25.06.2021 | 07:12

Adam Haertle

Jak rozpoznać fałszywe wiadomości SMS na przykładzie usług InPost

SMS-y, jak wiele technologii wymyślonych lata temu, nie zostały bezpiecznie zaprojektowane. Da się w nich podszyć pod nadawcę, a nasze telefony ułatwiają zadanie oszustom, wyświetlając fałszywe wiadomości między prawdziwymi. Jak je odróżnić?

Od lat opisujemy ataki, w których przestępcy docierają do swoich ofiar za pomocą wiadomości SMS. Choć to sposób droższy od e-maili, to zalety SMS-ów dla złodziei są ważniejsze. SMS-y szybciej odczytujemy i bardziej przyciągają naszą uwagę, a linki w nich otwierane oglądamy na małym ekranie, gdzie trudniej ocenić, czy strona jest prawdziwa. Najważniejsze jest chyba jednak to, jak łatwo w nich podszyć się pod znanego nadawcę.

Czasem smartfon myśli za dużo

Niektóre fałszywe SMS-y, podszywające się pod InPost, można łatwo zidentyfikować. Spójrzcie na przykład poniżej:

Fałszerstwo widać gołym okiem. W miejscu nazwy nadawcy figuruje zwykły numer telefonu zamiast nazwy firmy, a link prowadzi do jakiejś dziwnej domeny. Różnice najlepiej ocenić, patrząc na prawdziwą wiadomość, taką jak np. ta:

W prawdziwej wiadomości w polu nadawcy figuruje InPost, a sama wiadomość nie zawiera żadnego linka. Już od wielu miesięcy w najczęściej otrzymywanych przez klientów SMSach z informacją o paczce czekającej na odbiór InPost nie zamieszcza linków do swoich stron. To dobra praktyka – gdy w takim SMSie znajdziecie link (jak na pierwszym przykładzie), od razu możecie uznać wiadomość za podejrzaną.

Są też rzadziej spotykane wiadomości od InPostu zawierające linki – o nich za chwilę. Najpierw przyjrzyjmy się jednak tym trzem wiadomościom na zrzucie ekranu poniżej.

Na ekranie widzicie trzy SMSy. Pierwszy i trzeci są od InPostu, a środkowy to atak przestępców. Jak to możliwe, że wyświetlone są jeden pod drugim?

Niestety mechanizmy służące do wysyłki SMSów mogą pozwalać na używanie dowolnego ciągu znaków (o określonej długości) w nagłówku. Wiele firm, oferujących hurtową wysyłkę SMSów, dba o to, by nikt poza właścicielem danej marki nie mógł jej używać – jednak nie wszyscy zachowują podobny standard.

Sprytni przestępcy mogą zatem wysłać wiadomość, której nadawcą jest „InPost”. W tym momencie nasze smartfony starają się nam pomóc za bardzo i wszystkie wiadomości od tego samego nadawcy pokazują nam jedną pod drugą. Efekt tego podstępu złodziei widzicie powyżej.

Jak rozpoznać SMS od fałszywego „InPostu”?

Na szczęście nie wszystko stracone. O ile w wiadomościach poczty elektronicznej można maskować linki pod różnymi słowami, o tyle w SMSach linki zawsze są od razu widoczne. Jeśli zatem linki w wiadomości prowadzą do jakiejkolwiek domeny innej niż:

  • inpost.pl
  • pobrania.inpost.pl
  • twoj.inpost.pl

to najprawdopodobniej mamy do czynienia z oszustwem.

Podsumowanie

Prawdziwe wiadomości od InPostu muszą zatem spełniać dwa warunki jednocześnie:

  • nadawca to „InPost”
  • wiadomość nie zawiera linków lub linki prowadzą do domen inpost.pl, pobrania.inpost.pl lub twoj.inpost.pl

Ta wiedza powinna pozwolić wam łatwiej odróżnić wiadomości prawdziwe od fałszywych, nawet jeśli wasz smartfon wam tego nie ułatwia. Jeśli zaś chcecie pozbyć się problemu odróżniania SMSów fałszywych od prawdziwych, to w przypadku usług InPostu rozwiązanie jest bardzo proste – wystarczy zainstalować aplikację i to w niej odbierać firmowe komunikaty.

Dla pełnej przejrzystości – powyższy artykuł to tekst sponsorowany, a za jego publikację pobieramy wynagrodzenie.

