Wiadomość SMS od "T0WARY". Zwróć uwagę na nadawcę
SMS z nadpisem "T0WARY" to treść, która może trafić do każdego i zmylić zwłaszcza sprzedawców z serwisu OLX. Ktoś wykorzystuje skuteczny schemat manipulacji i sugeruje, że wystawiony w sieci towar właśnie został sprzedany. Co istotne, literówka w nadpisie SMS-a nie jest przypadkowa.
Opisywany przykład SMS-a z nadpisem "T0WARY" to kolejna wiadomość wpisująca się w schemat trwającej fali phishingowej. W ostatnich dniach nieraz opisywaliśmy zgłoszenia, które dostaliśmy od czytelników. Wiele osób otrzymało SMS-y, w których nadawca podszywał się pod komunikację z serwisów OLX, Vinted czy Allegro i sugerował, że konieczne jest podjęcie akcji, by "odebrać pieniądze" czy "potwierdzić sprzedaż".
Naturalnie wszystkie SMS-y tego rodzaju są fałszywe i mają wspólną cechę - załączony w treści link jest spreparowany i prowadzi na stronę przygotowaną przez oszustów. Pod pretekstem potwierdzenia danych lub przyjęcia płatności za produkt, nieświadome ofiary proszone są zazwyczaj o zalogowanie się na konto w banku. Formularz przekazuje jednak te dane wprost na ręce atakujących. Zdobywają w ten sposób login, hasło i kod z jednorazowego SMS-a, co pozwala im dostać się na konto ofiary w banku.
W tym przypadku nie bez znaczenia jest także nadpis o treści "T0WARY". Literówka i użycie cyfry 0 zamiast litery "O" nie jest przypadkowa - to próba ominięcia systemów zabezpieczeń działających po stronie operatorów. Od niedawna są one obowiązkowe, a celem jest blokowanie fałszywych wiadomości SMS na dużą skalę na dużo wcześniejszym etapie. Oszuści liczą na to, że tego typu sztuczki pozwolą ominąć zabezpieczenia wykorzystujące schematyczne blokowanie wiadomości i jak widać po niniejszym przykładzie - przynajmniej czasem faktycznie się to udaje.
Dalsza część artykułu pod materiałem wideo
Jak zawsze w przypadku fałszywych wiadomości SMS przypominamy, by nie reagować machinalnie na wszystkie otrzymywane komunikaty tego typu. Nawet, jeśli wiadomość brzmi autentycznie, bo w danej chwili prowadzimy sprzedaż w sieci, lepiej na własną rękę sprawdzić, czy przedmiot nie został sprzedany i kontynuować proces wysyłki oficjalną drogą, zakładając, że SMS może być spreparowany.
Trzeba też pamiętać, że nigdy nie jest koniecznie zalogowanie się do banku czy podanie jakichkolwiek danych ponad numer konta, imię i nazwisko, aby otrzymać przelew pieniężny. Jeśli odbiorca SMS-a da się nabrać, nawet zwrócenie się do policji z prośbą o pomoc może przynieść marne skutki, jeśli pieniądze znikną z konta w efekcie niedochowania należytej staranności dbania o bezpieczeństwo loginu i hasła do banku. Dochodzenie swoich racji będzie też z pewnością czasochłonne.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl