Z policyjnych statystyk wynika, że na przełomie ostatnich kilkunastu miesięcy liczba przestępstw dokonywanych w wirtualnej przestrzeni znacząco się zwiększyła. Właśnie dlatego z nowoczesnych technologii warto korzystać z rozwagą. Chcesz wiedzieć, co zrobić, aby nie paść ofiarą cyberprzestępców? Przeczytaj nasz poradnik i sprawdź, czym są smishing i vishing oraz jak skutecznie chronić się przed tego typu atakami.
Rosnąca cyfryzacja życia ma swoje dobre i złe strony. Dla wielu osób nowoczesne technologie stanowią duże udogodnienie – umożliwiają robienie zakupów, zarządzanie domowymi finansami czy załatwianie spraw urzędowych. Warto jednak pamiętać, że rozwiązania cyfrowe coraz częściej są wykorzystywane przez przestępców. Z danych CERT wynika, że w 2021 r. w Polsce zarejestrowano ponad 116 tys. cyberataków. Aż 75% zgłoszeń dotyczyło kradzieży danych za pomocą phishingu. W relacji do poprzedniego okresu liczba tego typu incydentów zwiększyła się niemal dwukrotnie.
Eksperci do spraw bezpieczeństwa w cyberprzestrzeni zauważają, że w swoich działaniach wirtualni złodzieje stają się coraz bardziej wyrafinowani. Właśnie dlatego na przełomie ostatnich miesięcy szybko rosła liczba ataków określanych jako smishing i vishing. Chcesz wiedzieć, co znaczą te pojęcia? Poniżej wyjaśniamy, czym jest phishing SMS-owy i głosowy.
Smishing (in. SMS phishing) jest techniką coraz chętniej stosowaną przez wirtualnych przestępców. Ma charakter podobny do phishingu z tą jednak różnicą, że złodziej podczas kradzieży danych wykorzystuje wiadomości tekstowe, przesyłane na smartfon ofiary. Treść SMS-ów przygotowywanych przez cyberprzestępców może być różna. Często podają się oni za kurierów lub dostawców energii, którzy informują o konieczności dokonania opłaty za pomocą fałszywej strony umożliwiającej szybkie przelewy. Złodziej może także podszywać się pod pracownika banku, proszącego o kliknięcie linku w celu zweryfikowania konta bankowego. Warto pamiętać, że na ataki typu smishing narażeni są również użytkownicy komunikatorów internetowych, szczególnie wtedy, gdy wykorzystują je w celu wysyłania wiadomości typu SMS.
Rosnąca popularność tej metody kradzieży danych wynika z kilku kwestii. Po pierwsze złodzieje korzystający z internetowych bramek SMS-owych mogą skutecznie podszywać się pod faktycznie działające instytucje (np. banki czy operatorów sieci komórkowych). To z kolei utrudnia zweryfikowanie, kto faktycznie jest nadawcą wiadomości. Po drugie smishing stanowi bardzo skuteczną formę ataku. Z badań przeprowadzonych przez firmę Gartner wynika, że niemal 98% SMS-ów jest odczytywanych przez adresatów, podczas gdy w przypadku e-maili odsetek otwieranych wiadomości wynosi zaledwie 21%.
Cyberprzestępcy coraz chętniej posługują się także techniką, jaką jest vishing. Co to takiego? W ten sposób określa się formę ataku, polegającą na kradzieży danych podczas rozmowy telefonicznej. Złodziej stosujący voice phishing może podawać się np. za pracownika banku i poprosić o podanie numeru karty kredytowej lub loginu i hasła do konta w systemie bankowości elektronicznej. Rozmowa nierzadko prowadzona jest w taki sposób, aby wywołać u potencjalnej ofiary poczucie zagrożenia. Z tego względu już na początku połączenia rozmówca jest informowany np. o odnotowaniu podejrzanych transakcji na rachunku, które należy szybko zablokować poprzez podanie danych dostępowych do konta.
Dlaczego vishing jest tak niebezpieczny? Ponieważ złodzieje stosujący tę technikę korzystają z systemów typu CallerID Spoofing, pozwalających na podszywanie się pod inne numery telefonów. W rezultacie przed odebraniem połączenia na smartfonie ofiary wyświetli się numer banku lub innej instytucji zaufania publicznego. To z kolei pozwala przestępcy uśpić czujność rozmówcy i łatwiej manipulować przebiegiem rozmowy.
Warto wiedzieć, że ataki typu vishing mogą być przeprowadzane także z zastosowaniem automatycznych systemów głosowych. W takim przypadku połączenie inicjowane jest przez robota, który działa według przygotowanego wcześniej scenariusza. Skrypt rozmowy często opracowywany jest w taki sposób, aby pozyskać od rozmówcy informacje niezbędne do przeprowadzenia ataku innego rodzaju. Robot może zatem poprosić o podanie danych personalnych, adresu e-mail oraz nazwy banku lub operatora telefonicznego, z których usług korzysta rozmówca.