Powrót

Komentarze

  • 2021.06.25 08:21 Morris

    Szkoda że artykuł mocno tendencyjny i rzeczywiście „sponsorowatość” widać z daleka. Szkoda że oprócz jednego nie dało rady rozważyć większej ilości przypadków zagrożeń.
    https://lnPost.pl :-)

    Odpowiedz
    • 2021.06.25 08:28 Adam Haertle

      Jeśli znasz przypadki prawdziwych scenariuszy ataków przez SMS, których nie opisaliśmy, to daj znać. Wskazanej przez ciebie domeny nigdy w ataku sms nie widzieliśmy

      Odpowiedz
      • 2021.06.25 09:25 Morris

        Bo to przykład tylko :-) Ja wiem że sponsorem był InPost i opisane były próby ataków z wykorzystaniem tej marki, i w przypadku tej marki trzeba uważać aby domeny były z InPost. Ale zawężenie tylko do tej marki jest bardzo istotnym zagrożeniem. Bo rozumiem, że jutro będzie artykuł „jak rozpoznać fałszywe wiadomości na przykładzie usługi alamakota-cloud.eu” :-)

        Lub mówiąc wprost: niech te artykuły sponsorowane mają większe znamiona merytoryczności. Bo pod płaszczykiem porad i pomocy to nic innego jak zwykła reklama. Coś jak w stylu „Nie wiesz jak wymienić opony? Oto porady zakładu 'PalGumę.pl’, wymiana opon tylko 59,99! Pamiętaj: PalGumę, PalGumę, pe-el!”.

        Odpowiedz
        • 2021.06.25 09:31 Adam Haertle

          Ale przestępcy praktycznie nie używają literówek w adresach URL. Ponawiam pytanie, jakie spotykane w prawdziwych atakach rodzaje podszycia się pod nadawcę SMS pominęliśmy w artykule…

          Odpowiedz
          • 2021.06.25 11:59 bob budowniczy

            Witam,
            nie jestem twórcą wcześniejszego komentarza ale zdarzało się poszywanie choćby pod Pocztę Polską:
            https://www.komputerswiat.pl/aktualnosci/internet/poczta-polska-ostrzega-przez-oszustwami-przestepcy-wyludzaja-dane/eb53gkd
            lub
            Biedronkę czy lidla – ale o tym też pisaliście wcześniej.

            A co do @ Morris – to przypominanie o takich sprawa jest też dobre bo jak wpadamy czasem w rutynę to statystyczny „Kowalski” może się zapomnieć i kliknie…
            A tak może w ramach prewencji otrzyma link do artykułu

          • 2021.06.25 23:16 Moris

            Będę złośliwy ;-)
            https://niebezpiecznik.pl/post/atak-orange-niebezpiecznik-cybertarcza/

            Tak, wiem że to celowa literówka ma linku w mailu a nie w SMS – ale chyba lepiej pokazać sposób ataku niż „ten sposób nie jest spotykany w SMS więc nie ma się czego bać, no chyba że ktoś to zrobi – to wtedy trzeba być ostrożnym”.

          • 2021.06.25 23:19 adamh

            Ja będę jednak uparty – jeśli dana kategoria ataków nie występuje, to nie ma sensu o niej pisać. Tu mowa tylko o SMSach, więc nie będę opisywał scenariuszy z emaili. A ataków istniejących jest wystarczająco dużo, by trzeba było wymyślać nieistniejące… :)

  • 2021.06.25 13:41 Greg

    InPost już od dawna nie wysyła SMS-ów o umieszczeniu paczki w paczkomacie. Tylko e-mail i aplikacja.

    Odpowiedz
    • 2021.06.25 23:20 adamh

      Niespodzianka, jak nie masz aplikacji to nadal wysyła SMSy.

      Odpowiedz
    • 2021.06.29 20:44 3er

      Ciekawe, bo ja dostaje ciagle smsy i emaile :)

      Odpowiedz
  • 2021.06.25 13:57 Mickey

    Mam pytanie z ciekawosci: co trzeba by miec by moc wyslac SMS z dowolnym ciagiem znakow jako nadawca? Jakis specjalistyczny sprzet? Nie siedze w elektronice ale ciekawi mnie jak stacje bazowe czy operatorzy przyjmuja dane. Polecicie jakis artykul czy prezentacje? Wiem ze by sie podszyc w mailach trzeba znalezc serwer SMTP ktory nie weryfikuje pola From oraz serwer odbiorcy musi akceptowac wiadomosci z takiego serwera, ale SMSy to dla mnie czarna magia. No i dlaczego operatorzy nie zrobia czegos, by ten proceder utrudnic?!

    Odpowiedz
    • 2021.06.25 14:01 Adam Haertle

      Trzeba mieć pieniądze, ale niedużo. Są setki jak nie tysiące firm oferujących takie usługi.

      Odpowiedz
      • 2021.06.25 14:06 Mickey

        Interesuje mnie to pod wzgledem technicznym, a nie realizacji :) Jak te firmy to robia i dlaczego operatorzy to akceptuja? Jakie byly by mozliwosci zablokowania tego procederu?

        Odpowiedz
        • 2021.06.25 14:16 Adam Haertle

          Operatorzy na tym zarabiają – sprzedają dostęp pośrednikom.

          Odpowiedz
          • 2021.06.25 14:35 Mickey

            Dzięki! Czyli rozumiem, że sam sprzęt specjalistyczny nie wystarczy, a firmy mają umowy z operatorami. Zastanawiało mnie, czy po prostu każdy może wysłać cokolwiek odpowiednio tworząc i przesyłając pakiety/ramki przy użyciu sprzętu, ale jak widać nie.

