Analitycy Unit 42 z Palo Alto Networks ostrzegają przed nową falą zmasowanych i wyjątkowo realistycznych ataków smishingowych, które jednocześnie uderzają w użytkowników na całym świecie. Fałszywe wiadomości są niebezpieczne, bo wyglądają jak standardowe powiadomienia od firm kurierskich czy serwisów płatniczych. Prowadzą jednak do stron służących do wyłudzenia danych lub instalacji złośliwego oprogramowania na smartfonie. Wyrafinowany charakter kampanii sprawia, że użytkownicy – niezależnie od kraju – otrzymują SMS-y łudząco podobne do lokalnych komunikatów, którym na co dzień ufają.
Jak wskazuje zespół badawczy Unit 42, za kampanią stoi grupa określana jako Smishing Triad – jedno z najaktywniejszych ugrupowań wyspecjalizowanych w phishingu SMS na świecie. Badacze podkreślają, że tak szeroko zakrojona operacja nie jest zbiorem pojedynczych incydentów, lecz zorganizowaną aktywnością opartą na zmiennej infrastrukturze sieciowej, która umożliwia szybkie zastępowanie zablokowanych domen nowymi. Tylko od początku 2024 r. grupa zarejestrowała ponad 194 tys. domen wykorzystywanych do tworzenia fałszywych stron. W praktyce oznacza to, że gdy jeden element zostaje zidentyfikowany i zablokowany, natychmiast pojawiają się kolejne.
Taka elastyczność sprawia, że reagowanie w czasie rzeczywistym jest dla operatorów i służb cyberbezpieczeństwa wyjątkowo trudne. Analizy Unit 42 wskazują, że za tą dynamiką stoi model phishing-as-a-service, który pozwala przestępcom działać jak profesjonalny ekosystem – od generowania treści, po udostępnianie infrastruktury kolejnym grupom. Ponadto infrastruktura grupy Smishing Triad jest rozproszona geograficznie. Choć warstwa rejestracyjna wskazuje na Hongkong i Chiny, to kluczowe elementy kampanii funkcjonują na amerykańskich platformach chmurowych.
W ramach kampanii grupa podszywa się pod dziesiątki instytucji, od niemieckich i malezyjskich banków, przez służby w Zjednoczonych Emiratach Arabskich, po operatorów pocztowych w Kanadzie, Francji czy Australii. Skala i tempo ataków sprawiają, że smishing staje się jednym z najtrudniejszych do powstrzymania wektorów oszustw, a mieszkańcy Europy – w tym Polacy – znajdują się w grupie podwyższonego ryzyka. Według raportu ENISA phishing, obejmujący również smishing, odpowiada już za blisko 60% incydentów początkowego dostępu w UE. Polskie statystyki dodatkowo ilustrują skalę zjawiska. Tylko od stycznia do września 2025 r. użytkownicy zgłosili ponad 236 tys. podejrzanych SMS-ów, a w 2024 r. CERT Polska zablokował ponad 1 mln fałszywych wiadomości.
- Obserwujemy bardzo niebezpieczny etap ewolucji smishingu. To już nie są przypadkowe wiadomości, ale zautomatyzowane operacje oparte na infrastrukturze, która zmienia się niemal w czasie rzeczywistym. Pojedyncze domeny działają tylko przez kilka godzin, po czym natychmiast zastępowane są kolejnymi, co znacząco utrudnia ich zablokowanie. Polska i inne kraje Europy znajdują się dziś w centrum zainteresowania cyberprzestępców, bo smartfon stał się podstawowym narzędziem do potwierdzania tożsamości, płatności i codziennego zarządzania usługami – a to czyni ataki SMS-owe wyjątkowo skutecznymi – komentuje Tomasz Pietrzyk, starszy manager ds. rozwiązań technologicznych Palo Alto Networks w Europie Środkowo-Wschodniej.
Eksperci podkreślają, że wielu użytkowników wciąż traktuje SMS-y jako bardziej „zaufany” kanał komunikacji niż e-mail. Przestępcy doskonale to wykorzystują – przesyłają krótkie, emocjonalne komunikaty dotyczące rzekomej niedopłaty, błędu w dostawie lub konieczności potwierdzenia przesyłki. Po kliknięciu linku ofiara trafia na stronę, która jedynie imituje znane usługi, a w rzeczywistości przekazuje jej dane do paneli przestępczych. Coraz częściej równolegle pobierane jest fałszywe oprogramowanie, pozwalające atakującym przejąć wiadomości SMS, a nawet autoryzacje płatności.
- Z naszych analiz wynika, że ta kampania może potrwać jeszcze wiele tygodni i objąć kolejne regiony. Przestępcy korzystają z infrastruktury, która rotuje tak szybko, że pełne zablokowanie ich działań jest w praktyce niezwykle trudne. Dlatego dziś kluczowe jest zachowanie ostrożności. Każdą wiadomość należy weryfikować wyłącznie w oficjalnych aplikacjach usługodawców i nigdy nie klikać w linki przesłane SMS-em, zwłaszcza jeśli komunikat wywołuje presję czasu – podkreśla Tomasz Pietrzyk.
O firmie Palo Alto Networks
Jako światowy lider w dziedzinie sztucznej inteligencji i cyberbezpieczeństwa, firma Palo Alto Networks (NASDAQ: PANW) jest zaangażowana w ochronę naszego cyfrowego stylu życia poprzez ciągłe innowacje. Ciesząc się zaufaniem ponad 70 000 organizacji na całym świecie, dostarczamy kompleksowe rozwiązania bezpieczeństwa oparte na sztucznej inteligencji, obejmujące sieci, chmurę, operacje bezpieczeństwa i sztuczną inteligencję, wzbogacone o wiedzę specjalistyczną i informacje o zagrożeniach Unit 42. Skupiamy się na platformizacji, co pozwala przedsiębiorstwom usprawnić bezpieczeństwo na dużą skalę, zapewniając ochronę sprzyjającą innowacjom. Więcej informacji można znaleźć na stronie www.paloaltonetworks.com.
Palo Alto Networks, logo Palo Alto Networks, Cortex, Cortex Cloud i Unit 42 są znakami towarowymi firmy Palo Alto Networks, Inc. w Stanach Zjednoczonych lub w niektórych jurysdykcjach na całym świecie. Wszystkie inne znaki towarowe, nazwy handlowe lub znaki usługowe użyte lub wymienione w niniejszym dokumencie należą do ich odpowiednich właścicieli. Wszelkie nieudostępnione usługi lub funkcje (oraz wszelkie usługi lub funkcje, które nie są ogólnie dostępne dla klientów) wymienione w niniejszym komunikacie prasowym lub innych komunikatach prasowych lub oświadczeniach publicznych nie są obecnie dostępne (lub nie są jeszcze ogólnie dostępne dla klientów) i mogą nie zostać dostarczone w oczekiwanym terminie lub w ogóle. Klienci, którzy kupują aplikacje Palo Alto Networks, powinni podejmować decyzje zakupowe w oparciu o usługi i funkcje obecnie ogólnie dostępne.