Straty osób, które dają się nabrać na takie ataki, sięgają nawet kilkudziesięciu tysięcy złotych. – W przypadku najbardziej intensywnych akcji otrzymujemy bezpośrednio po kilkaset zgłoszeń. Trzeba jednak założyć, że to niewielki odsetek osób, które zostały zaatakowane – mówi DGP Robert Grabowski, kierownik CERT Orange Polska. To zespół specjalistów, którzy dbają o cyberbezpieczeństwo użytkowników tej sieci telekomunikacyjnej.
– Nie jesteśmy w stanie zapobiec tego typu nadużyciom, zanim się pojawią. Kiedy dostajemy sygnał, analizujemy używane w wiadomości linki i po potwierdzeniu ich złośliwego charakteru blokujemy adresy dla klientów usług Orange Polska. Dodatkowo, niezależnie od działalności CERT Orange Polska, dział bezpieczeństwa i nadużyć monitoruje sieć pod kątem wzorców charakterystycznych dla złośliwych SMS-ów – dodaje.
Walka z tym procederem jest niestety skazana na porażkę z powodu samej konstrukcji wiadomości tekstowej. – Technologia SMS ma kilkadziesiąt lat. W czasie, kiedy powstawała, nikt nie brał pod uwagę zagrożeń, z którymi dziś mamy do czynienia, czyli podszywania się pod nadawcę – mówi Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure.
Jego słowa potwierdza szef zespołu Niebezpiecznik.pl Piotr Konieczny. – Każdy, kto dysponuje wiedzą, jak zbudowane są wiadomości SMS, jest w stanie za pomocą powszechnie dostępnego i darmowego oprogramowania wysyłać wiadomości od dowolnego nadawcy na dowolny numer telefonu. Możemy więc podpisać go jako jakaś firma kurierska czy nawet Rządowe Centrum Bezpieczeństwa – mówi Konieczny.
Skuteczność ataku rośnie, jeśli wcześniej otrzymywaliśmy SMS-y od konkretnej firmy kurierskiej. Oznacza to, że wysłane do nas fałszywe wiadomości pojawią się na telefonie pod tymi prawdziwym.
– To je dodatkowo uwiarygodni. Większość odbiorców pomyśli, że skoro poprzednie wiadomości były prawdziwe, to i ta musi taka być – podkreśla Konieczny.
Jest jednak światełko w tunelu. – Operatorzy mają techniczną możliwość filtrowania wiadomości przesyłanych w swojej sieci. Próba wysłania wiadomości z arbitralnie ustawionym nadawcą z części bramek zagranicznych na polskie numery niektórych operatorów spowoduje, że odbiorca co prawda dostanie wiadomość, ale operator podmieni nadawcę na słowo „SMS” – tłumaczy Konieczny.
Czy jednak nie można wprowadzić do tekstowych wiadomości zabezpieczeń podobnych to tych, jakie są stosowane w stronach internetowych, czyli certyfikatu podpisanego kluczem kryptograficznym? Jeśli jest on nieaktualny, komputer często nas o tym ostrzega. Możemy to też sami sprawdzić. Jak mówi Tasiemski, wymagałoby to jednak zmiany protokołu telekomunikacyjnego. – W przypadku SMS-ów ilość danych przesyłanych jest tak niewielka, że gdybyśmy nawet chcieli wykorzystać taki sposób weryfikacji, musielibyśmy przesłać kilkaset razy więcej danych niż sama treść SMS-a. To wymagałoby koordynacji operatorów i zmiany technicznej struktury wiadomości tekstowych – wyjaśnia.
Zdaniem eksperta z F-Secure można by ewentualnie utworzyć listę szczególnie ważnych instytucji.
– Mogłyby się tam znaleźć numery telefonów RBC, największych firm kurierskich, banków itp. Operatorzy wraz z tymi instytucjami ustaliliby listę centrów lub jednego centrum przekazywania wiadomości, z którego korzystają, i na tej podstawie odbywałaby się weryfikacja prawdziwości wysłanych przez nich wiadomości – mówi Tasiemski.
Operatorzy mogliby wtedy sprawdzać, czy SMS od firmy kurierskiej został wysłany ustalonym kanałem i blokować te, które nie spełniają kryterium. – To ciekawy pomysł, niestety wielość różnych procedur stosowanych w danych branżach czy nawet poszczególnych firmach nie pozwala na stworzenie jednego efektywnego kanału – komentuje Grabowski.
Jak więc możemy się chronić? Ekspert z F-Secure radzi, by nie klikać automatycznie w linki wysyłane w wiadomościach. Zachować szczególną czujność w okresach wzmożonych zakupów, np. przed świętami, bo wtedy wiele osób spodziewa się wiadomości od kuriera z prezentami, z czego korzystają oszuści. W skrajnych przypadkach warto zgłosić sprawę policji.