Smishing – co to jest?
Smishing to popularna w ostatnich latach socjotechniczna metoda cyberataków. Narzędziem do jej przeprowadzenia są rozsyłane wiadomości SMS, a celem pozyskanie wrażliwych danych (np. danych logowania do konta w bankowości elektronicznej czy numerów karty płatniczej) lub skłonienie ofiary do wykonania konkretnej czynności (np. zainstalowania złośliwego oprogramowania, które imituje aplikację banku).
Oszuści stosują smishing z kilku powodów:
- Niemal każdy użytkownik Internetu ma dziś własną skrzynkę pocztową, w której codziennie znajduje wiadomości SPAM – jesteśmy więc ostrożniejsi wobec kolejnych wiadomości nakłaniających nas do ryzykownych działań. Wiadomości SMS w poważnym tonie mogą więc wykazywać większą skuteczność i wzbudzać większe zaufanie, ponadto rzadko przechodzą niezauważone.
- Z uwagi na ograniczoną liczbę kombinacji numerów telefonicznych możliwe jest ich generowanie za pomocą prostych algorytmów. Nie ma więc konieczności zdobywania baz numerów. Ataki smishingowe zazwyczaj realizowane są na numery wybierane w sposób losowy, rzadko kiedy zdarzają się ataki targetowane na konkretny numer.
- Za pomocą wiadomości SMS hakerzy są w stanie dotrzeć także do starszej części społeczeństwa – w tym seniorów, którzy są bardziej podatni na socjotechniki.
Smishing może występować pod postacią masowo rozsyłanych wiadomości, a także jako bardziej spersonalizowane SMS-y skierowane do konkretnej grupy odbiorców lub nawet pojedynczych osób. Mówimy wówczas o tzw. spear phishingu, o którym pisaliśmy wcześniej w tym wpisie.
Smishing, phishing a vishing – czym się różnią?
Phishing to jedna ze znanych od dawna socjotechnik, polegających na próbie nakłonienia użytkownika do wykonania konkretnych działań – logowania do fałszywego formularza, udostępnienia danych czy pobrania zainfekowanego załącznika. Stanowi ogólną nazwę dla tego rodzaju ataków hakerskich przeprowadzanych różnymi kanałami. Smishing i vishing to pochodne metody, wykorzystujące wiadomości SMS oraz połączenia głosowe, jako kanał kontaktu z potencjalnymi poszkodowanymi.
Więcej na temat vishingu (czyli inaczej voice phishingu) przedstawiliśmy w dedykowanym wpisie.
Przykłady smishingu
Przykładowe scenariusze ataku smishingowego to:
- Wiadomości SMS informujące o niedopłacie lub nadpłacie rachunku za energię/gaz – oszuści wysyłają wówczas link do fałszywego formularza logowania do banku, przechwytując w ten sposób hasło dostępowe.
- Informacje o zdobyciu nagrody i konieczności zalogowania do serwisu w celu jej odbioru.
- Wiadomości dotyczące problemów z przesyłką – wysyłane rzekomo przez firmę kurierską.
- Informacje o podejrzanym logowaniu do konta na portalu społecznościowym – oszuści w ten sposób próbują nakłonić ofiarę do logowania w fałszywym formularzu, aby przechwycić jej dane logowania.
- Wiadomości z prośbą o pomoc finansową w nagłej sytuacji. Ich autor podszywa się pod bliskie osoby.
To tylko kilka przykładów smishingu, jednak hakerzy potrafią doskonale dopasować się do aktualnych realiów i trendów. W trakcie pandemii COVID-19 masowo rozsyłane były informacje o skierowaniu na kwarantannę i konieczności zalogowania się do rządowego systemu w celu poznania szczegółów lub pobrania aplikacji. Kolejne światowe bądź lokalne wydarzenia z pewnością przyniosą kolejne scenariusze, na które powinniśmy być gotowi.
Co zrobić, gdy padnie się ofiarą smishingu?
