SMS-y, jak wiele technologii wymyślonych lata temu, nie zostały bezpiecznie zaprojektowane. Da się w nich podszyć pod nadawcę, a nasze telefony ułatwiają zadanie oszustom, wyświetlając fałszywe wiadomości między prawdziwymi. Jak je odróżnić?
Od lat opisujemy ataki, w których przestępcy docierają do swoich ofiar za pomocą wiadomości SMS. Choć to sposób droższy od e-maili, to zalety SMS-ów dla złodziei są ważniejsze. SMS-y szybciej odczytujemy i bardziej przyciągają naszą uwagę, a linki w nich otwierane oglądamy na małym ekranie, gdzie trudniej ocenić, czy strona jest prawdziwa. Najważniejsze jest chyba jednak to, jak łatwo w nich podszyć się pod znanego nadawcę.
Czasem smartfon myśli za dużo
Niektóre fałszywe SMS-y, podszywające się pod InPost, można łatwo zidentyfikować. Spójrzcie na przykład poniżej:
Fałszerstwo widać gołym okiem. W miejscu nazwy nadawcy figuruje zwykły numer telefonu zamiast nazwy firmy, a link prowadzi do jakiejś dziwnej domeny. Różnice najlepiej ocenić, patrząc na prawdziwą wiadomość, taką jak np. ta:
W prawdziwej wiadomości w polu nadawcy figuruje InPost, a sama wiadomość nie zawiera żadnego linka. Już od wielu miesięcy w najczęściej otrzymywanych przez klientów SMSach z informacją o paczce czekającej na odbiór InPost nie zamieszcza linków do swoich stron. To dobra praktyka – gdy w takim SMSie znajdziecie link (jak na pierwszym przykładzie), od razu możecie uznać wiadomość za podejrzaną.
Są też rzadziej spotykane wiadomości od InPostu zawierające linki – o nich za chwilę. Najpierw przyjrzyjmy się jednak tym trzem wiadomościom na zrzucie ekranu poniżej.
Na ekranie widzicie trzy SMSy. Pierwszy i trzeci są od InPostu, a środkowy to atak przestępców. Jak to możliwe, że wyświetlone są jeden pod drugim?
Niestety mechanizmy służące do wysyłki SMSów mogą pozwalać na używanie dowolnego ciągu znaków (o określonej długości) w nagłówku. Wiele firm, oferujących hurtową wysyłkę SMSów, dba o to, by nikt poza właścicielem danej marki nie mógł jej używać – jednak nie wszyscy zachowują podobny standard.
Sprytni przestępcy mogą zatem wysłać wiadomość, której nadawcą jest „InPost”. W tym momencie nasze smartfony starają się nam pomóc za bardzo i wszystkie wiadomości od tego samego nadawcy pokazują nam jedną pod drugą. Efekt tego podstępu złodziei widzicie powyżej.
Jak rozpoznać SMS od fałszywego „InPostu”?
Na szczęście nie wszystko stracone. O ile w wiadomościach poczty elektronicznej można maskować linki pod różnymi słowami, o tyle w SMSach linki zawsze są od razu widoczne. Jeśli zatem linki w wiadomości prowadzą do jakiejkolwiek domeny innej niż:
- inpost.pl
- pobrania.inpost.pl
- twoj.inpost.pl
to najprawdopodobniej mamy do czynienia z oszustwem.
Podsumowanie
Prawdziwe wiadomości od InPostu muszą zatem spełniać dwa warunki jednocześnie:
- nadawca to „InPost”
- wiadomość nie zawiera linków lub linki prowadzą do domen inpost.pl, pobrania.inpost.pl lub twoj.inpost.pl
Ta wiedza powinna pozwolić wam łatwiej odróżnić wiadomości prawdziwe od fałszywych, nawet jeśli wasz smartfon wam tego nie ułatwia. Jeśli zaś chcecie pozbyć się problemu odróżniania SMSów fałszywych od prawdziwych, to w przypadku usług InPostu rozwiązanie jest bardzo proste – wystarczy zainstalować aplikację i to w niej odbierać firmowe komunikaty.
Dla pełnej przejrzystości – powyższy artykuł to tekst sponsorowany, a za jego publikację pobieramy wynagrodzenie.
