Fałszywe SMS-y - TE wiadomości to oszustwo!

Spis treści

Schemat działania oszustów jest zawsze taki sam: wiadomość SMS z fałszywą prośbą o uregulowanie należności za energię elektryczną, subskrypcję lub przesyłkę, zakończona linkiem do strony płatności elektronicznych. Często wystarczy chwila nieuwagi i jedno kliknięcie, by udostępnić swoje dane, dostęp do konta i w konsekwencji – stracić wszystkie oszczędności. Codziennie ktoś pada ofiarą phishingu – Ty także możesz się nią stać.

Fałszywe SMS-y od PGIG, DPD i PZU – pod kogo podszywają się oszuści?

Jednym z najpopularniejszych ataków hakerskich jest phishing – metoda opierająca się na wysyłaniu fałszywych wiadomości SMS lub e-mail. Cyberprzestępcy próbują wyłudzić Twoje dane osobowe i dostęp do konta bankowego poprzez wysyłanie linków z szkodliwym oprogramowaniem lub załączników zainfekowanych wirusem.

Aby wzbudzić zaufanie ofiary i wymusić na niej działanie, przestępcy podszywają się pod:

urzędy administracji – Ministerstwo Finansów, Urząd Skarbowy,
firmy kurierskie – InPost, DHL, DPD, Poczta Polska,
operatorów telekomunikacyjnych – Plus, Orange, Play, T-Mobile,
dostawców usług internetowych – UPC, Netia,
stacje radiowe i telewizyjne – Eska, Radio Zet, RMF, Polsat, TVN,
przedsiębiorstwa ubezpieczeniowe – PZU,
dostawców energii elektrycznej – PGIG, PGE,
banki i systemy płatności – BLIK, mBank, PKO, Santander,
platformy i portale internetowe – Allegro, Olx, Vinted,
Twoich znajomych.

Jak rozpoznać fałszywy SMS? Przykłady phishingu

Większość fałszywych wiadomości tekstowych opiera się na tym samym schemacie. Na początku, w ramach informacji o nadawcy, cyberprzestępca wymienia nazwę podmiotu, który budzi powszechne zaufanie. Następnie podaje powód kontaktu i wzywa do pilnego działania poprzez dołączony na końcu link.

Fałszywe wiadomości SMS mogą zawierać:

wezwanie do uregulowania należności za energię elektryczną,
informację o przelewie od znajomego,
obietnicę dodatkowej gotówki za wypełnienie ankiety lub w ramach dotacji,
wezwanie zapłaty zaległych należności od groźbą windykacji,
informację o nałożonej kwarantannie,
informację o zablokowaniu konta na portalu internetowym,
wezwanie do uiszczenia opłaty celnej,
informację o odrzuceniu płatności za internetowy zakup z wezwaniem do ponownego wykonania transakcji,
informację o filmie lub zdjęciu z wizerunkiem ofiary.

Wszystkie aktualne kampanie phishingowe i treści fałszywych wiadomości są umieszczane na profilu Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT na Twitterze. Tak wyglądają przykładowe SMS-y od cyberprzestępców, które były rozsyłane w 2022 roku:

“PGE: Na dzień 26.08 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności 3,46 zł. Zapłać teraz na <link>”

“Akcja Ministerstwa Finansów! Wypełnij krótką ankietę i zyskaj 250 zł na swoje konto <link>”

“Zostałeś skierowany do odbycia 10-dniowej kwarantanny z powodu zakażenia w Twoim najbliższym otoczeniu. Więcej informacji na stronie <link>”

“InPost. Prosimy uregulować należność <link>”

“Dotacja Santander Bank. Masz prawo na jednorazową pomoc finansową w kwocie 1000 zł. Żeby dostać dotacje wypełnij formularz <link>

“BLIK. Ktoś przesłał Ci przelew na telefon 350 zł, skorzystaj z poniższego linku do odbioru środków: <link>

Sposoby na weryfikowanie wiarygodności wiadomości SMS

Zanim zdecydujesz się kliknąć w otrzymany link, sprawdź, czy nie masz do czynienia z phishingiem. Każde wezwanie do szybkiej reakcji, typu “wyślij dane w ciągu 24 godzin”, “zapłać natychmiast”, powinno wzbudzić Twoją czujność. Najlepiej więc skontaktuj się z domniemanym nadawcą przez dane kontaktowe podane na oficjalnej stronie internetowej, by potwierdzić wiarygodność SMS-a. Pamiętaj, że żaden bank ani instytucja nie będzie w taki sposób prosić Cię o uzupełnienie danych osobowych.

Jeśli zdecydujesz się wejść w link, przyjrzyj się wyglądowi i adresowi strony. Każda literówka, niepoprawna gramatyka, interpunkcja i pisowania, a także brak polskich znaków diakrytycznych (“ą”, “ę”, “ż”) wskazują na wiadomość phishingową.

