Prawdopodobnie po przeczytaniu powyższego tytułu zastanawiają się Państwo, co autor miał na myśli i cóż to jest za magiczne Centrum Dowodzenia Światem. Śpieszę z wyjaśnieniem: to oczywiście nasz poczciwy osobisty smartfon, tablet czy ponadprzeciętny zegarek. Nasze oczko w głowie i okno na nowoczesny świat.
Urządzenia są naszym przyjacielem, bankiem, powiernikiem myśli i zmartwień, kalendarzem, portfelem osobistym, listonoszem i kelnerem. Funkcji mają tak dużo, że nie starczy godzin funkcjonowania baterii. Niestety są one tak samo popularne wśród uczciwych użytkowników, jak również wśród amatorów cudzych pieniędzy, tym samym są narażone na bardzo liczne zagrożenia.
Prześledźmy zatem mechanizmy funkcjonowania wybranych zagrożeń na poniższych przykładach.
Zagrożenie pierwsze
Co może być groźnego w dzwonieniu i wysyłaniu smsów? Paradoksalnie te czynności kryją wiele potencjalnych zagrożeń. W ostatnich dniach słyszeliśmy o zakrojonej na szeroką skalę akcji phishingu telefonicznego, która dotknęła setek (jeśli nie tysięcy) Polaków. Scenariusz banalny: dzwoni telefon i po pierwszym sygnale się rozłącza. No dobrze, ale co w tym dziwnego i niebezpiecznego? Proszę sobie tylko wyobrazić, ilu nieświadomych ludzi oddzwania w takiej sytuacji, zupełnie nie zwracając uwagi na to, że numer pochodzi z Nigerii, Gwinei Równikowej czy inne równie egzotycznego miejsca. Podejrzewam, że procent jest w tym przypadku bliższy 10% niż 1%. Gdzie w tym ataku tkwi haczyk? Takie połączenie może kosztować nawet kilkadziesiąt złotych za samo jego wykonanie (płatne połączenia premium).
Podobnie rzecz ma się z krótkimi wiadomościami tekstowymi. Istnieje niezliczenie wiele metod zmuszenia lub nakłonienia nieświadomego użytkownika telefonu do interakcji na przesłaną wiadomość. Tyczy się to zarówno banalnych i rzadko skutecznych smsów w rodzaju „Chcesz znać przyszłość?”, jak i tych budzących złość, czyli informacjach o niezapłaconym rachunku czy zawierających wulgarne treści – ile smsów tyle metod. Niemniej celem ich wszystkich jest zachęcenie nas do kliknięcia w przesłany link lub odpisania zgodnie z oczekiwaniem przestępców. Taka czy inna interakcja sprawia, że stajemy się beneficjentami subskrypcji kolejnych wiadomości, za które ponosimy niemałe koszty*.
Zagrożenie drugie
WYKRYTO WIRUSA! Twój telefon został zainfekowany! Niezastosowanie się do wskazówek może doprowadzić do uszkodzenia Twojego telefonu!
Istnieje również nieprzebrana ilość trików i forteli mających przykuć naszą uwagę i nakłonić do dobrowolnego oddania władzy nad naszym urządzeniem (a w konsekwencji portfelem). Scenariusz jest nieco inny, ale cel pozostaje niezmiennie ten sam. Przestraszony użytkownik zgadza się na pobranie oprogramowania mającego wybawić nas od złowrogiego wirusa, który zaatakował nasze kochane Centrum Dowodzenia Światem. Niestety także w tym przypadku – ulegając manipulacji – dobrowolnie instalujemy aplikację i wchodzimy na stronę internetową, gdzie podpisujemy się pod regulaminami. Jak to często bywa, nie czytamy ze zrozumieniem tego, co zawiera strona czy rzeczony regulamin. W efekcie podajemy swoje dane osobowe, adresy e-mail, numer telefonu komórkowego itp. I tym oto sposobem znów stajemy się płatnikami usług obciążających nasze portfele.
Zagrożenie trzecie
Powiedzmy, że administrator naszego ulubionego portalu social media zmienił sposób logowania do strony. Aby konto nie wygasło, należy zalogować się do serwisu i ponownie wprowadzić swoje dane. Link do serwisu https://www.…pl. Czy ktoś z Państwa dostał taki sms? Jaka była reakcja? Ilu z nas szybko, bez zastanowienia kliknęło w link i przeszło na stronę spreparowanego logowania?
