Moda na oszukiwanie metodami „na wnuczka” czy „policjanta” powoli przemija, z uwagi na fakt, iż świadomość społeczna rośnie i przestępcom internetowym coraz trudniej jest używać tych sposobów. Po fali wiadomości e-mail, których nadawcami miały być rzekomo banki, a które to przekierowywały na podstawione strony logowania, mające za zadanie wykraść dane klientów – jesteśmy coraz częściej uczulani i uświadamiani, jak nie dać się oszukać cyberprzestępcom. Coraz częściej wykorzystują oni do swoich wyłudzeń SMS-y. Przeczytaj o przykładach takich oszustw i sposobach, jak się przed nimi chronić z perspektywy konsumenta oraz marki!
Skala zjawiska
Od kilku lat mamy do czynienia z plagą oszustw za pomocą fałszywych SMS-ów. Oszuści stosują coraz bardziej wyrachowane metody i skutecznie usypiają czujność tysięcy Polaków. Lista poszkodowanych wciąż rośnie. Tylko we wrześniu 2017 roku została rozbita szajka oszustów, którzy mogli wyłudzić około 3 mln złotych od ponad 200 tys. osób. Niekiedy jednak nie da się jednoznacznie obarczyć winą przestępców – wykorzystują oni bowiem coraz częściej luki prawne. Tak więc zgodnie z prawem, a jedynie niezgodnie z etyką, naciągają nas przede wszystkim na płatne subskrypcje.
Niestety, często to konsumenci i klienci przejawiają naiwność i nie wykazują się odpowiednią ostrożnością. Bo czy ktoś naprawdę da nam za darmo najnowszego iPhone’a za rzekomy udział w konkursie, w którym wcale nie braliśmy udziału? Zbyt często podajemy lekkomyślnie nasze personalia albo bezrefleksyjnie wyrażamy zgody na podejrzanych stronach. Zapominamy, że jedną z walut, oprócz pieniędzy, są też nasze dane osobowe. Jak je ujawniamy? Czasem zupełnie nieświadomie, chociażby korzystając z niepozornie wyglądających quizów na Facebooku. Akceptując ich warunki, zgadzamy się na podanie naszego adresu e-mail, listy polubień, daty urodzenia czy też listy znajomych.
Cyfrowa rewolucja a oszustwa SMS
Dzięki internetowi, ale także wszelkim urządzeniom przenośnym z możliwością śledzenia naszej lokalizacji, zbierana jest na nasz temat obecnie największa ilość danych w historii. Swego czasu głośno było o sprawie austriackiego prawnika i aktywisty Maxa Schremsa, który wystąpił do Facebooka o przekazanie danych zebranych o nim przez serwis. Po długiej batalii, otrzymał on ponad 1000 stron materiału, w którym znajdowały się nawet usunięte przez niego posty czy zdjęcia. A jeszcze niedawno mówiło się, że Facebook zbiera zaledwie ułamek danych, które kolekcjonuje na nasz temat Google.
Ostatnia głośna afera z Cambridge Analytica i Facebookiem również powinna uświadomić i uwrażliwić nas na niebezpieczeństwa, jakie czyhają na nasze dane w internecie. Mimo pomniejszych akcji typu „kasuję Facebooka”, pozycja tej platformy społecznościowej wydaje się być nadal niezachwiana. Wiele osób w Europie pokładało nadzieję wregulacji odnośnie ochrony danych osobowych – RODO. Czy załatała ona istniejące luki prawne lub ograniczyła stosowanie przez przestępców zgubnych dla użytkowników praktyk? Nie do końca – nikt bowiem nie zadba o nasze bezpieczeństwo tak bardzo, jak jesteśmy w stanie zrobić to sami poprzez ostrożność i zasadę ograniczonego zaufania.
Po pierwsze – nie panikuj!
Nie na wszystko sam masz wpływ. Nawet jeśli starasz się czytać regulaminy i polityki prywatności, nie klikasz w podejrzane linki i nie odpisujesz na dziwne wiadomości – nadal nie masz pełnej kontroli nad swoimi danymi. Bywa, że dane wyciekają z firm poprzez ataki hakerskie bądź nieostrożność pracowników. Dane nie tylko pracowników, ale także klientów, którzy robili zakupy w danym sklepie. Jak pokazała kontrola GIODO z 2017r., nawet takie podmioty jak kancelarie prawne nie są wolne od zaniedbań w tej kwestii. Nie da się bezwzględnie zabezpieczyć przed atakami oszustów – czujność i nieufność to podstawa. Jak miałoby to wyglądać w praktyce?