Komentarze
Szkoda że artykuł mocno tendencyjny i rzeczywiście „sponsorowatość” widać z daleka. Szkoda że oprócz jednego nie dało rady rozważyć większej ilości przypadków zagrożeń.
https://lnPost.pl :-)
Jeśli znasz przypadki prawdziwych scenariuszy ataków przez SMS, których nie opisaliśmy, to daj znać. Wskazanej przez ciebie domeny nigdy w ataku sms nie widzieliśmy
Bo to przykład tylko :-) Ja wiem że sponsorem był InPost i opisane były próby ataków z wykorzystaniem tej marki, i w przypadku tej marki trzeba uważać aby domeny były z InPost. Ale zawężenie tylko do tej marki jest bardzo istotnym zagrożeniem. Bo rozumiem, że jutro będzie artykuł „jak rozpoznać fałszywe wiadomości na przykładzie usługi alamakota-cloud.eu” :-)
Lub mówiąc wprost: niech te artykuły sponsorowane mają większe znamiona merytoryczności. Bo pod płaszczykiem porad i pomocy to nic innego jak zwykła reklama. Coś jak w stylu „Nie wiesz jak wymienić opony? Oto porady zakładu 'PalGumę.pl’, wymiana opon tylko 59,99! Pamiętaj: PalGumę, PalGumę, pe-el!”.
Ale przestępcy praktycznie nie używają literówek w adresach URL. Ponawiam pytanie, jakie spotykane w prawdziwych atakach rodzaje podszycia się pod nadawcę SMS pominęliśmy w artykule…
Witam,
nie jestem twórcą wcześniejszego komentarza ale zdarzało się poszywanie choćby pod Pocztę Polską:
https://www.komputerswiat.pl/aktualnosci/internet/poczta-polska-ostrzega-przez-oszustwami-przestepcy-wyludzaja-dane/eb53gkd
lub
Biedronkę czy lidla – ale o tym też pisaliście wcześniej.
A co do @ Morris – to przypominanie o takich sprawa jest też dobre bo jak wpadamy czasem w rutynę to statystyczny „Kowalski” może się zapomnieć i kliknie…
A tak może w ramach prewencji otrzyma link do artykułu
Będę złośliwy ;-)
https://niebezpiecznik.pl/post/atak-orange-niebezpiecznik-cybertarcza/
Tak, wiem że to celowa literówka ma linku w mailu a nie w SMS – ale chyba lepiej pokazać sposób ataku niż „ten sposób nie jest spotykany w SMS więc nie ma się czego bać, no chyba że ktoś to zrobi – to wtedy trzeba być ostrożnym”.
Ja będę jednak uparty – jeśli dana kategoria ataków nie występuje, to nie ma sensu o niej pisać. Tu mowa tylko o SMSach, więc nie będę opisywał scenariuszy z emaili. A ataków istniejących jest wystarczająco dużo, by trzeba było wymyślać nieistniejące… :)
InPost już od dawna nie wysyła SMS-ów o umieszczeniu paczki w paczkomacie. Tylko e-mail i aplikacja.
Niespodzianka, jak nie masz aplikacji to nadal wysyła SMSy.
Ciekawe, bo ja dostaje ciagle smsy i emaile :)
Mam pytanie z ciekawosci: co trzeba by miec by moc wyslac SMS z dowolnym ciagiem znakow jako nadawca? Jakis specjalistyczny sprzet? Nie siedze w elektronice ale ciekawi mnie jak stacje bazowe czy operatorzy przyjmuja dane. Polecicie jakis artykul czy prezentacje? Wiem ze by sie podszyc w mailach trzeba znalezc serwer SMTP ktory nie weryfikuje pola From oraz serwer odbiorcy musi akceptowac wiadomosci z takiego serwera, ale SMSy to dla mnie czarna magia. No i dlaczego operatorzy nie zrobia czegos, by ten proceder utrudnic?!
Trzeba mieć pieniądze, ale niedużo. Są setki jak nie tysiące firm oferujących takie usługi.
Interesuje mnie to pod wzgledem technicznym, a nie realizacji :) Jak te firmy to robia i dlaczego operatorzy to akceptuja? Jakie byly by mozliwosci zablokowania tego procederu?
Operatorzy na tym zarabiają – sprzedają dostęp pośrednikom.
