CERT Orange: SMS zamiast powiadomienia to podstęp

CERT Orange Polska ostrzega o świeżym scenariuszu ataku, który wykorzystuje zwykłe wiadomości SMS. Oszuści próbują wykorzystać wątek weryfikacji pracownika banku poprzez powiadomienia push z aplikacji mobilnych (co jest autentyczną metodą) i podszywają się pod nie w SMS-ach.

Uwaga na fałszywe "powiadomienia" z aplikacji
Uwaga na fałszywe "powiadomienia" z aplikacji
Źródło zdjęć: © Pixabay
Oskar Ziomek

CERT Orange zwraca uwagę na jeden ze sposobów oszustów, którym chcą doprowadzić do wyłudzenia pieniędzy od ofiary. Wysyłają wiadomości SMS, które próbują wizualnie udawać powiadomienia push z aplikacji bankowych. Sugerują w nich, że z uwagi na problem na koncie, można oczekiwać kontaktu od osoby o konkretnym imieniu i nazwisku. Oczywiście wiadomość SMS z takimi zapisami to nie to samo, co powiadomienie z aplikacji mobilnej, a tylko to można traktować jako prawdziwe.

CERT Orange sugeruje więc, by w skupieniu odczytywać wiadomości SMS lub powiadomienia z aplikacji bankowych i nie mylić jednego z drugim. Oszuści wysyłający spreparowane SMS-y, które wyglądają jak powiadomienia, celowo używają nadpisów z nazwami banków (czasem intencjonalnie z literówkami, aby ominąć automatyczne zabezpieczenia), co może dodatkowo wprowadzać w błąd. Autentyczne powiadomienie push po kliknięciu przenosi do aplikacji bankowej, a nie do skrzynki odbiorczej SMS.

Fałszywy SMS o kontakcie pracownika
Fałszywy SMS o kontakcie pracownika© CERT Orange

Jak zakłada CERT Orange, podjęcie rozmowy z "konsultantem" (a w praktyce z oszustem) w sprawie opisanej w spreparowanym SMS-ie może prowadzić do utraty pieniędzy z konta. Rozmówca będzie najpewniej sugerować konieczność wyprowadzenia środków z banku pod pretekstem bezpieczeństwa czy instalację oprogramowania do zdalnego dostępu w komputerze. W ten sposób oszuści odczytają login i hasło ofiary.

Dalsza część artykułu pod materiałem wideo

Aby uniknąć problemów, jak zawsze należy do wszystkich wiadomości tego rodzaju podchodzić z dużą dozą niepewności. Warto dwa razy sprawdzić, czy otrzymany komunikat to na pewno powiadomienie push z aplikacji bankowej oraz czy w ogóle w danym banku funkcjonuje taki mechanizm ostrzegania o nadchodzącej rozmowie z konsultantem bankowym. Podejrzane SMS-y można z kolei zgłaszać do analizy bezpieczeństwa zespołowi CERT Polska, do czego służy numer 8080.

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Jesteś świadkiem próby oszustwa?Poinformuj nas o tym zdarzeniu!

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (6)