Smishing – co to jest i jak się przed tym chronić? 

Ostatnia aktualizacja: 27 stycznia 2025

Otrzymujesz SMS-a z wiadomością nakłaniającą Cię do natychmiastowego działania i zastanawiasz się, jak masz zareagować? Prawidłowo – to może być smishing, czyli cyberprzestępstwo wykorzystujące wiadomości SMS. Z tego artykułu dowiesz się, czym jest smishing, poznasz przykłady ataków i dowiesz się, jak chronić się przed tego typu oszustwem.

SPIS TREŚCI

Jak sprawdzić, czy telefon jest zhakowany, a jeśli tak - co zrobić?

Co to jest smishing?

Smishing to rodzaj phishingu wykorzystujący wiadomości SMS. Ogólny scenariusz jest prosty: ofiara otrzymuje SMS-a nakłaniającego do wykonania określonej akcji, zwykle przy użyciu zamieszczonego w treści linku. Jeśli zdecyduje się podjąć oczekiwane działanie, może przekazać cyberprzestępcom swoje dane, np. login i hasło do bankowości internetowej lub jej telefon zostanie zawirusowany. W efekcie można utracić dane, kontrolę nad swoim urządzeniem, a nawet pieniądze.

Smishing wykorzystuje socjotechnikę – oszust stara się zmanipulować swoją ofiarę, wywołując w niej emocje mogące skłonić do nieprzemyślanych, szybkich działań.

Przykłady smishingu

Cyberprzestępcy wykorzystują różne pomysły, by zwiększyć szanse powodzenia ataków smishingowych. Fałszywy SMS może dotyczyć np.:

  • Dostawy paczki. Oszust podszywa się pod firmę kurierską i informuje o trudnościach związanych z dostawą przesyłki, np. adres dostawy jest niekompletny lub gabaryt jest większy niż opłacony. Problem ma rozwiązać drobna dopłata lub uzupełnienie danych.
  • Zaległych opłat za prąd. Nadawca podaje się za dostawcę energii i wzywa do uiszczenia zaległej opłaty, grożąc wyłączeniem prądu.
  • Weryfikacji danych lub podejrzanej aktywności w banku. Oszust podszywa się pod bank i informuje o konieczności weryfikacji poprawności danych albo zweryfikowania nietypowych działań, by zapobiec blokadzie konta bankowego.
  • Zapłacenia podatku lub mandatu. Oszust udaje instytucję rządową i informuje o zaległym podatku lub mandacie, który powinien być jak najszybciej opłacony.
  • Opłaty subskrypcji. Nadawca podaje się za serwis streamingowy i informuje o konieczności dokonania opłaty za kolejny okres rozliczeniowy lub zaktualizowania danych karty płatniczej.
  • Specjalnej oferty, kuponów rabatowych, bonów. Oszust podszywa się pod popularną markę i informuje o dostępnych kuponach rabatowych lub bonach na zakupy, które można odebrać np. po wypełnieniu formularza.

Warto pamiętać, że nie jest to skończona lista pretekstów wykorzystywanych w smishingu. Media i różne instytucje nagłaśniają szerzej zakrojone ataki, dzięki czemu coraz więcej osób ma świadomość najczęściej wykorzystywanych przez oszustów scenariuszy. Dlatego cyberprzestępcy regularnie wymyślają nowe preteksty, by uśpić czujność swoich ofiar i zwiększyć szanse powodzenia ataku.

Prawdziwy SMS czy smishing – jak to rozpoznać?

Rozpoznanie smishingu nie zawsze jest proste. Zanim jednak emocje wezmą górę, warto z chłodną głową spojrzeć na otrzymaną wiadomość. To, co może charakteryzować fałszywe SMS-y to m.in.:

  • Błędy językowe, niewłaściwa odmiana wyrazów czy nienaturalny szyk zdania.
  • Link zawierający dodatkowe znaki, np. twoja-domena-platnosci.pl zamiast twoja-domena.pl.
  • Wywieranie presji, nakłanianie do jak najszybszego działania, najczęściej połączone z grożeniem konsekwencjami w przypadku braku reakcji.
Uwaga! To, że w polu nadawcy zamiast numeru telefonu wyświetli się tekst, np. nazwa firmy, nie oznacza, że SMS jest prawdziwy. Cyberprzestępcy mogą zastąpić numer telefonu nazwą, by zwiększyć swoją wiarygodność (nazwa tego działania to spoofing).