Scenariusz postępowania jest uzależniony od sposobu przeprowadzenia ataku i rodzaju danych, jakie zostały wykradzione:
- W przypadku wycieku danych logowania do konta bankowego należy natychmiast skontaktować się z infolinią i wydać dyspozycję blokady rachunku oraz kart płatniczych.
- Atak na konto na portalu społecznościowym należy zgłosić administratorom tych portali.
- Fałszywe wiadomości, niezależnie od tego, czy odniosły pozytywny dla oszusta skutek, czy też nie, należy zgłaszać do odpowiednich organów (w naszym kraju reagowaniem na incydenty zajmuje się CERT Polska).
- O kradzieży danych osobowych, próbie wyłudzenia pieniędzy lub narażenia na inne straty powinno się również informować policję.
Jak chronić się przed smishingiem?
Podstawą ochrony przed smishingiem jest umiejętność rozpoznania fałszywych wiadomości. Mogą posłużyć do tego następujące przesłanki:
- Wiadomość jest napisana z błędami językowymi lub wygląda jak przetłumaczona za pomocą programu komputerowego.
- Treść SMS-a wywiera presję, wymaga natychmiastowego działania, grozi poważnymi konsekwencjami.
- Adres strony, do której kieruje odnośnik, zawiera literówki lub dodatkowe znaki (np. 1allegro.pl).
Co należy zrobić, gdy nie jesteśmy pewni co do autentyczności korespondencji?
Jeśli autor wiadomości twierdzi, że kontaktuje się w imieniu konkretnej organizacji/instytucji, najlepiej jest ominąć konwersację SMS i zadzwonić bezpośrednio na oficjalny numer organizacji, wyjaśniając sprawę.
Należy też pamiętać, że bank lub inna instytucja nigdy nie proszą użytkowników o podanie podczas rozmowy wrażliwych danych: numerów karty płatniczej czy haseł logowania do bankowości internetowej.
Warto używać uwierzytelniania dwuskładnikowego w aplikacjach bankowych i wszędzie tam, gdzie jest to możliwe. Uwierzytelnianie dwuskładnikowe zwane też dwuetapowym lub wielopoziomowym ma na celu zabezpieczenie poświadczeń użytkownika, np. podczas procesu logowania czy dostępu do zasobów. Wprowadza się wówczas dodatkowe warstwy uwierzytelniające np. hasło w powiązaniu z tokenem. W przypadku, gdy dojdzie już do przechwycenia wrażliwych danych, konieczność potwierdzenia logowania z drugiego źródła uniemożliwi oszustom zalogowanie się do konta lub profilu
Niestety, metody socjotechniczne, które od lat mają największy udział we wszystkich udokumentowanych incydentach bezpieczeństwa (z uwagi na niski koszt i brak konieczności posiadania wiedzy technicznej) są trudne do wykrycia przez systemy ochrony. Firma, która chce dbać o swoje bezpieczeństwo, oprócz rozwiązań technicznych powinna inwestować również w świadomość zagrożeń i wiedzę kadry (w tym również pracowników niezwiązanych bezpośrednio z działaniami w obszarze IT). Koniecznością jest wdrażanie podstawowych zasad cyberbezpieczeństwa.
Badanie reakcji pracowników na fałszywe wiadomości umożliwiają kontrolowane ataki phishingowe. W ramach Netia Phishing-on-Demand Netia może przeprowadzić dowolny scenariusz ataku, sprawdzić zachowanie pracowników Twojej firmy i przekazać szczegółowy raport z działań, a także zarekomendować dalsze kroki w kierunku poprawy bezpieczeństwa. Tego typu działanie wyczula również pracowników na podobne incydenty, które mogą zdarzyć się w przyszłości.
Przeprowadzaniem symulowanych ataków phishingowych zajmują się doświadczeni specjaliści ds. cyberbezpieczeństwa tworzący zespół SOC Netii. W ramach projektu pracownicy Twojej firmy mogą być poddawani kontrolowanym atakom jednorazowo lub cyklicznie. Przeprowadzenie testów w bezpiecznym środowisku pozwoli uniknąć poważnych strat w przypadku prawdziwych ataków.
Sprawdź również, co zrobić, gdy telefon jest zhakowany.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105