Dzięki! Czyli rozumiem, że sam sprzęt specjalistyczny nie wystarczy, a firmy mają umowy z operatorami. Zastanawiało mnie, czy po prostu każdy może wysłać cokolwiek odpowiednio tworząc i przesyłając pakiety/ramki przy użyciu sprzętu, ale jak widać nie.
Trzeba mieć punkt styku z siecią SS7 – czyli sygnalizacją sieci telefonicznych. Można kupić, można dostać API, można zostać operatorem ;)
A mając sprzęt możesz wysyłać SMSy – ale musisz być stacją bazową, do której podłączy się telefon odbiorcy.
Dziekuje za rozjasnienie.
Domeny scamowe zgłaszaj bezpośrednio do CERT Polska pod tym linkiem: https://incydent.cert.pl/domena#!/lang=pl
Jeśli chciałbyś używać listy CERT Polska/KAD, a także zależnie od ustawień blokować reklamy i tracking możesz skorzystać z nextDNS – https://soo.bearblog.dev/nextdns/
Domeny scamowe/phishingowe zgłaszaj bezpośrednio do CERT Polska pod tym linkiem: https://incydent.cert.pl/domena#!/lang=pl
Jeśli chciałbyś używać listy CERT Polska/KAD, a także zależnie od ustawień blokować reklamy i tracking możesz skorzystać z nextDNS – https://soo.bearblog.dev/nextdns/
Wystarczy zainstalować aplikację z sklepu Play lub App Stora i nigdy więcej fałszywych SMS nie dostaje SMS tylko powiadomienia w aplikacji i jak coś jest z InPost to odrazu z automatu samo się dodaje i można w paczkomach otwierać zdalnie. A jak jest SMS to wtedy już wiem z automatu, że to fake bo jak się ma aplikacje to SMS już się nie dostaje od InPost. Przy pierwszym uruchomieniu aplikacji przychodzi tylko jeden SMS z kodem i tyle.
To jest jeden z tych artykułów sponsorowanych, który warto polecać :)
Dodatkowo pochwały za przystępną formę – nawet mój dziadek zrozumiał, co i jak, a przede wszystkim podsumował to, cytując coś, co od dawna zalecam wszystkim: „nie klikać w przesłane linki albo się skonsultować”.
Tak, 80+ i korzysta z paczkomatów, bo „fajne to”.
Chciałbym też za 60 lat być tak na bieżąco :)
Ciekawostka – czy taki SMS jest prawdziwy czy fałszywy?
+41511114458
Ktoś zna Twoje hasło do konta Google . Aby je zmienić, zaloguj się.
A był tam jakiś link?
Nie, tylko to, żadnych linków, obrazków. Co prawda mam starszy telefon, ale jakby coś było to by pokazał jakieś dodatkowe krzaczki.
CSI: SMS prawdziwy, wszystko wskazuje że to jednak „user friendly” sposób Google :-)
Moze jestem tepawy, ale… gdzie tu jakis wyrafinowany wlam? Przeciez to ciagle ta sama, grana od +-25 lat melodia pt. „kliknij Kowalski na tego linka i podaj swoje wrazliwe dane, a dzieki temu wygrasz samochod, nie stracisz pieniedzy, zaoszczedzisz 5 zl, bedziesz bezpieczniejszy”. I nie wazne czy to SMS, czy mail czy jakikolwiek inny kanal komunikacji. Zasada jest znow prosta: nigdy nie podawac swoich danych i nigdzie, chyba ze samemu podelismy taka decyzje bez zewnetrznego nacisku czy ponaglania. Wszystkie inne bez wyjatku proby kontaktu z punktu do smieci: czy to spamer, faktyczny bank z kolejna superoferta kredytu, czy – jak obecnie – urzedasy z spisu ludnosci lub naganiacze od szczepionek. Wszystkich co do jednego nalezy traktowac tak samo: Z BUTA!
Gdzie tu filozofia? No gdzie?
Dostałam.esemesa w którym pisało że proszę wpisać numer mieszkania bo nie jedt wpisany dobrze adres i podany jest link https: inpost.pl .Pl help icu Pl ale coś mi się wydaje to podejrzane odrazu się kapłam .
Żeby nie wchodzić w tego linka.