CERT Orange: SMS zamiast powiadomienia to podstęp

CERT Orange zwraca uwagę na jeden ze sposobów oszustów, którym chcą doprowadzić do wyłudzenia pieniędzy od ofiary. Wysyłają wiadomości SMS, które próbują wizualnie udawać powiadomienia push z aplikacji bankowych. Sugerują w nich, że z uwagi na problem na koncie, można oczekiwać kontaktu od osoby o konkretnym imieniu i nazwisku. Oczywiście wiadomość SMS z takimi zapisami to nie to samo, co powiadomienie z aplikacji mobilnej, a tylko to można traktować jako prawdziwe.

CERT Orange sugeruje więc, by w skupieniu odczytywać wiadomości SMS lub powiadomienia z aplikacji bankowych i nie mylić jednego z drugim. Oszuści wysyłający spreparowane SMS-y, które wyglądają jak powiadomienia, celowo używają nadpisów z nazwami banków (czasem intencjonalnie z literówkami, aby ominąć automatyczne zabezpieczenia), co może dodatkowo wprowadzać w błąd. Autentyczne powiadomienie push po kliknięciu przenosi do aplikacji bankowej, a nie do skrzynki odbiorczej SMS.

Jak zakłada CERT Orange, podjęcie rozmowy z "konsultantem" (a w praktyce z oszustem) w sprawie opisanej w spreparowanym SMS-ie może prowadzić do utraty pieniędzy z konta. Rozmówca będzie najpewniej sugerować konieczność wyprowadzenia środków z banku pod pretekstem bezpieczeństwa czy instalację oprogramowania do zdalnego dostępu w komputerze. W ten sposób oszuści odczytają login i hasło ofiary.

Dalsza część artykułu pod materiałem wideo

Aby uniknąć problemów, jak zawsze należy do wszystkich wiadomości tego rodzaju podchodzić z dużą dozą niepewności. Warto dwa razy sprawdzić, czy otrzymany komunikat to na pewno powiadomienie push z aplikacji bankowej oraz czy w ogóle w danym banku funkcjonuje taki mechanizm ostrzegania o nadchodzącej rozmowie z konsultantem bankowym. Podejrzane SMS-y można z kolei zgłaszać do analizy bezpieczeństwa zespołowi CERT Polska, do czego służy numer 8080.