Nie ma dnia, by media nie donosiły o nowych próbach oszustw nakierowanych na klientów banków. Przestępcy stosując różne manipulacje i socjotechniki próbują wyłudzić wrażliwe dane, by zalogować się na rachunki i wyprowadzić pieniądze z kont. Rzadko atakują bezpośrednio same banki, bo o wiele łatwiej jest wprowadzić w błąd klienta, który poda im „na tacy” niezbędne informacje. Wydzwaniają do użytkowników podając się za bankowców, proszą o kody Blik i rozsyłają fałszywe informacje. Niestety, wiele z tych ataków jest skutecznych.
Przeczytaj także: Scamming Out — Stop internetowym oszustwom.
Najpierw był phishing
Przez lata głośno było o tzw. „phishingu”, czyli wysyłaniu na losowe adresy e-mail wiadomości podszywających się pod banki. W tego typu mailach znajdowała się informacja na przykład o blokadzie konta. Klient proszony był o zalogowanie się do zamieszczonego w wiadomości linku, gdzie powinien wprowadzić dane autoryzacyjne do bankowości internetowej lub dane z karty płatniczej. Był to podstęp grubymi nićmi szyty, bo z reguły takie informacje pisane były łamaną polszczyzną i łatwo było się zorientować, że to próba oszustwa. Mimo tego nabierały się na to setki osób.
Banki rozpoczęły więc kampanie, w których zapewniały, że nie będą wstawiać żadnych linków do wiadomości słanych do klientów. Przypominały, że nigdy nie informują w ten sposób o blokadzie konta i nie wymagają wrażliwych danych. Częściowo działania te przyniosły skutek, więc metody przestępców musiały ewoluować.
C to jest smishing?
Dziś powszechnym zjawiskiem jest tzw. „smishing”, czyli rozsyłanie podobnych wiadomości za pomocą SMS-ów. Słowo to jest wariacją na temat wyrazów „SMS” i „phishing”. Metoda działania jest z grubsza rzecz ujmując taka sama. Użytkownik dostaje SMS o przykładowej treści: „Ograniczyliśmy dostęp do twojego konta ze względu na podejrzaną aktywność. Aby się uwierzytelnić odwiedź stronę (tu link)”. „Twoja karta została zablokowana. Ponownie aktywuj ją na stronie (tu link)”.
Linki te kierują oczywiście do podrobionych stron, które do złudzenia przypominają oryginały. Nie zgadza się oczywiście adres, ale wielu klientów nie zwraca na ten „szczegół” uwagi. Działając w pośpiechu (o to chodzi oszustom) próbują zdjąć blokadę wprowadzając na fałszywej stronie wrażliwe informacje. Te wpadają w ręce oszustów.
Atakują nie tylko klientów banków
Smishing stosowany jest nie tylko w przypadkach ataków na klientów banków. Bardzo często oszuści stosują też tę metodę w innych branżach. Użytkownicy dostają na przykład SMS-y informujące o wstrzymaniu paczki przez firmę kurierską z powodu niedopłaty drobnej kwoty. W wiadomości znajduje się link kierujący do fałszywej bramki płatności z prośbą o wprowadzenie danych karty i uregulowanie zadłużenia.
Bezpiecznie nie mogą się czuć także użytkownicy różnych serwisów z ogłoszeniami. Często oszuści podszywają się pod kupujących lub sprzedających kierując rozmowę poza oficjalne komunikatory danego serwisu. Podsyłają linki w SMS-ach z prośbą o wypełnienie formularza sprzedaży i uregulowanie wpłaty. Z kolei w okresie pandemii rozsyłano SMS-y nakłaniające do pobrania fałszywej aplikacji „rządowej”, która mogła wyłudzać dane.
Jak uchronić się przed smishingiem?
Przede wszystkim nie należy klikać w SMS-y zawierające linki. Zwłaszcza takie, które nakłaniają nas do podjęcia szybkiego działania. Należy pamiętać, że banki nie informują klientów o blokadach kont czy kart za pomocą SMS-ów, a tym bardziej nie udostępniają w wiadomościach linków do zdjęcia blokady. Samo kliknięcie w link z SMS raczej nie stwarza zagrożenia, ale uzupełnienie tam danych już tak. Zawsze w przypadku wątpliwości należy skontaktować się z bankową infolinią.
