SMS z nieznanego numeru: jak rozpoznać podejrzane linki?

SMS z nieznanego numeru: jak rozpoznać podejrzane linki?01.04.2023 09:18
Zdjęcie ilustracyjne
Źródło zdjęć: © Pixabay

Wyłudzenia oparte o SMS, choć wydają się zgranym tematem, wciąż występują masowo i wydają się być przynajmniej częściowo skuteczne. Mówi się, że ochronę przed nimi zapewnia "ostrożność". To prawda, ale ostrożności można nieco pomóc. Jaki rozpoznać złośliwy link?

Wbrew opinii niektórych, aby nabrać się na oszustwa SMS wcale nie trzeba być nieodpowiedzialnym i nieobeznanym technicznie. Wystarczy bardziej zajęty dzień, duża liczba innych powiadomień, a nawet… brak okularów, by uznać złośliwy link za kolejne, zwyczajne powiadomienie z aplikacji. Istnieje kilka głównych sposobów ochrony przed oszustwami. Jednym z bardziej skutecznych będzie korzystanie z powiadomień bezpośrednio w aplikacji lub głównej stronie usługodawcy (OLX, Allegro, Netflix, kurier itp.). Wtedy możemy całkowicie zignorować SMS-y.

Phishing w e-mailach. Pod kogo się podszywają i jak się chronić?

Coraz mniej oczywiste

Gdy jednak musimy na nich polegać i zachodzi konieczność weryfikacji, czy link jest prawdziwy, mamy większy problem. Wcale nie jest bowiem tak, że złośliwe linki prowadzą bezpośrednio do szemranych serwerów w Gwinei Równikowej. Zamiast tego, korzystają one z usług skracania linków. Robią tak, niestety, zarówno oszuści, jak i prawdziwi usługodawcy. SMS-y są wszak krótkie (stąd pierwsze "S" w nazwie…).

Czy taka forma promocji jest dobra? Uczy złych nawyków..., Źródło zdjęć: © Licencjodawca | Kamil Dudek
Czy taka forma promocji jest dobra? Uczy złych nawyków...
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Czy sytuacja, a której musimy "odkręcać" niepewny, skrócony link, będzie się zdarzać często? Nie powinna. Stosowanie powiadomień bezpośrednich, zamiast polegania na SMS-ach (i mailach…) znacząco zmniejszy liczbę sytuacji, w których zachodzi taka potrzeba. Jednak co zrobić, gdy nie ma wyboru? Cóż, nie klikać. Zamiast tego - może warto "odkręcić" skrócony link. Jak to zrobić?

Dalsza część artykułu pod materiałem wideo

Czy warto kupić mobilny monitor LG gram +view?

Za długie na SMS

Zaskakująco mało serwisów skracających linki świadczy (łatwo dostępne) usługi odwrotne, które pozwoliłyby na podstawie skróconego przez nich linka wyświetlić adres, pod który prowadzi. Takie zachowanie ma sens, gdy weźmiemy pod uwagę, do czego wykorzystywane są skracacze linków: jednym z głównych "legalnych" zastosowań jest skracanie adresów, których długość wynika z tego, że są bardzo osobiste, unikatowe.

Odpytywanie np. TinyURL o adres mogłoby stanowić zagrożenie dla prywatności - na podstawie URL można dużo wywnioskować, zwłaszcza gdy komunikacja przebiega żądaniem przez adres, a nie payload (POST).

Link prowadzi do sklepu, ale lepiej sprawdzić samodzielnie, Źródło zdjęć: © Licencjodawca | Kamil Dudek
Link prowadzi do sklepu, ale lepiej sprawdzić samodzielnie
Źródło zdjęć: © Licencjodawca | Kamil Dudek

Możemy próbować rozwijać adresy samodzielnie, wykorzystując w tym celu program curl, z parametrami "head" i "follow-redirects", jak sugeruje hakerdefo, autor mini-skryptu do "od-skracania" linków. Ale kto ma na to czas? I kto ma zawsze dostępnego pod ręką curla, zwłaszcza w telefonie?

Istnieją jednak serwisy, które świadczą właśnie taką usługę demaskowania linków - należy do nich na przykład Unshorten It!, który pozwala wyświetlić adres, do którego prowadzi dany URL i wstrzymać komunikację po otrzymaniu przekierowania. W rezultacie - teoretycznie - nie tylko nie przechodzimy na potencjalnie złośliwą stronę, ale i adres docelowy nie rejestruje "kliknięcia".

"Gratulujemy sprzedaży" - taki SMS to pułapka

To nie zawsze ma sens

Dlaczego to ma znaczenie? Jeżeli skróconym adresem jest link "kliknij tutaj aby anulować zamówienie", przydałoby się, by mechanizm rozwijania linku nie nawiązywał przy okazji połączenia z rzeczywistym serwerem docelowym. To jeden z kilku problemów z weryfikacją krótkich linków. Odkręcając osobisty link na zewnętrznej stronie, polegamy na dodatkowej usłudze, której musimy zaufać. A szczególnie uparci przestępcy mogą oszukać i Unshorten It!, stosując... wielokrotne przekierowania.

Dlatego, naszą "ściągą" w postępowaniu z linkami, powinien być następujący przepis:

  • sprawdzać powiadomienia bezpośrednio w aplikacjach i na stronach usługodawców, ignorując linki z SMS-ów
  • zweryfikować detale w wiadomości: im bardziej ogólna, tym mniej godna zaufania. Nie oznacza to jednak, że informacje szczegółowe są z automatu wiarygodne
  • sprawdzić, czy link znajduje się na czarnej liście CERT
  • jeżeli absolutnie musimy kliknąć w link ale wygląda on dziwnie, sprawdzić go: skopiować go i wkleić, w trybie Incognito, do narzędzia typu Unshorten It lub Unshorten Me. Miejmy jednak na uwadze fakt, że jeżeli o to zadbamy, niemal nigdy nie będzie takiej potrzeby.

A może po prostu kliknąć...?

Bezpośrednie otwieranie złośliwych linków poprzez tryb incognito nie stanowi wcale "bezpiecznego" rozwiązania. Link może prowadzić do strony wykorzystującej nowe dziury w przeglądarkach, omijającej blokady pop-up i serwującej inne, nieznane zagrożenia. Tryb incognito nie stanowi tu ochrony: zamiast tego należy raczej, ze stosowną uwagą, wykorzystywać maszyny wirtualne lub Piaskownicę Windows (Sandbox).

Najkrótsza odpowiedź na pytanie "jak rozpoznać złośliwe SMS-y?" brzmi zatem "Nie rozpoznawać - uznać wszystkie za złośliwe, a powiadomienia sprawdzać inaczej, u źródła". Choć brzmi to nieco paranoidalnie, w praktyce jest to stara dobra rada, która sprawdza się także w kwestiach "pozacyfrowych".

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na