          • 2021.06.25 14:37 Adam Haertle

            Trzeba mieć punkt styku z siecią SS7 – czyli sygnalizacją sieci telefonicznych. Można kupić, można dostać API, można zostać operatorem ;)

            A mając sprzęt możesz wysyłać SMSy – ale musisz być stacją bazową, do której podłączy się telefon odbiorcy.

          • 2021.06.25 20:34 Mickey

            Dziekuje za rozjasnienie.

  • 2021.06.25 18:12 Bromidum

    Domeny scamowe zgłaszaj bezpośrednio do CERT Polska pod tym linkiem: https://incydent.cert.pl/domena#!/lang=pl

    Jeśli chciałbyś używać listy CERT Polska/KAD, a także zależnie od ustawień blokować reklamy i tracking możesz skorzystać z nextDNS – https://soo.bearblog.dev/nextdns/

    Odpowiedz
  • 2021.06.25 18:12 Bromidum

    Domeny scamowe/phishingowe zgłaszaj bezpośrednio do CERT Polska pod tym linkiem: https://incydent.cert.pl/domena#!/lang=pl

    Jeśli chciałbyś używać listy CERT Polska/KAD, a także zależnie od ustawień blokować reklamy i tracking możesz skorzystać z nextDNS – https://soo.bearblog.dev/nextdns/

    Odpowiedz
  • 2021.06.26 07:32 Lukion2901

    Wystarczy zainstalować aplikację z sklepu Play lub App Stora i nigdy więcej fałszywych SMS nie dostaje SMS tylko powiadomienia w aplikacji i jak coś jest z InPost to odrazu z automatu samo się dodaje i można w paczkomach otwierać zdalnie. A jak jest SMS to wtedy już wiem z automatu, że to fake bo jak się ma aplikacje to SMS już się nie dostaje od InPost. Przy pierwszym uruchomieniu aplikacji przychodzi tylko jeden SMS z kodem i tyle.

    Odpowiedz
  • 2021.06.26 18:01 sd

    To jest jeden z tych artykułów sponsorowanych, który warto polecać :)

    Dodatkowo pochwały za przystępną formę – nawet mój dziadek zrozumiał, co i jak, a przede wszystkim podsumował to, cytując coś, co od dawna zalecam wszystkim: „nie klikać w przesłane linki albo się skonsultować”.
    Tak, 80+ i korzysta z paczkomatów, bo „fajne to”.
    Chciałbym też za 60 lat być tak na bieżąco :)

    Odpowiedz
  • 2021.07.08 10:41 Morris

    Ciekawostka – czy taki SMS jest prawdziwy czy fałszywy?
    +41511114458
    Ktoś zna Twoje hasło do konta Google . Aby je zmienić, zaloguj się.

    Odpowiedz
    • 2021.07.08 11:24 Adam Haertle

      A był tam jakiś link?

      Odpowiedz
      • 2021.07.08 12:49 Morris

        Nie, tylko to, żadnych linków, obrazków. Co prawda mam starszy telefon, ale jakby coś było to by pokazał jakieś dodatkowe krzaczki.

        Odpowiedz
        • 2021.07.08 21:35 Morris

          CSI: SMS prawdziwy, wszystko wskazuje że to jednak „user friendly” sposób Google :-)

          Odpowiedz
  • 2021.07.08 14:37 p0k3m0n

    Moze jestem tepawy, ale… gdzie tu jakis wyrafinowany wlam? Przeciez to ciagle ta sama, grana od +-25 lat melodia pt. „kliknij Kowalski na tego linka i podaj swoje wrazliwe dane, a dzieki temu wygrasz samochod, nie stracisz pieniedzy, zaoszczedzisz 5 zl, bedziesz bezpieczniejszy”. I nie wazne czy to SMS, czy mail czy jakikolwiek inny kanal komunikacji. Zasada jest znow prosta: nigdy nie podawac swoich danych i nigdzie, chyba ze samemu podelismy taka decyzje bez zewnetrznego nacisku czy ponaglania. Wszystkie inne bez wyjatku proby kontaktu z punktu do smieci: czy to spamer, faktyczny bank z kolejna superoferta kredytu, czy – jak obecnie – urzedasy z spisu ludnosci lub naganiacze od szczepionek. Wszystkich co do jednego nalezy traktowac tak samo: Z BUTA!

    Gdzie tu filozofia? No gdzie?

    Odpowiedz
  • 2023.11.30 08:07 Inpost

    Dostałam.esemesa w którym pisało że proszę wpisać numer mieszkania bo nie jedt wpisany dobrze adres i podany jest link https: inpost.pl .Pl help icu Pl ale coś mi się wydaje to podejrzane odrazu się kapłam .
    Żeby nie wchodzić w tego linka.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak rozpoznać fałszywe wiadomości SMS na przykładzie usług InPost

Komentarze