak na konto na portalu społecznościowym należy zgłosić administratorom tych portali.

  3. Fałszywe wiadomości, niezależnie od tego, czy odniosły pozytywny dla oszusta skutek, czy też nie, należy zgłaszać do odpowiednich organów (w naszym kraju reagowaniem na incydenty zajmuje się CERT Polska).

  4. O kradzieży danych osobowych, próbie wyłudzenia pieniędzy lub narażenia na inne straty powinno się również informować policję.
 

Jak chronić się przed smishingiem?

 

Podstawą ochrony przed smishingiem jest umiejętność rozpoznania fałszywych wiadomości. Mogą posłużyć do tego następujące przesłanki:

 
  • Wiadomość jest napisana z błędami językowymi lub wygląda jak przetłumaczona za pomocą programu komputerowego.

  • Treść SMS-a wywiera presję, wymaga natychmiastowego działania, grozi poważnymi konsekwencjami.

  • Adres strony, do której kieruje odnośnik, zawiera literówki lub dodatkowe znaki (np. 1allegro.pl).
 

Co należy zrobić, gdy nie jesteśmy pewni co do autentyczności korespondencji?

 

Jeśli autor wiadomości twierdzi, że kontaktuje się w imieniu konkretnej organizacji/instytucji, najlepiej jest ominąć konwersację SMS i zadzwonić bezpośrednio na oficjalny numer organizacji, wyjaśniając sprawę.

 

Należy też pamiętać, że bank lub inna instytucja nigdy nie proszą użytkowników o podanie podczas rozmowy wrażliwych danych: numerów karty płatniczej czy haseł logowania do bankowości internetowej.

 

Warto używać uwierzytelniania dwuskładnikowego w aplikacjach bankowych i wszędzie tam, gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe zwane też dwuetapowym lub wielopoziomowym ma na celu zabezpieczenie poświadczeń użytkownika, np. podczas procesu logowania czy dostępu do zasobów. Wprowadza się wówczas dodatkowe warstwy uwierzytelniające np. hasło w powiązaniu z tokenem. W przypadku, gdy dojdzie już do przechwycenia wrażliwych danych, konieczność potwierdzenia logowania z drugiego źródła uniemożliwi oszustom zalogowanie się do konta lub profilu

 

Niestety, metody socjotechniczne, które od lat mają największy udział we wszystkich udokumentowanych incydentach bezpieczeństwa (z uwagi na niski koszt i brak konieczności posiadania wiedzy technicznej) są trudne do wykrycia przez systemy ochrony. Firma, która chce dbać o swoje bezpieczeństwo, oprócz rozwiązań technicznych powinna inwestować również w świadomość zagrożeń i wiedzę kadry (w tym również pracowników niezwiązanych bezpośrednio z działaniami w obszarze IT). Koniecznością jest wdrażanie podstawowych zasad cyberbezpieczeństwa.

 

Badanie reakcji pracowników na fałszywe wiadomości umożliwiają kontrolowane ataki phishingowe. W ramach Netia Phishing-on-Demand Netia może przeprowadzić dowolny scenariusz ataku, sprawdzić zachowanie pracowników Twojej firmy i przekazać szczegółowy raport z działań, a także zarekomendować dalsze kroki w kierunku poprawy bezpieczeństwa. Tego typu działanie wyczula również pracowników na podobne incydenty, które mogą zdarzyć się w przyszłości.

 

Przeprowadzaniem symulowanych ataków phishingowych zajmują się doświadczeni specjaliści ds. cyberbezpieczeństwa tworzący zespół SOC Netii. W ramach projektu pracownicy Twojej firmy mogą być poddawani kontrolowanym atakom jednorazowo lub cyklicznie. Przeprowadzenie testów w bezpiecznym środowisku pozwoli uniknąć poważnych strat w przypadku prawdziwych ataków.

 
Poznaj usługę Netia Phishing-on-Demand

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów(Codziennie 8:00 - 18:00) +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne(Dostępne 24/7) 801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

17 kwietnia 2024
Cyberbezpieczeństwo – co to jest i jak zapewnić je w firmie?

Co to jest cyberbezpieczeństwo dla firm? Jak je zapewnić w organizacji? Ataki hakerskie z roku na rok przybierają na sile, a pojawiające się wciąż nowe metody cyberprzestępców zmuszają firmy do zmiany strategii ochrony. W artykule przyjrzymy się...

Czytaj
12 kwietnia 2024
Bezpieczeństwo baz danych – jak zadbać o nie w firmie?

Bezpieczeństwo baz danych to złożony i trudny w realizacji proces, który z biegiem lat nabiera coraz większego znaczenia. Organizacje na całym świecie administrują miliardami gigabajtów informacji, z czego znaczna część stanowi atrakcyjny łup...

Czytaj
09 kwietnia 2024
Insider threat, czyli ryzyko wewnątrz organizacji. Na czym polega?

W Twojej firmie wystąpił atak insider threat? Co robić, gdy zagrożenie dla Twojej firmy pochodzi z wewnątrz? Jak zapobiegać i chronić się przed atakami wewnętrznymi? Czy istnieją metody dające stuprocentową skuteczność? Odpowiedzi na te pytania...

Czytaj
linkedin front share icon linkedin reverse share icon facebook front share icon facebook reverse share icon twitter front share icon twitter reverse share icon
Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

W Netii odpowiedzialny jest za rozwój oferty usług bezpieczeństwa IT. Od początku kariery zawodowej związany z branżą telekomunikacyjną - wcześniej pracował w Tele2 Polska, Exatel, i T-mobile Polska. Ekspert w tworzeniu zaawansowanych rozwiązań ICT w modelu usługowym dla Klientów biznesowych. Prelegent na różnych konferencjach oraz autor publikacji poświęconych tematyce bezpieczeństwa teleinformatycznego. Interesuje się nowymi technologiami oraz tematami związanymi z szereko rozumianą e-gospodarką. Absolwent Szkoły Głównej Handlowej w Warszawie oraz międzynarodowego programu CEMS MIM.
Wyświetl profil Eksperta na LinkedIn

WSZYSTKIE POSTY TEGO AUTORA
Zamów kontakt

lub zadzwoń +48 22 35 81 550

Wybierz swój język ×

enEnglish plPolski