Próby wyłudzeń bazujące na różnych taktykach socjotechnicznych wcale nie muszą być skomplikowane, by były skuteczne. Wręcz przeciwnie – często te najprostsze mogą dawać najlepsze rezultaty.

Często pisząc o zagrożeniach piszemy o podszywaniu się pod banki, wielopoziomowych taktykach, podstawianiu stron, etc. Natomiast skuteczny phishing wcale nie musi polegać na podawaniu się za instytucję zaufania publicznego. Często wystarczy samo wzbudzenie zaufania, sprawienie, że odbiorca wierzy w treść wiadomości. Szczególnie że nie wszystkie są testem dla naszej naiwności (jak wiadomości sprawiające na te wystawiane przez bank napisane łamaną polszczyzną).

Kluczem do sukcesu jest wyłączenie ofiar z jakichkolwiek aktywności związanych z cyberprzestępstwem. Akt logowania się na stronie banku to świadome działanie, które sprawia, że sam moment dokonania ataku jest łatwy do namierzenia. W związku z tym odpowiedzialni za podobne wyłudzenia opracowali nowy system, który – sądząc po doniesieniach medialnych – jest coraz popularniejszy.

Jak wspomniano wcześniej, większość procederu odbywa się bez żadnej interakcji z ofiarą. Punktem zapalnym jest pozyskanie jej danych osobowych, naturalnie im więcej – tym lepiej. Do omawianego ataku niezbędny jest numer telefonu komórkowego. Często mogą go wymagać firmy pożyczkowe lub banki, ale też płatne serwisy, które wzbogacają się na wiadomości SMS wartej kilkadziesiąt złotych. Po podaniu numeru telefonu delikwenta, kolejnym krokiem jest wysłanie na jego numer kodu SMS oraz jeszcze jednej wiadomości, nakłaniającej do odesłania kodu na wskazany numer. Naturalnie należy odwrócić uwagę od samego kodu czy rejestracji gdziekolwiek – ofiarę należy przekonać, że numer otrzymała przypadkiem, wskutek pomyłki lub wpisania złego numeru telefonu, a prośba dotyczy odesłania treści wiadomości. Oczywiście, jeśli się na to zgodzimy – wysyłamy SMS na płatny numer, skutkujący w sukcesie cyberprzestępcy.

Warto pamiętać, że 20zł za SMS może być najniższym wymiarem kary. Przestępcy mogli wejść w posiadanie naszego konta bankowości internetowej lub kantoru online. Odesłanie wiadomości, biorąc pod uwagę czarny scenariusz, może skutkować potwierdzeniem przelewu wychodzącego. Do wszelkich podejrzanych wiadomości z nieznanych numerów należy zatem podchodzić odpowiednio krytycznie, gdyż każdy naiwność z naszej strony może wiązać się z wysokimi stratami.