Fałszywe wiadomości SMS i e-mail to w ostatnich miesiącach prawdziwa plaga. Na przykładzie firmy InPost pokazujemy, czym różną się te autentyczne, od tych, których otwarcie może doprowadzić do straty nawet wszystkich pieniędzy.
Skala phishingu jest ogromna – uważajcie!
Banki, firmy kurierskie, operatorzy pocztowi i telekomunikacyjni czy zakłady energetyczne – to tylko kilka z przykładowych firm, pod które podszywają się autorzy ataków typu phishing. Polega on na przesłaniu korespondencji do złudzenia przypominającej generowaną przez wymienione instytucje. Tyle tylko, że podszywający oczekują od nas czegoś zupełnie innego, niż moglibyśmy się spodziewać.
Nie chcesz stracić dostępu do pieniędzy? Podaj nam dane do logowania do bankowości internetowej. Czekasz na ważny przelew? Podanie numeru karty płatniczej i kodu CVV z całą pewnością przyspieszy jego realizację. Oczekujesz na przesyłkę? Nie dojdzie, jeśli nie uregulujesz niewielkiej niedopłaty. Kod odbioru paczki doręczaliśmy w SMS-ie? To już historia, teraz znajdziesz go tylko w przygotowanej przez nas aplikacji.
Powyższe przykłady to tylko kilka spośród naprawdę wielu, jakie możemy znaleźć w sieci. Wszystkie mają jedną, wspólną cechę – celem autorów takiej korespondencji jest pozbawienie nas jak największej ilości gotówki z bankowego konta, czy to poprzez bezpośrednie pozyskanie danych do logowania, czy za sprawą instalacji oprogramowania wykradającego owe dane z naszych urządzeń.
Jak wygląda phishing w praktyce? Jak postępować, gdy otrzymamy fałszywą wiadomość? Poniżej odpowiedzi na przykładzie SMS-a, który rzekomo wysłała firma InPost.
Zaraz, zaraz, czy ja coś zamawiałem? InPost, co z Tobą?
Praktycznie wszyscy uwielbiamy korzystać z Paczkomatów. To niezawodny i bardzo szybki sposób doręczania przesyłek, który szczególnie dobrze sprawdził się w czasach pandemii COVID-19, gdy ograniczenie międzyludzkich kontaktów stało się koniecznością. Co istotne, uwalnia od konieczności oczekiwania na kuriera, pozwalając odebrać przesyłkę w dowolnym czasie, nawet w dniu świątecznym czy w środku nocy.
Ja i cała moja rodzina również korzystamy z Paczkomatów bardzo chętnie, dlatego w pamięci naszych smartfonów bez trudu znaleźć można kody odbioru kolejnych paczek, jakie każdorazowo otrzymujemy (tak, jak każdy użytkownik paczkomatów InPost) SMS-em. Tymczasem, całkiem niedawno, na telefon mojej małżonki przyszedł SMS, którego nadawcą był InPost. Problem w tym, że na tle podobnej korespondencji, otrzymywanej wcześniej, wyglądał nieco inaczej. Poniżej porównanie:
Paczka czeka w Paczkomacie RZE01M Podkarpacka 18A. Po upływie 48h nieodebrana wróci do Nadawcy. Kod odbioru 954120. | Paczka czeka w Paczkomacie. Po upływie 48h nieodebrana wróci do Nadawcy. Kod odbioru w aplikacji https://… |
Co istotne, żona zarzekała się, że nie przypomina sobie, by cokolwiek zamawiała. Samo to wzbudziło jej podejrzenia i powinno wzbudzić podejrzenia u każdego, kto… niczego nie zamawiał.
Nie trzeba wytężać wzroku, by dostrzec wyraźne różnice pomiędzy autentyczną korespondencją a sfałszowaną. W tej autentycznej InPost podaje rzeczywisty numer paczkomatu oraz jego adres, w sfałszowanej tego typu danych brak (bo skąd podszywający miałby je mieć?).
Kolejną (najistotniejszą) różnicę widzimy na samym końcu treści wiadomości. W autentycznej korespondencji rozsyłanej przez InPost, znajdziemy tam kod odbioru. Organizatorowi ataku wysłanie takiego, niedziałającego kodu nic by nie dało, dlatego wkleił tam link prowadzący, co naturalne, nie do aplikacji InPost, a do strony internetowej, z której można pobrać spreparowaną aplikację, kradnącą dane ze smartfona.
O ile w pierwszej części ataku jego twórca solidnie odrobił pracę domową i podstawiony SMS trafił między autentyczne wiadomości z InPostu, tak w drugiej nieco przysnął. Okres przedświąteczny skończył się niemal trzy miesiące temu. To chyba wystarczająco dużo czasu, by zaktualizować stronę internetową, nawet tą podstawioną.
Więcej informacji o atakach na klientów paczkomatów, można znaleźć na stronie InPost.
Najważniejsze – zachowaj czujność!
Czy istnieje skuteczny sposób, by chronić się przed phishingiem? Tak, ale tylko jeden. Co prawda dostawcy poczty e-mail i operatorzy komórkowi dwoją się i troją, by usprawniać filtry antyspamowe, jednak te nigdy nie będą doskonałe i nie wyłapią całej szkodliwej korespondencji. Dostawcy internetu również usiłują pomagać poprzez blokowanie ruchu sieciowego do podstawionych stron. Tyle tylko, że takie działania, co do zasady, zawsze będą nieco spóźnione.
Tą jedyną, skuteczną metodą jest bezwzględne zachowanie czujności. Nigdy, pod żadnym pozorem nie należy klikać w linki w korespondencji, której otrzymania się nie spodziewamy. Nie wolno również podawać nikomu danych do logowania do bankowości internetowej czy danych karty płatniczej.
W walce z internetową przestępczością, taką jak phishing, to czujność i ostrożność są najważniejsze. Pamiętajmy o nich!