SMS z nieznanego numeru: jak rozpoznać podejrzane linki?

Wyłudzenia oparte o SMS, choć wydają się zgranym tematem, wciąż występują masowo i wydają się być przynajmniej częściowo skuteczne. Mówi się, że ochronę przed nimi zapewnia "ostrożność". To prawda, ale ostrożności można nieco pomóc. Jaki rozpoznać złośliwy link?

Wbrew opinii niektórych, aby nabrać się na oszustwa SMS wcale nie trzeba być nieodpowiedzialnym i nieobeznanym technicznie. Wystarczy bardziej zajęty dzień, duża liczba innych powiadomień, a nawet… brak okularów, by uznać złośliwy link za kolejne, zwyczajne powiadomienie z aplikacji. Istnieje kilka głównych sposobów ochrony przed oszustwami. Jednym z bardziej skutecznych będzie korzystanie z powiadomień bezpośrednio w aplikacji lub głównej stronie usługodawcy (OLX, Allegro, Netflix, kurier itp.). Wtedy możemy całkowicie zignorować SMS-y.

Gdy jednak musimy na nich polegać i zachodzi konieczność weryfikacji, czy link jest prawdziwy, mamy większy problem. Wcale nie jest bowiem tak, że złośliwe linki prowadzą bezpośrednio do szemranych serwerów w Gwinei Równikowej. Zamiast tego, korzystają one z usług skracania linków. Robią tak, niestety, zarówno oszuści, jak i prawdziwi usługodawcy. SMS-y są wszak krótkie (stąd pierwsze "S" w nazwie…).

Czy sytuacja, a której musimy "odkręcać" niepewny, skrócony link, będzie się zdarzać często? Nie powinna. Stosowanie powiadomień bezpośrednich, zamiast polegania na SMS-ach (i mailach…) znacząco zmniejszy liczbę sytuacji, w których zachodzi taka potrzeba. Jednak co zrobić, gdy nie ma wyboru? Cóż, nie klikać. Zamiast tego - może warto "odkręcić" skrócony link. Jak to zrobić?

Dalsza część artykułu pod materiałem wideo

Zaskakująco mało serwisów skracających linki świadczy (łatwo dostępne) usługi odwrotne, które pozwoliłyby na podstawie skróconego przez nich linka wyświetlić adres, pod który prowadzi. Takie zachowanie ma sens, gdy weźmiemy pod uwagę, do czego wykorzystywane są skracacze linków: jednym z głównych "legalnych" zastosowań jest skracanie adresów, których długość wynika z tego, że są bardzo osobiste, unikatowe.

Odpytywanie np. TinyURL o adres mogłoby stanowić zagrożenie dla prywatności - na podstawie URL można dużo wywnioskować, zwłaszcza gdy komunikacja przebiega żądaniem przez adres, a nie payload (POST).

Możemy próbować rozwijać adresy samodzielnie, wykorzystując w tym celu program curl, z parametrami "head" i "follow-redirects", jak sugeruje hakerdefo, autor mini-skryptu do "od-skracania" linków. Ale kto ma na to czas? I kto ma zawsze dostępnego pod ręką curla, zwłaszcza w telefonie?

Istnieją jednak serwisy, które świadczą właśnie taką usługę demaskowania linków - należy do nich na przykład Unshorten It!, który pozwala wyświetlić adres, do którego prowadzi dany URL i wstrzymać komunikację po otrzymaniu przekierowania. W rezultacie - teoretycznie - nie tylko nie przechodzimy na potencjalnie złośliwą stronę, ale i adres docelowy nie rejestruje "kliknięcia".

Dlaczego to ma znaczenie? Jeżeli skróconym adresem jest link "kliknij tutaj aby anulować zamówienie", przydałoby się, by mechanizm rozwijania linku nie nawiązywał przy okazji połączenia z rzeczywistym serwerem docelowym. To jeden z kilku problemów z weryfikacją krótkich linków. Odkręcając osobisty link na zewnętrznej stronie, polegamy na dodatkowej usłudze, której musimy zaufać. A szczególnie uparci przestępcy mogą oszukać i Unshorten It!, stosując... wielokrotne przekierowania.

Dlatego, naszą "ściągą" w postępowaniu z linkami, powinien być następujący przepis:

• sprawdzać powiadomienia bezpośrednio w aplikacjach i na stronach usługodawców, ignorując linki z SMS-ów
• zweryfikować detale w wiadomości: im bardziej ogólna, tym mniej godna zaufania. Nie oznacza to jednak, że informacje szczegółowe są z automatu wiarygodne
• sprawdzić, czy link znajduje się na czarnej liście CERT
• jeżeli absolutnie musimy kliknąć w link ale wygląda on dziwnie, sprawdzić go: skopiować go i wkleić, w trybie Incognito, do narzędzia typu Unshorten It lub Unshorten Me. Miejmy jednak na uwadze fakt, że jeżeli o to zadbamy, niemal nigdy nie będzie takiej potrzeby.

Bezpośrednie otwieranie złośliwych linków poprzez tryb incognito nie stanowi wcale "bezpiecznego" rozwiązania. Link może prowadzić do strony wykorzystującej nowe dziury w przeglądarkach, omijającej blokady pop-up i serwującej inne, nieznane zagrożenia. Tryb incognito nie stanowi tu ochrony: zamiast tego należy raczej, ze stosowną uwagą, wykorzystywać maszyny wirtualne lub Piaskownicę Windows (Sandbox).

Najkrótsza odpowiedź na pytanie "jak rozpoznać złośliwe SMS-y?" brzmi zatem "Nie rozpoznawać - uznać wszystkie za złośliwe, a powiadomienia sprawdzać inaczej, u źródła". Choć brzmi to nieco paranoidalnie, w praktyce jest to stara dobra rada, która sprawdza się także w kwestiach "pozacyfrowych".