W sezonie świątecznym widać nasilenie działań phishingowych, w których narzędziem dostarczania manipulacyjnych wiadomości jest telefon. Taka wersja phishingu jest czasami określana jako „vishing”, a oszustwa związane z wiadomościami tekstowymi nazywane są – od skrótu SMS – „smishingiem”.

Próby mobilnego phishingu zazwyczaj podejmowane są wobec klientów sklepów internetowych. Zakupów za pomocą smartfona dokonuje obecnie więcej użytkowników niż kiedykolwiek. Chociaż urządzenia te mogą wydawać się mniej podatne na zagrożenia, w rzeczywistości tak nie jest. Eksperci z firmy Fortinet przypominają, że klienci sklepów mogą otrzymywać fałszywe wiadomości tekstowe, których treść została spreparowana tak, aby wyglądały, jakby pochodziły od znanych im marek. Zazwyczaj zawierają link, który po kliknięciu przekierowuje na fałszywą witrynę internetową – wygląda ona jak prawdziwa strona sprzedawcy, ale ma na celu wyłudzenie poufnych informacji finansowych albo umożliwiających identyfikację użytkownika i zalogowanie się do serwisu. Ze względu na niewystarczające zabezpieczenia działanie tego typu złośliwych aplikacji możliwe jest szczególnie na urządzeniach z systemem Android.

Narzędziem przestępców stosujących vishing jest rozmowa telefoniczna, prowadzona z wykorzystaniem sztuczek socjotechnicznych w taki sposób, aby uzyskać poufne informacje osobiste. Zazwyczaj oszust stara się wywołać u odbiorcy emocje za pomocą pilnej informacji dotyczącej ostatniego zamówienia, aby nakłonić go do podania takich informacji jak dane logowania umożliwiające dostęp do sklepu lub konta bankowego. Paradoksalnie, w celu przeprowadzenia tych ataków przestępcy często wykorzystują wrodzony strach przed oszustwami i cyberatakami.

Przykładowa wiadomość na poczcie głosowej może brzmieć: „Pilne! Twoje konto bankowe zostało zablokowane z powodu podejrzanej aktywności. Zadzwoń do nas natychmiast, aby przywrócić dostęp.” Następnie, gdy ofiara oddzwania, jest proszona o podanie poufnych informacji, które są potem wykorzystywane przez oszustów.

Aby nie stać się ofiarą vishingu lub smishingu, należy przed podaniem jakichkolwiek informacji potwierdzić, że numer telefonu, z którego otrzymano połączenie lub wiadomość tekstową, rzeczywiście należy do danej firmy. Trzeba pamiętać, że banki nigdy nie kontaktują się z klientami w celu pobrania od nich poufnych informacji. Dlatego w jakiejkolwiek podejrzanej sytuacji najlepiej jest samemu zadzwonić do banku i zapytać o otrzymaną wiadomość. Przedstawiciele instytucji będą w stanie powiedzieć, czy to one była nadawcą, a jeśli nie, zgłoszą incydent odpowiednim służbom.

Podsumowując: jak wskazują specjaliści z Fortinet, nigdy nie należy ślepo ufać wiadomościom e-mail, SMS-om czy telefonom, a zwłaszcza tym, które pochodzą z nieznanych numerów lub źródeł. Należy kierować się zdrowym rozsądkiem, być wyczulonym na podejrzane sygnały, a także regularnie aktualizować dane logowania – zmieniać hasła lub korzystać z menedżerów haseł.