Siła socjotechniki jest potężna, a obawa przed utratą przez lata pieczołowicie budowanej listy znajomych czy ściany tak duża, że tracimy czujność. Użytkownicy social mediów często wychodzą z założenia, że przecież zagrożenie nie może przyjść przez sms, wobec czego naiwnie podają swoje dane logowania. Schemat następstw takiego zachowania jest bardzo prosty. Przestępcy przejmują kontrolę nad kontem FB czy Linkedin. Można stwierdzić, że nic się takiego nie stało – ostatecznie wszystko odbudujemy od początku. Nic bardziej mylnego. W tym czasie cyberprzestępcy, posługując się naszym kontem, wysyłają kolejne linki czy pliki. Zdarzały się sytuacje, w których zwracali się do znajomych ofiary z prośbą o pożyczenie pieniędzy, argumentując to sytuacją podbramkową (kradzieżą portfela w delegacji lub wczasach itp.). Niczego niepodejrzewający przyjaciele przelewają pieniądze na wskazane konto, a my tracimy nie tylko nasze konto, lecz także znajomych. Pieniądze trzeba oddać, a przecież nie wiemy, że je „pożyczyliśmy”.
Wymienione zagrożenia to wycinek krajobrazu zagrożeń czyhających na nasze Centrum Dowodzenia Światem. Jak skutecznie chronić nas i naszych znajomych?
Przede wszystkim na każdym urządzeniu mobilnym powinniśmy mieć zainstalowane oprogramowanie, które w sposób aktywny będzie nas chronić przed niebezpiecznymi stronami internetowymi, plikami itp. Po drugie – jeśli nie korzystamy z płatnych subskrypcji sms – najlepiej jest zablokować je u operatora. W przypadku połączeń z nieznanej lokalizacji (szczególnie spoza Unii Europejskiej) nie oddzwaniajmy, jeśli się ich nie spodziewamy. Profilaktycznie warto sprawdzić dany numer w internecie – być może ktoś już przestrzegał przed tym numerem. Uczmy się na błędach innych – nie naszych. Czytajmy również wszystko, co podpisujemy – w wirtualnym świecie jest to tak samo ważne, jak w realnym. Jeśli nie jesteśmy pewni co do uczciwości danego źródła, nigdy nie podawajmy naszych danych, e-maili i szczególnie numerów telefonów, o kartach kredytowych nie wspominając.
Jak zawsze podstawą ochrony i zapobiegania zagrożeniom jest myślenie, wyczulona uwaga i skuteczne środki ochronne – w cyberprzestrzeni to dobrej klasy rozwiązania do ochrony urządzeń mobilnych, choćby takie jak Trend Micro Mobile Security czy Pakiet domowy do ochrony komputerów i urządzeń mobilnych Trend Micro Maximum Security.
* Zgodnie z polskim prawem każdy organizator konkursów, loterii czy ankiet ma obowiązek usunięcia numeru telefonu ze swojej bazy, jeśli tylko właściciel numeru wyrazi takie żądanie.
Najprościej można to zrobić w sieci Play. Wystarczy wysłać sms o treści „STOP” pod numer 6000, aby zrezygnować ze wszystkich prenumerat i subskrypcji na telefonie. Jeśli nie jesteśmy pewni, czy mamy zaprenumerowaną płatną subskrypcję, wystarczy wysłać sms o treści „LISTA” pod numer 6000. Dodatkowo Play oferuje swoim abonentom możliwość zablokowania odbierania smsów premium. Aby nie otrzymywać uciążliwych informacji, wystarczy wysłać wiadomość o treści „STOP” pod numer 252.
Podobną sytuację mają abonenci sieci Plus. Klienci tej sieci mogą na kilka sposobów ograniczyć lub pozbyć się niechcianych wiadomości. Wysyłając sms o treści „LIMIT SMS 0” pod numer 2601.
Aby zablokować płatne subskrypcje w T-mobile należy skontaktować się z Biurem Obsługi Klienta – telefonicznie lub przez Internet.
W Orange aby zaprzestać subskrypcji niechcianych wiadomości, musimy określić konkretne numery w specjalnej zakładce na stronie internetowej operatora. Listę aktywnych płatnych usług i numerów można uzyskać wpisując „LISTA” w treść sms i wysłać pod numer 6000.
Autor: Bartłomiej Wodziński, Regional Account Manager, Trend Micro