1. Jeśli nie brałeś udziału w konkursie – upewnij się
Dostajesz wiadomość SMS albo widzisz wyskakujące okienko (pop-up), że wygrałeś iPhone’a, rower, samochód czy egzotyczną wycieczkę? Oczywiście, brzmi to pięknie, ale jeśli nie brałeś udziału w żadnym konkursie – to pierwszy moment, gdy w Twojej głowie powinna zapalić się czerwona lampka. Jeżeli dodatkowo do odebrania nagrody wymagane jest uzupełnienie na dziwnie wyglądającej stronie Twoich danych i wpisanie kodu, np. otrzymanego za pomocą SMS-a – tym bardziej uważaj. Czasami takie pop-up’y głoszą treść o tym, że Katarzyna z Warszawy właśnie odebrała laptopa i że Ty też możesz, ale zostało tylko 6 sztuk. Zdarza się, że jest to zegar, na którym upływa czas do końca promocji. Wszystkie te metody mają za zadanie, wykorzystując psychologiczne sztuczki, wywołać w Tobie szybkie i bezrefleksyjne podążanie za instrukcjami. Nie daj się im zwieść.
Może się także zdarzyć, że „strona konkursowa” będzie wyglądać autentycznie niczym oryginalna, jednak w adresie url znajdować się będą litery jedynie przypominające polskie znaki. Tak było w przypadku afery z jedną linią lotniczą w roli głównej, która z okazji swoich urodzin rzekomo rozdawała darmowe bilety. W adresie linku znajdowała się mała kropa pod „o”. Pytanie jednak, kto był na tyle spostrzegawczy, by ją zauważyć?
2. SMS lub e-mail z banku? Zachowaj czujność
Bądź ostrożny. Banki nigdy nie wysyłają próśb o zalogowanie się za pomocą linków w SMS-ie lub e-mailu. Jeżeli masz chociaż cień wątpliwości – skontaktuj się z biurem obsługi klienta, zadzwoń na infolinię, przeczytaj o procedurach banku czy sposobach kontaktu z klientami.
Zwróć też uwagę na nagłówek, z jakiego wysyłana jest wiadomość. Banki korzystają z SMS-ów typu PRO, które umożliwiają im wysyłkę z alfanumerycznego nagłówka. Jeśli dostaniesz podejrzany komunikat, zobacz czy posiada on taki sam nagłówek co poprzednie wiadomości, które dostałeś od swojego banku. Pozwoli Ci to na dodatkową weryfikację nadawcy.
Jeżeli jednak zdarzy Ci się wejść na stronę wysłaną SMS-em, Twoją czujność powinien wzbudzić wygląd strony, na której się znajdujesz. Zwróć uwagę nie tylko na logo czy nazwę, ale także na adres url strony. M.in. na to, czy zamiast wyrażenia „http” użyto „https”, co, które oznacza, że dane połączenie jest szyfrowane, a przesyłane podczas operacji dane są trudniejsze do przechwycenia. Szukaj także małej kłódeczki po lewej stronie linku -o gwarancja bezpiecznego połączenia.
3. „Spłać kartę kredytową, bo odsetki rosną”
Kolejną metodą podszywania się hackerów pod banki są fałszywe wezwania do zapłaty. I tak okazuje się nagle, że mamy kilka lub kilkadziesiąt złotych długu do zapłaty i zostajemy przekierowani na stronę banku, gdzie należy dokonać płatności, a raczej gdzie przeprowadzana jest próba wyłudzenia danych naszej karty.
Znany jest przypadek, kiedy oszust nie prosił o kliknięcie w żaden link, a jedynie o to, by w odpowiedzi na wiadomość odpisać słowo „TAK”. Wtedy ten jeden, niewinny wyraz może doprowadzić do włączenia subskrypcji, chociażby na informacje o pogodzie, horoskopy, konkursy czy dowcipy. Sama treść jest właściwie nieistotna- ważne, że wiadomości będą przychodzić codziennie i skutkować wysokim rachunkiem za telefon.
4. Nie czekasz na paczkę? Sprawdź dwa razy!
Ofiarami phisherów padają często klienci firm kurierskich. Historia zna przypadek, gdy rozsyłane były wiadomości o paczce rzekomo czekającej w paczkomacie. To, że w polu nadawcy widnieje nazwa firmy kurierskiej, nie powinno uśpić naszej czujności. Jak wyglądał przekręt w tym przypadku? Link w otrzymanej wiadomości przekierowywał na sfałszowaną stronę internetową przewoźnika.
5. Metoda „na uprzejmość”, czyli scam
Zdarzają się przypadki wysyłania SMS-ów z prośbą, np. o przesłanie kodu, który przez omyłkę został przesłany na nasz numer, zamiast na numer wyłudzacza. Felerna sytuacja tłumaczona jest chociażby psikusem niesfornego dziecka, które bawiło się telefonem, a nadawcą może być sympatyczna pani Anna, obiecująca dozgonną wdzięczność za pomoc. Tego typu oszustwa sms, polegające na wzbudzeniu w ofierze zaufania, a następnie naciągnięciu jej, określane są jako scam.