Co zrobić, gdy otrzymam podejrzaną wiadomość?

Ochrona przede smishingiem leży zarówno w gestii operatorów telekomunikacyjnych, jak i odbiorców wiadomości – czyli każdego z nas. Operatorzy są zobowiązani m.in. do blokowania wiadomości o treści zgodnej ze wzorcem wiadomości smishingowych (takie wzorce tworzy CSIRT NASK na podstawie m.in. zgłoszeń użytkowników). Nie zwalnia nas to jednak z odpowiedzialności za własne bezpieczeństwo – wciąż możemy otrzymywać fałszywe SMS-y (np. jeśli ich treść wymyka się znanym wzorcom).

Jeśli więc otrzymasz wiadomość, warto zadać sobie następujące pytania:

  • Czy jej nadawca rzeczywiście może mieć do mnie interes? Firma, z której usług nie korzystasz lub nie są przypisane do Ciebie (np. umowę na prąd podpisywał współmałżonek, a nie Ty), nie powinna kontaktować się z Tobą i wzywać Cię do działania. Tak samo nie powinna kontaktować się z Tobą firma kurierska, jeżeli w danym momencie nie spodziewasz się żadnej przesyłki.
  • Czy ten SMS jest podobny do poprzednich wiadomości od tego nadawcy? Jeśli regularnie otrzymujesz od danej firmy SMS-y, z pewnością mają one podobny wzorzec. Np. jeśli regularnie około 10. dnia miesiąca otrzymujesz od usługodawcy informację o wystawionej fakturze, a w treści znajduje się numer faktury, kwota do zapłaty i link prowadzący do domeny należącej do usługodawcy, być może nie musisz się obawiać (ale i tak warto zachować ostrożność).
    Pamiętaj, że cyberprzestępcy mogą naśladować sposób komunikacji firmy, pod którą się podszywają, dlatego szczególną uwagę zwróć na link w wiadomości. Jeśli nazwa domeny jest inna niż zwykle, powinno to wzbudzić Twoją czujność. Uważaj też na wykorzystywanie podobnych znaków, co łatwo przeoczyć – np. horne.pl czy h0me.pl to nie to samo, co home.pl.
  • Jak bardzo prawdopodobne jest, że dla opisanej sytuacji nadawca wybrałby właśnie taką formę kontaktu? Nawet jeżeli zaistniałaby konieczność dopłaty do paczki, bardziej prawdopodobne jest, że firma kurierska zadzwoniłaby do Ciebie, by wyjaśnić tę sprawę. Podobnie w przypadku konieczności zapłaty mandatu czy podatku, bardziej prawdopodobne jest otrzymanie listu poleconego lub wiadomości w e-PUAP. W sprawach związanych z bankowością, bardziej prawdopodobne jest otrzymanie powiadomienia w aplikacji banku; i tak dalej.

Jeżeli wiadomość zdecydowanie budzi Twoje podejrzenia i nie masz wątpliwości, że jest sfałszowana, zgłoś ją do CERT Polska. Jeśli nie masz pewności co do jej prawdziwości (bo np. rzeczywiście czekasz na paczkę), skontaktuj się z nadawcą i sprawdź to. Nie oddzwaniaj jednak na numer, z którego został wysłany SMS – najlepiej skorzystaj z numeru kontaktowego podanego na oficjalnej stronie firmy lub instytucji.

W przypadku wątpliwości wobec SMS-ów mówiących o fakturze do zapłaty (bo np. nie pamiętasz, czy opłaciłeś/-aś ostatni rachunek za usługi), najlepiej sprawdzić stan płatności na swoim koncie. Np. w Panelu Klienta home.pl informacje o opłaconych i nieopłaconych fakturach znajdziesz w zakładce Konto.

Jak się chronić przed smishingiem?

Cyberprzestępcy pozyskują nasze numery telefonów m.in. z wycieków, ale mogą też je wygenerować – numery telefonów komórkowych w Polsce składają się z 9 cyfr, a liczba prefiksów (czyli początkowych cyfr numeru) jest ograniczona, co zawęża liczbę możliwych kombinacji.

