Oszuści za pośrednictwem wiadomości SMS dystrybuują linki do "fałszywych" stron internetowych, na których użytkownik może zostać poproszony o podanie danych lub pobranie "złośliwego" oprogramowania. Aby jak najbardziej uwiarygodnić swoje działania podszywają się pod banki lub instytucje, informując o pojawieniu się nagłych problemów, np. technicznych, lub konieczności szybkiej reakcji. Często podszywają się także pod firmy kurierskie.

[Krok 1] Oszustwo rozpoczyna się od przesłania przez cyberoszustów wiadomości SMS z linkiem. W celu uwiarygodnienia swoich działań podszywają się pod banki, firmy kurierskie, portale sprzedażowe, serwisy rozrywkowe czy instytucje rządowe. W treści wiadomości najczęściej informują użytkowników o konieczności potwierdzenia płatności, dopłaty do przesyłki lub zaktualizowania swoich danych. 

Przykład wiadomości SMS w której cyberoszuści podszywali się pod firmę kurierską DHL

[Krok 2] Po kliknięciu w link znajdujący się w wiadomości SMS następuje przekierowanie na niebezpieczną stronę, na której oszuści mogą wymagać:

• wprowadzenia danych uwierzytelniających do bankowości elektronicznej, 

Przykład strony internetowej stworzonej przez oszustów na której wyłudzają poświadczenia logowania do bankowości elektronicznej użytkowników

• wprowadzenia danych karty płatniczej, 

Przykład strony internetowej stworzonej przez oszustów do wyłudzania danych kart płatniczych, na której podszywają się pod firmę DPD 

• pobrania "złośliwej" aplikacji.

Pobranie "złośliwego" oprogramowania skutkuje zainfekowaniem telefonu. "Złośliwe" aplikacje bardzo często żądają od użytkownika nadania uprawnień do funkcji „Dostępność/Ułatwienia dostępu”. Pozwala to cyberoszustom na przejęcie kontroli nad urządzeniem i samodzielne nadanie niebezpiecznych uprawnień.

Przykład strony do pobrania "złośliwej" aplikacji

[Krok 3] Jeżeli na stronie phishingowej wyłudzone zostały dane uwierzytelniające do bankowości elektronicznej lub/i dane karty płatniczej, to pieniądze wyprowadzone mogą zostać m.in. poprzez:

• przelew na rachunek "słupa",
• przelew na giełdę kryptowalut,  
• płatność kartą w Internecie,  
• wypłata BLIK w ATM,
• przelew na przekaz pieniężny Poczty Polskiej.

Kilka najważniejszych zasad, które pozwolą na uchronienie się przed utratą oszczędności:

• dokładnie weryfikuj otrzymywane wiadomości SMS. Zachowaj czujność w przypadku otrzymania wiadomości zawierających w swojej treści linki. Mogą one prowadzić do niebezpiecznych stron internetowych wyłudzających dane lub zawierających "złośliwe" oprogramowanie. 
• Zachowaj szczególną ostrożność w przypadku aplikacji usiłujących uzyskać uprawnienia do korzystania z tzw. ułatwień dostępu (ang. accessibility services).
• Korzystaj z 2FA (weryfikacji dwuskładnikowej np. za pomocą SMS) lub stosuj klucze U2F do weryfikacji Twojej tożsamości w serwisach internetowych.
• Zwróć szczególną uwagę na treści wiadomości SMS z kodem, które zawierają opis dokonywanych transakcji. Zawsze weryfikuj numer rachunku odbiorcy i kwotę zlecanej operacji. 
• Dokładnie sprawdzaj adres strony internetowej, na której się znajdujesz. Oszuści wykorzystują coraz nowsze techniki. Adres strony internetowej może zawierać drobne literówki lub znaki, które pochodzą z innych alfabetów.
• Dobrym sposobem jest samodzielne wpisywanie adresu strony internetowej, którą chcemy wyświetlić za pośrednictwem paska adresu. Dzięki temu będziemy mieć pewność, że strona na której znajdujemy się jest właściwa. 
• Inną, ale równie skuteczną praktyką jest dodanie adresu strony internetowej banku, w którym mamy rachunek, do zakładek, dzięki czemu zminimalizujemy ryzyko skorzystania ze strony internetowej stworzonej przez cyberoszustów.

Schemat oszustwa