6. „Wypisz się z subskrypcji” – czy na pewno?
W lutym 2018 roku głośnym echem przeszła afera z wypisaniem się z usługi (tu: subskrypcji gier), której w rzeczywistości nikt nie zamawiał. W SMS-ie można było przeczytać o włączonej płatnej usłudze, która miała regularnie pobierać środki z konta odbiorcy– niby na podanej stronie internetowej można było ją wyłączyć, jednak wcale nie było to takie proste.
Bywały przypadki, gdy rezygnacja z usługi była możliwa po przejściu na stronę internetową, gdzie wystarczyło uregulować zaległe należności, które w razie braku spłaty, miały szybko rosnąć.
Podsumowując – jak się ochronić przed oszustwami sms, będąc konsumentem?
Można by rzec, że tyle ile jest oszustw, tyle sposobów. Warto jednak znać schematy, jak przebiegają działania SMS-owych oszustów i w jaki sposób łapią oni swoje ofiary. Niezwykle ważna jest ograniczona ufność. Za każdym razem warto sprawdzać, czy w polu nadawcy SMS-a widnieje prawidłowa nazwa, dokładnie przyglądać się otrzymywanym linkom i adresom URL, a w razie niepewności przedzwonić do biura obsługi klienta firmy z pytaniem, czy wiadomość rzeczywiście była wysłana. To żaden wstyd, a dzięki temu możesz oszczędzić sobie licznych kłopotów.
Nie wierz we wszystko, co przeczytasz. Niech nie zwiedzie Cię znajomo brzmiąca nazwa nadawcy, jeśli nie zamawiałeś od niego w ostatnim czasie żadnych usług. Ignoruj rzekome powiadomienia o włączeniu usługi, której nigdy nie zamawiałeś, i nie daj się wtedy nabrać na prostą anulację poprzez wpisanie kilku danych.
Patrz, czy numery telefonu nie są zbyt krótkie (tzw. „premium”) bądź dziwnie długie, co mogłoby wskazywać, że są zarejestrowane za granicą. W razie potrzeby, korzystaj ze stron typu „kto dzwonił”, gdzie internauci ostrzegają, jeśli mamy do czynienia z oszustem. Jeśli nie masz pewności czy dany numer telefonu jest numerem premium, sprawdź go na wykazie prowadzonym przez Urząd Komunikacji Elektronicznej. Na taki numer także nie oddzwaniaj – oszuści zazwyczaj dzwonią wczesnym porankiem lub w nocy i puszczają tylko jeden sygnał, licząc na to, że oddzwonisz, co będzie skutkować wysokim rachunkiem.
A co w wypadku, kiedy to Ty prowadzisz firmę i komunikujesz się z klientami za pomocą SMS-ów?
Jak ochronić swoją markę przed phishingiem SMS i utratą reputacji?
Jeżeli chcesz wyeliminować ryzyko podszycia się pod Ciebie, koniecznie wybierz sprawdzoną platformę do wysyłki wiadomości, posiadającą zaawansowane zabezpieczenia. Podczas wyboru zwróć uwagę, czy współpracuje ona z operatorami komórkowymi w zakresie ochrony nadawców i odbiorców przed podszywaniem się, i w razie czego, natychmiast pomaga w rozwiązaniu problemu.
I na sam koniec – platforma MessageFlow oraz inne podmioty z grupy Vercom nie umożliwiają wysyłki SMS z niezweryfikowanym nagłówkiem, ani zawierającego w treści znaną markę, która nie jest użyta w nagłówku. Każdy taki opis jest zawsze dokładnie weryfikowany.
Z myślą o bezpieczeństwie naszych Klientów oraz ich odbiorców przestrzegamy wewnętrznej polityki antyspamowej i antyphishingowej do której stosowania zobligowani są wszyscy nasi klienci. Dodatkowo Vercom stworzył również autorskie rozwiązanie – tarczę antyphishingową filtrującą wiadomości SMS zlecane przez użytkowników naszej platformy, aby zapobiegać wysyłaniu wiadomości o treści niezgodnej z prawem lub szkodliwych. Współpracując m.in. z Operatorami, Policją, Certem i systemami antywirusowymi, codziennie powstrzymujemy wysyłkę dziesiątek tysięcy podejrzanych komunikatów, które próbują dotrzeć na polski rynek spoza Polski, i w razie wykrycia phsihingu powiadamiamy w ramach usługi fraudalert klientów o próbie podszycia się pod ich markę, by mogły jak najszybciej zareagować i uprzedzić klientów o możliwej próbie podszycia.
