2024-05-10

Dostajesz podejrzane
SMS-y? Zobacz jak się przed tym bronić

Dostajesz podejrzane
SMS-y? Zobacz jak się przed tym bronić

Aktualnie głównymi instrumentami weryfikacji nadawcy poczty są SPF, DMARC i DKIM. Niepoprawne skonfigurowanie tychże mechanizmów (podnoszących bezpieczeństwo poczty elektronicznej) naraża podmioty na duże ryzyko - daje bowiem sygnał cyberprzestępcom, że możliwe jest podszywanie się pod wiadomości dowolnego nadawcy.

Smishing to odmiana phishingu polegająca na umieszczaniu w wiadomościach SMS 'linków’ podobnych do prawdziwych.

Sprawiają 'one’ wrażenie, jakby pochodziły np. od instytucji publicznej. Kliknięcie jednak w taki 'link’ rodzi zagrożenia kradzieży danych osobowych albo środków pieniężnych ofiary. Jak poinformowało Ministerstwo Cyfryzacji, ruszył właśnie system telegraf.cert.pl służący do zgłaszania wzorców fałszywych wiadomości SMS . Do systemu podłączyli się już przedsiębiorcy telekomunikacyjni, którzy będą blokować oszukańcze SMS-y.

Funkcjonowanie nowego systemu opiera się na zgłaszaniu podejrzanych SMS-ów na numer 8080. Na tej podstawie opracowywany jest wzorzec fałszywej wiadomości SMS, za co odpowiadają eksperci CSIRT NASK. Następnie wzorce trafiają do podłączonych do systemu operatorów sieci komórkowych. Ci kolei wprowadzają je do swoich systemów w celu ich blokowania. W konsekwencji SMS-y zgodne z wzorcem są blokowane już na etapie ich wysyłania przez operatora i nie trafiają do odbiorcy.

Jak się chronić przed atakami typu smishing?

  • Podobnie jak w przypadku phishingu tradycyjnego, rozsyłanego pocztą email musimy pamiętać o zasadzie ograniczonego zaufania. Zanim wejdziemy w link przesłany w wiadomości zweryfikujmy, czy jest ona prawdziwa.
  • Najlepszą metodą na weryfikację, czy przesłana wiadomość jest prawdziwa, jest kontakt z podmiotem/firmą, od której ją otrzymaliśmy. Aby uniknąć kontaktu z oszustem, nie należy dzwonić ani odpisywać na otrzymaną wiadomość. Najlepiej sprawdzić kontakt na oficjalnej stronie usługodawcy.
  • Zawsze sprawdzaj, czy adres strony, na której jesteś, jest prawdziwy. Jeśli zawiera literówkę lub różni się od tego, z którego zawsze korzystałeś, zamknij przeglądarkę.
  • Uważaj na wiadomości, które wzbudzają w Tobie strach, panikę lub ponaglają Cię do podjęcia szybkich działań.
  • Żaden bank ani inna instytucja nie będzie Cię prosić o podanie danych logowania, zwłaszcza haseł. Jeśli otrzymasz takie żądania bądź czujny – to oszuści.
  • Korzystaj z uwierzytelniania dwuskładnikowego we wszystkich usługach, w jakich masz taką możliwość, a zwłaszcza w bankowości elektronicznej.  W ten sposób zwiększasz bezpieczeństwo swoich danych oraz uniemożliwiasz przestępcom przejęcie twojego konta.
  • Jeśli, otrzymasz fałszywą wiadomość SMS, zgłoś ją do zespołu CERT Polska na numer  799-448-084.

Zapraszam do obejrzenia krótkiego filmiku o tym, jak bronić się przed smishing’iem: https://youtu.be/k0xGvsH_J6A?

Autor publikacji:

dr Marlena Płonka – Pełnomocnik ds. Zarządzania Systemem Bezpieczeństwa Informacji
Źródło: Strona internetowa oraz kanał YouTube Ministerstwa Cyfryzacji, poradyodo.pl