Wojciech Boczoń
-
11.02.2016 (11:15) Smishing to kolejny termin, z którym powinni zaznajomić się klienci banków. Określa się nim metodę okradania kont bankowych z wykorzystaniem spreparowanej wiadomości sms.
Wyraz smishing powstał z połączenia dwóch słów: „sms” i „phishing”. Z phishingiem klienci polskich banków mogli mieć już do czynienia, bo w ostatnich latach złodzieje często próbowali wyłudzać pieniądze za pomocą tej metody. Polega ona na rozsyłaniu fałszywych wiadomości e-mail, w których złodzieje podszywają się pod bank. W wiadomości znajduje się prośba o pilne zalogowanie się do systemu transakcyjnego za pomocą zamieszczonego linku. Link kieruje na sfałszowaną witrynę banku. Jeśli klient poda tam swój login i hasło, dane dostępowe wpadną w ręce złodziei.
Smishing to technika wykorzystująca phishing, tyle że z użyciem smsów. Nie jest to nowość, bo pojawiały się już przypadki wykorzystania wiadomości tekstowych do naciągania użytkowników telefonów komórkowych do korzystania na przykład z płatnych usług, czy zainstalowania wirusa na komórce (link do fałszywego programu znajdował się w smsie). Jak donosi serwis thisismoney.co.uk, w ostatnich tygodniach w Wielkiej Brytanii odnotowano jednak przypadki smishingu skierowanego do klientów banków.
diego_cervo, YAY Foto
Na łamach serwisu możemy przeczytać, że jeden z klientów Banku Santander stracił w ten sposób 23 tys. funtów. Jak wyglądał atak? Oszuści podszyli się pod bank Santander i wysłali do klienta smsa z informacją, że na jego rachunku został zaplanowany przelew. Jeśli to nie on planował wykonać taką płatność, proszony jest o kontakt pod podanym w smsie numerem telefonu. Wiadomość wyglądała więc na standardowy antyfraudowy system powiadamiania o podejrzanych operacjach. Oszuści najprawdopodobniej już wcześniej pozyskali dane do logowania na konto (wykorzystując phishing lub keyloggery), sprawdzili numer na który wysłać sms i przygotowali przelew wychodzący.
Klient oddzwonił więc na wskazany w smsie numer, by zatrzymać rzekomą płatność. Oszust podszywający się pod pracownika banku poinformował go, że będzie potrzebował kodu jednorazowego do anulowania transakcji. Na numer klienta przyszedł sms z kodem i ofiara przekazała go telefonicznie oszustom. Po chwili do klienta oddzwonił prawdziwy pracownik banku z pytaniem, czy wykonuje przelew do samego siebie, bo taka płatność została ustawiona w systemie (tu rzeczywiście zadziałał system antyfraudowy). Złodzieje ustawili przelew wychodzący, gdzie w pole odbiorcy wpisali nazwisko klienta, ale podali swój numer konta. Poszkodowany był przekonany, że chodzi o przelew zwrotny i potwierdził pracownikowi banku.
W ten sposób wykonał przelew wychodzący i stracił wszystkie swoje oszczędności. Klient działał w pośpiechu i nie zachował wystarczającej czujności. Niestety bank odmówił pokrycia roszczeń klienta, bo w rzeczywistości klient prawidłowo autoryzował transakcję, a dodatkowo bank potwierdził ją telefonicznie. Oszukany klient dowiedział się od przedstawicieli banku, że odnotowali już 10 tego typu przypadków, a ofiary straciły łącznie 40 tys. funtów.
Phishing, smishing, vishing czy skimming to terminy określające metody oszustów atakujących użytkowników bankowości elektronicznej. Vishing to forma phishingu z wykorzystaniem tradycyjnej rozmowy telefonicznej – złodzieje wyłudzają dane do logowania podszywając się pod pracownika banku. Skimming polega natomiast na kopiowaniu danych z kart płatniczych poprzez zamieszczanie specjalnych nakładek na bankomatach. Szczegółowo techniki te opisywaliśmy w artykule „Uwaga na oszustów. Pokazujemy ich metody”. Zachęcamy też do śledzenia informacji w zakładce „Bezpieczny portfel”, gdzie opisujemy najnowsze metody oszustów.