Aby skuteczniej uśpić czujność rozmówców, cyberprzestępcy niekiedy łączą różne formy ataków, np. smishing z vishingiem i odwrotnie. W pierwszym przypadku ofiara otrzymuje wiadomość tekstową z prośbą o aktualizację danych osobowych. W treści SMS-a przestępcy przesyłają nr telefonu, pod którym można uzyskać więcej informacji. Po nawiązaniu połączenia uruchamia się automatyczny system głosowy, który pod pozorem weryfikacji użytkownika gromadzi poufne dane. Drugi rodzaj ataku polega na nawiązaniu połączenia z ofiarą i poinformowaniu jej o konieczności zweryfikowania własnej tożsamości. Złodziej po zakończeniu rozmowy przesyła wiadomość SMS, zawierającą link do strony, za pomocą której należy potwierdzić dane. Witryna otwierająca się po kliknięciu linku często do złudzenia przypomina stronę internetową banku lub innej instytucji.
Smishing i vishing to rodzaje ataków, które w ostatnim czasie zyskują na popularności. Wszystko dlatego, że cyberprzestępców trudno namierzyć i pociągnąć do odpowiedzialności. Jeśli zatem nie chcesz paść ich ofiarą, korzystając z nowoczesnych technologii, zachowaj czujność i przestrzegaj podstawowych zasad bezpieczeństwa. Poniżej omawiamy te najważniejsze.
Chcesz zabezpieczyć swój telefon? Zainstaluj na nim program antywirusowy. Tego rodzaju oprogramowanie na bieżąco skanuje urządzenie i wykrywa niebezpieczne połączenia i zainfekowane strony internetowe. Nie zapominaj również o regularnej aktualizacji systemu operacyjnego oraz aplikacji, z których korzystasz na smartfonie. Dzięki temu ograniczysz ryzyko, że oprogramowanie będzie miało luki bezpieczeństwa. Pamiętaj jednak, aby pobierać tylko sprawdzone wersje oprogramowania, udostępniane za pomocą zaufanych stron internetowych.
Smishing to coraz bardziej popularna forma ataków. Właśnie dlatego zwracaj uwagę na nadawców wiadomości, które otrzymujesz. Jeśli dostaniesz SMS z nieznanego numeru, nie klikaj w link, nawet jeśli treść komunikatu brzmi bardzo wiarygodnie.
Cyberprzestępczość polega nie tylko na korzystaniu z zawirusowanego oprogramowania. Wirtualni złodzieje stosujący vishing posługują się także socjotechnikami po to, aby skuteczniej manipulować potencjalnymi ofiarami. Jeśli zatem skontaktuje się z Tobą osoba, przedstawiająca się np. jako pracownik banku, nie daj się namówić na przekazanie haseł i loginów, lub zalogowanie na konto, pomijając normalną procedurę bezpieczeństwa.
Gdy natomiast otrzymasz SMS-a od kuriera z prośbą o dopłatę do przesyłki, zawierającego link do strony, za pomocą której należy dokonać płatności, nie działaj pod presją czasu. Skontaktuj się z biurem obsługi klienta i ustal, na czym polega problem. Zachowaj szczególną ostrożność za każdym razem, jeśli dostaniesz wiadomość, która nakłania Cię do natychmiastowego (i nieprzemyślanego) działania.
Jeśli korzystasz z aplikacji bankowości mobilnej, zabezpiecz swoje konto za pomocą silnego hasła, czyli takiego, które zawiera cyfry, litery i znaki specjalne. Dobrym rozwiązaniem może okazać się także skorzystanie z funkcji dodatkowej weryfikacji, np. za pomocą kodu SMS.
Pozwalasz dziecku korzystać ze swojego telefonu? Pamiętaj, aby w takiej sytuacji kontrolować, co robi Twoja pociecha. Dziecko może całkowicie przypadkowo pobrać zainfekowaną aplikację lub kliknąć link, prowadzący do fałszywej strony internetowej.
Ataki smishingowe i vishingowe należy zgłaszać do odpowiednich służb i organizacji, które specjalizują się w tropieniu wirtualnych złodziei. W Polsce taką funkcję pełni m.in. CERT – instytucja, której działalność regulują przepisy ustawy o krajowym systemie cyberbezpieczeństwa. Organizacja uruchomiła specjalną stronę internetową, za pośrednictwem której można zgłaszać różnego rodzaju cyberataki.
Zdarzyło Ci się kliknąć link przesłany za pomocą SMS-a? Przeskanuj telefon za pomocą programu antywirusowego. Jeśli natomiast podejrzewasz, że dane dostępowe do Twojego konta bankowego lub karty mogły dostać się w niepowołane ręce, nie zwlekaj i natychmiast powiadom o tym fakcie swój bank lub dostawcę usług płatniczych. Tak szybko, jak to możliwe, zablokuj kartę lub internetowy dostęp do konta. Pamiętaj także o tym, aby zmienić hasła stosowane podczas logowania. O wyłudzeniu danych powiadom też najbliższą jednostkę Policji lub prokuraturę.