Było już o phishingu w tym wątku, dlatego nie będę się rozwodził nad tym zjawiskiem. Chciałbym tylko przedstawić jego odmianę, SMShing. Zasadnicza różnica polega na tym, iż SMShing jako medium do manipulacji wykorzystuje nasz telefon komórkowy, a nie skrzynkę e-mail.

SMShing to nie są popularne ostatnimi czasy wiadomości typu „Wygrałeś 1____ (wpisz dowolną ilość zer) zł. Wyślij sms-a żeby odebrać nagrodę.” Jest to zwyczajny spam który swoją drogą też należy tępić bo służy naciąganiu naiwnych, na ogół starszych ludzi.

Najczęściej spotykaną wersją smshingu jest informacja o wspaniałej i wyjątkowej ofercie. Aby dowiedzieć się więcej musimy wejść na podaną stronę internetowa. Przykładem takiego działania jest wiadomość którą sam dostałem parę dni temu.
Około godziny 2 w nocy (pisanie magisterki to nie rurki z kremem 😉 ) dostałem smsa o treści:

„Pomóż mi załatwić sprawę w Wa-wie (sam nie mogę, bo jestem w GB), a bezpłątnie przekażę Tobie 2-pokojowe mieszkanie na okres 5 lat! Info www.Tomaszjakieśnazwisko.pl”

Zbyt mocno cenie dane które mam zawarte na komputerze aby skorzystać z tej „fenomenalnej” oferty.Mogę tylko podejrzewać jakaż to niespodziewajka znajdowała się pod tym adresem.

Nieśmiale obstawiam, że w chwili połączenie się z witryną nastąpiłoby ściągnięcie (wersja optymistyczna) jakiegoś trojana albo (pesymistyczna) keyloggera. Jest to program który odczytuje i zapisuje wszystkie naciśnięcia klawiszy ofiary. Łącznie ze wszystkimi adresami, kodami i hasłami.

Dzisiaj też na stronie sfora.biz pojawił się artykuł na temat takiego ataku smshingowego.

Klienci bankowości internetowej, korzystający z przesyłanych SMS-em kodów do autoryzacji transakcji, narażeni są na działanie nowej wersji trojana Zeus/Zbot – ostrzega ING Bank Śląski

Przestępcy odgrywają niemal identyczną „szopkę” jak w przypadku klasycznego phisingu. Podszywają się pod banki i proszą w sms-ie o uzupełnienie danych które wynika z wprowadzenia nowego systemu zabezpieczeń. Każdy klient który łyknie przysłowiową przynętę otrzymuje sms-a z linkiem dzięki któremu będzie mógł pobrać nowy certyfikat bezpieczeństwa. Niestety owy „certyfikat bezpieczeństwa” jest trojanem kontrolującym pracę telefonu. Daje on możliwość przejęcie wiadomości z hasłami do kont i swobodnego upłynnienia znajdującej się tam gotówki.

Bank przypomina, że nie prosi klientów o podawanie informacji na temat używanego do autoryzacji telefonu oraz nie wymaga instalacji żadnego oprogramowania – informuje „Rzeczpospolita”.

Jak się bronić?  Uważać i być nieufnym. To wystarczy. 🙂

A w ramach puenty ciekawostka.

Może nie stricte smshing ale działające na podobnej zasadzie. Niedawno na stronie bothunters.pl (duuużo ciekawych i łatwostrawnych newsów dla NIE-informatyka) pojawiła się informacja o absolutnie zaskakującym sposobie na zarażanie komputerów. Crackerzy drukowali fałszywe mandaty z informacją o złym zaparkowaniu pojazdu oraz adresem witryny gdzie należy wejść w celu postępowania wyjaśniającego. Jako uwiarygodnienie bilet zawierał zdjęcie pojazdu stojącego na parkingu. Pod tym adresem znajduje się cały wpis ze szczegółami tego przekrętu.

Absolutna bezczelność tego pomysłu zupełnie mnie rozbroiła. 🙂 Na szczęści to było w USA także miejmy nadzieję, że trochę potrwa zanim coś takiego trafi do nas. Chociaż nigdy nie wiadomo, Polak potrafi. 😉

W temacie:
Strach się bać. Jak niektóre samorzady obchodzą się z bezpieczeństwem naszych danych osobowych

Gdy pieniądze same znikają nam z konta. Skimming – czym jest i jak się chronić
Babciu, potrzebuje pieniędzy – wyłudzenie „na wnuczka”

Jeżeli chcesz być informowany o nowych wpisach pojawiających się na blogu, wpisz swój adres e-mail do subkrypcji po prawej stronie.

Dla zainteresowanych:
http://bothunters.pl/
http://niebezpiecznik.pl/