Gdzie zgłosić fałszywe SMS-y?

SMS wysłany przez oszusta możesz zgłosić do wcześniej wspomnianego CSIRT NASK. Wystarczy przesłać treść na numer 799-448-084. Każdy donos jest weryfikowany przez operatorów, którzy decydują o wydaniu oficjalnego ostrzeżenia.

Podejrzane SMS-y zgłosisz także przez stronę internetową https://incydent.cert.pl/#!/lang=pl. Wybierz reprezentowany przez siebie podmiot (osoba fizyczna), wskaż odpowiednią kategorię (podejrzana wiadomość e-mail/SMS) i opisz incydent. Otrzymasz odpowiedź w ciągu 48 godzin.

Ofiara phishingu – postępowanie w przypadku kradzieży

Niektóre fałszywe wiadomości wyglądają na tyle rzetelnie, że każdy z nas może stać się ofiarą oszustwa. W takim przypadku niezwłocznie przekaż dowody Policji (screeny wiadomości, linki do odwiedzonych stron) i zgłoś do banku żądanie zwrotu pieniędzy.

Zmień także wszystkie swoje hasła oraz przeskanuj urządzenie programem antywirusowym w celu wykrycia niebezpiecznego oprogramowania. Pomocne może być przywrócenie ustawień fabrycznych.

Fałszywe wiadomości SMS – FAQ

Poznaj odpowiedzi na najczęściej zadawane pytania o phishing!

Kto może paść ofiarą phishingu?

Każdy z nas otrzymuje fałszywe wiadomości SMS. Wystarczy chwila nieuwagi, abyś i Ty stał się ofiarą phishingu.

Skąd oszuści biorą numery telefonów?

Cyberprzestępcy szukają ofiar przez Internet – kopiują ich numery ze stron internetowych i zakładek kontaktowych. Wykradają bazy danych z popularnych serwisów internetowych, a także wykorzystują słabsze zabezpieczenia sieci GSM.

Jak rozpoznać fałszywy SMS?

Sprawdź, czy domniemany nadawca w ogóle kontaktuje się przez SMS-y. Najlepiej sam do niego zadzwoń albo napisz, wykorzystując dane podane na oficjalnej stronie.
Zwróć uwagę na literówki, błędy gramatyczne, obecność polskich znaków – każdy błąd powinien wzbudzać Twoje podejrzenia.
Oceń, czy SMS wpływa na Twoje emocje i wzywa do natychmiastowych działań. Jeśli tak – prawdopodobnie jest fałszywy.
Jeśli uważasz, że otrzymana wiadomość ma charakter phishingowy, sprawdź, czy może CSIRT nie ostrzegał przed nią w ostatnim czasie..

Co może się stać po kliknięciu w link w fałszywym SMS-ie?

Linki mogą prowadzić do stron instalujących złośliwe oprogramowanie na Twoim urządzeniu albo serwisów transakcyjnych, które wyłudzają dostęp do kont bankowych. Po kliknięciu w nie, cyberprzestępca zyska dostęp do Twoich danych osobistych.

Gdzie zgłosić próbę oszustwa SMS?

Fałszywe wiadomości SMS prześlij do CERT przez formularz zgłoszeniowy na ich stronie internetowej lub bezpośrednio na numer 799-448-084. Próbuję oszustwa zgłoś także Policji.

Czy PGE wysyła SMS-y?

PGE nie wysyła wiadomości SMS z wezwaniem do zapłaty czy informacją o planowanym odłączeniu energii elektrycznej.

Co zrobić, jeśli padło się ofiarą phishingu?

Udaj się na najbliższy komisariat Policji i zgłoś przestępstwo. Poinformuj także swój bank. Rozsądnym krokiem będzie zmiana haseł do kont oraz użycie programu antywirusowego.

Iza pisze:

2022-08-30 o 14:34

Moja znajoma tak straciła oszczędności życia. Policja ani bank nie pomogły. Może kiedyś ich złapią, ale szansa na odzyskanie pieniędzy jest zerowa. Dlatego tak trzeba uważać i ostrzegać wszystkich przed tego typu wiadomościami i połączeniami.

Odpowiedz
Kuba pisze:

2022-09-05 o 18:38

to jest rak obecnych czasów. Szczególnie starsi ludzie są narażeni na tego typu ataki, ale nie tylko. Mam nadzieję, że powstaną narzędzia, żeby takie coś blokować, a odpowiedzialni za to ludzie pójdą siedzieć

Odpowiedz
Jan pisze:

2022-09-08 o 16:20

Nie tylko sms-y ale także połączenia telefoniczne, metody na wnuczka, czy policjanta. Nie mówiąc już o fałszywych ksieniach z Nigerii. Policja powinna zająć się tymi ludźmi

Odpowiedz