Nie wystarczy więc maksymalnie ograniczyć podawania numeru telefonu, by zapobiec smishingowi. Podstawą ochrony jest zachowanie zdrowego rozsądku i ostrożności po otrzymaniu wiadomości, ale to nie wszystko, co możemy zrobić. Dodatkowe działania, które warto podjąć to:

  1. instalacja oprogramowania antywirusowego,
  2. włączenie ochrony przed spamem SMS w aplikacji Wiadomości Google,
  3. zachowanie standardowych zasad bezpieczeństwa w sieci.

Zainstaluj oprogramowanie antywirusowe na telefonie

Telefon zasługuje na zabezpieczenie antywirusem tak samo jak komputer. Gdy klikniesz link z SMS-a (przypadkowo lub mylnie uznasz go za bezpieczny), dobry antywirus z ochroną antyphishingową ostrzeże Cię przed zagrożeniem, jeśli otwierana strona będzie obecna w jego bazie, a samą stronę zablokuje.

Straty poniesione wskutek skutecznego ataku smishingowego mogą wynieść od kilkuset do kilkudziesiąt tysięcy złotych.  Oprogramowanie antywirusowe Norton 360 na smartfona kosztuje rocznie nie więcej niż jeden obiad na mieście.

Zabezpiecz swój telefon przed cyberprzestępcami i śpij spokojnie.

 

Wybieram Norton 360 for Mobile

Samo otwarcie i odczytanie SMS-a nie powinno wiązać się z zagrożeniem. Jeżeli rzeczywiście mamy do czynienia ze smishingiem to groźne może być dopiero kliknięcie w link lub podanie tam swoich danych.

Włącz ochronę przed spamem SMS w Wiadomościach Google

Jeśli do obsługi SMS-ów korzystasz z aplikacji Wiadomości Google (domyślnie używana w systemie Android), możesz włączyć ochronę przed spamem:

  1. Przejdź do aplikacji Wiadomości i kliknij ikonę Twojego profilu w prawym górnym rogu.
  2. Wybierz Ustawienia aplikacji Wiadomości.
  3. Wybierz Ochrona przed spamem.
  4. Przesuń suwak przy polu Włącz ochronę przed spamem w prawo.

Ochrona przed spamem nie ma stuprocentowej skuteczności, ale może zablokować przynajmniej część wiadomości. Zablokowane SMS-y, które zostały uznane za spam zobaczysz w zakładce Spam i zablokowane (by się do niej dostać, dotknij ikonę Twojego profilu).

Pamiętaj o standardowych zasadach bezpieczeństwa

Jeśli zdecydujesz się kliknąć link umieszczony w wiadomości SMS, dokładnie przyjrzyj się stronie, na której się znajdziesz. Pamiętaj, że cyberprzestępcy mogą perfekcyjnie podrobić stronę instytucji, pod którą się podszywają i zdradzą ich tylko drobne szczegóły.

Jeśli strona wymaga od Ciebie logowania lub podawania danych (np. płatniczych), rozważ skorzystanie z innej opcji (np. oficjalnej strony lub aplikacji firmy, Panelu Klienta itp.), by wykonać kolejne działania.

Korzystaj z menadżerów haseł i funkcji autouzupełniania. Twój login i hasło powinny być uzupełniane wyłącznie na stronie, do której zostały przypisane (a nie na fałszywej stronie podszywającej się pod prawdziwą).

Przeczytaj więcej o tym, jak bezpiecznie korzystać z internetu.

  • Czy artykuł był pomocny ?
  • Tak   Nie

Powiązane artykuły

jak się zalogować, jak zmienić hasło, jak opłacić, gdzie faktura, przypisanie domeny.
lub
sprawdź kategorie pomocy
i wyświetl 2687 wpisów
Allegro Ads analiza google backup WWW CAD ciemny motyw Control Panel cpanel log in design e-mail folder eset mobile fakturowanie on-line Godziny Pracy Hangouts Chat hot basket imap server jakość keepalives klienci kod sms konfiguracja domeny konto zewnętrzne logi SMTP miejscowość multidomain Multi Pop-up mx record oglądalność produktów OLX php.ini file pliki produkt cyfrowy program antywirusowy services expiration date serwis księgowy SharePoint simplysign space for files spam block Sticky strefa okazji szkolenie office 365 tani kurier trendy VPN Wybór ilości na liście produktów