Oszustwa przez SMS i telefon

Wiadomości SMS i rozmowy telefoniczne mogą być wykorzystywane przez przestępców do kradzieży i oszustw. „Vishing” to rozmowy, podczas których ofiara jest nakłaniana do dokonania płatności lub podania ważnych danych finansowych pod pozorem wystąpienia nadzwyczajnej sytuacji. Wiadomości „smishingowe” mogą dodatkowo zachęcać odbiorcę do otwarcia złośliwego linku, który aktywuje wirusa typu koń trojański, kradnącego hasła i inne cenne dane.

Do typowych ataków należą phishingowe rozmowy telefoniczne („vishing”) i oszukańcze wiadomości SMS („smishing”). Ich celem jest nakłonienie ofiary podstępem do ujawnienia danych osobowych, które mogą zostać wykorzystane do kradzieży lub oszustwa. Obie metody są tanie i nie wymagają dużej wiedzy technicznej.

Wiele kampanii vishingowych prowadzonych jest na masową skalę, z zastosowaniem automatycznego wybierania numerów i telefonii VOIP, co umożliwia kontaktowanie się z tysiącami potencjalnych ofiar na godzinę. Oszuści starają się wymusić odpowiedzi strasząc rozmówców: mogą na przykład podszyć się pod pracownika infolinii bankowej ostrzegającego ofiarę o oszustwie dotyczącym rachunku bankowego, a następnie poprosić o podanie dokładnych danych karty płatniczej.

W przypadku firm atakujący często podszywają się pod pracowników wyższego szczebla potrzebujących pilnej pomocy. Mogą udawać, że się spieszą, aby przejąć kontrolę nad rozmową.

Smishing staje się jeszcze bardziej popularny niż vishing. Ponieważ wiele ofiar jeszcze nie miało do czynienia z wiadomościami SMS od oszustów – a banki coraz częściej piszą SMS-y do klientów – ta metoda jest obecnie bardziej skuteczna.

Wiadomości smishingowe zazwyczaj zawierają prośbę o pilne wykonanie jakiejś czynności; często chodzi o kliknięcie złośliwego linku, który umożliwi kradzież danych. Filtry spamu zatrzymują wiele phishingowych wiadomości e-mail, zanim trafią one do skrzynki odbiorczej, ale jak dotąd nie ma w powszechnym obiegu rozwiązania, które blokowałoby takie SMS-y.

• Kradzież danych (lub zaszyfrowanie ich dla okupu)
• Przekierowanie na fałszywą stronę bankowości internetowej
• Kradzież środków pieniężnych

• Szeroko informuj o możliwym wpływie vishingu/smishingu na Twoją firmę oraz wprowadź politykę zgłaszania podejrzeń.
• Przeszkol pracowników firmy, żeby nigdy nie podawali danych finansowych ani informacji o firmie niezweryfikowanym rozmówcom.
• Naucz się rozpoznawać podejrzane rozmowy i SMS-y, a także nigdy:
  • nie podejmuj pośpiesznej decyzji w odpowiedzi na pilną prośbę,
  • nie podawaj informacji osobowych ani finansowych przez telefon,
  • nie używaj numerów podanych przez rozmówcę lub w SMS-ie zamiast numerów, które znasz,
  • nie klikaj linków w SMS-ie, który dostałeś nieoczekiwanie.
• W przypadku rozmowy vishingowej z osobą podającą się za pracownika można wychwycić różne sygnały ostrzegawcze:
  • dzwoniący może wymieniać organizację z nazwy pomimo tego, że jest to rzekomo rozmowa wewnętrzna,
  • ktoś dzwoni do Wielkiej Brytanii z jednego kraju, a prosi o informacje dotyczące innego kraju,
  • osoba dzwoniąca instruuje rozmówcę, aby udzielił informacji korzystając z systemów wewnętrznych.