Niemal każdy, kto ma telefon komórkowy, otrzymał SMS podszywający się pod firmę kurierską czy bank. Niestety, ochronić może nas tylko czujność.
Straty osób, które dają się nabrać na takie ataki, sięgają nawet kilkudziesięciu tysięcy złotych. – W przypadku najbardziej intensywnych akcji otrzymujemy bezpośrednio po kilkaset zgłoszeń. Trzeba jednak założyć, że to niewielki odsetek osób, które zostały zaatakowane – mówi DGP Robert Grabowski, kierownik CERT Orange Polska. To zespół specjalistów, którzy dbają o cyberbezpieczeństwo użytkowników tej sieci telekomunikacyjnej.
– Nie jesteśmy w stanie zapobiec tego typu nadużyciom, zanim się pojawią. Kiedy dostajemy sygnał, analizujemy używane w wiadomości linki i po potwierdzeniu ich złośliwego charakteru blokujemy adresy dla klientów usług Orange Polska. Dodatkowo, niezależnie od działalności CERT Orange Polska, dział bezpieczeństwa i nadużyć monitoruje sieć pod kątem wzorców charakterystycznych dla złośliwych SMS-ów – dodaje.
Walka z tym procederem jest niestety skazana na porażkę z powodu samej konstrukcji wiadomości tekstowej. – Technologia SMS ma kilkadziesiąt lat. W czasie, kiedy powstawała, nikt nie brał pod uwagę zagrożeń, z którymi dziś mamy do czynienia, czyli podszywania się pod nadawcę – mówi Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure.
Jego słowa potwierdza szef zespołu Niebezpiecznik.pl Piotr Konieczny. – Każdy, kto dysponuje wiedzą, jak zbudowane są wiadomości SMS, jest w stanie za pomocą powszechnie dostępnego i darmowego oprogramowania wysyłać wiadomości od dowolnego nadawcy na dowolny numer telefonu. Możemy więc podpisać go jako jakaś firma kurierska czy nawet Rządowe Centrum Bezpieczeństwa – mówi Konieczny.
Skuteczność ataku rośnie, jeśli wcześniej otrzymywaliśmy SMS-y od konkretnej firmy kurierskiej. Oznacza to, że wysłane do nas fałszywe wiadomości pojawią się na telefonie pod tymi prawdziwym.
– To je dodatkowo uwiarygodni. Większość odbiorców pomyśli, że skoro poprzednie wiadomości były prawdziwe, to i ta musi taka być – podkreśla Konieczny.
Jest jednak światełko w tunelu. – Operatorzy mają techniczną możliwość filtrowania wiadomości przesyłanych w swojej sieci. Próba wysłania wiadomości z arbitralnie ustawionym nadawcą z części bramek zagranicznych na polskie numery niektórych operatorów spowoduje, że odbiorca co prawda dostanie wiadomość, ale operator podmieni nadawcę na słowo „SMS” – tłumaczy Konieczny.
Czy jednak nie można wprowadzić do tekstowych wiadomości zabezpieczeń podobnych to tych, jakie są stosowane w stronach internetowych, czyli certyfikatu podpisanego kluczem kryptograficznym? Jeśli jest on nieaktualny, komputer często nas o tym ostrzega. Możemy to też sami sprawdzić. Jak mówi Tasiemski, wymagałoby to jednak zmiany protokołu telekomunikacyjnego. – W przypadku SMS-ów ilość danych przesyłanych jest tak niewielka, że gdybyśmy nawet chcieli wykorzystać taki sposób weryfikacji, musielibyśmy przesłać kilkaset razy więcej danych niż sama treść SMS-a. To wymagałoby koordynacji operatorów i zmiany technicznej struktury wiadomości tekstowych – wyjaśnia.
Zdaniem eksperta z F-Secure można by ewentualnie utworzyć listę szczególnie ważnych instytucji.
– Mogłyby się tam znaleźć numery telefonów RBC, największych firm kurierskich, banków itp. Operatorzy wraz z tymi instytucjami ustaliliby listę centrów lub jednego centrum przekazywania wiadomości, z którego korzystają, i na tej podstawie odbywałaby się weryfikacja prawdziwości wysłanych przez nich wiadomości – mówi Tasiemski.
Operatorzy mogliby wtedy sprawdzać, czy SMS od firmy kurierskiej został wysłany ustalonym kanałem i blokować te, które nie spełniają kryterium. – To ciekawy pomysł, niestety wielość różnych procedur stosowanych w danych branżach czy nawet poszczególnych firmach nie pozwala na stworzenie jednego efektywnego kanału – komentuje Grabowski.
Jak więc możemy się chronić? Ekspert z F-Secure radzi, by nie klikać automatycznie w linki wysyłane w wiadomościach. Zachować szczególną czujność w okresach wzmożonych zakupów, np. przed świętami, bo wtedy wiele osób spodziewa się wiadomości od kuriera z prezentami, z czego korzystają oszuści. W skrajnych przypadkach warto zgłosić sprawę policji.