Smishing wychodzi poza SMS. Chińskojęzyczne PhaaS skalują kradzież danych

2026-04-28

TL;DR

Smishing nie jest już tylko SMS-em o paczce, dopłacie albo mandacie. Coraz częściej działa jako część większego ekosystemu phishing-as-a-service, czyli phishingu sprzedawanego jako usługa. Są gotowe panele, zestawy phishingowe, domeny, wysyłka, obsługa techniczna, walidacja numerów i ludzie, którzy zajmują się późniejszą monetyzacją skradzionych danych.

Najważniejszy wniosek dla firm jest prosty: obrona przed phishingiem nie może kończyć się na e-mailu. Atak coraz częściej przychodzi przez telefon, komunikator i aplikację wiadomości, a użytkownik widzi tylko krótki komunikat z linkiem.

O co chodzi w tym wątku

Według materiału CyberPress, indeksowanego przez IT Security News, chińskojęzyczne platformy phishing-as-a-service stają się jednym z ważnych motorów globalnego smishingu.

PhaaS, czyli phishing-as-a-service, działa podobnie jak wiele innych przestępczych usług. Ktoś przygotowuje narzędzia, panele i infrastrukturę, a ktoś inny korzysta z nich do prowadzenia kampanii. Dzięki temu próg wejścia jest niższy. Atakujący nie musi samodzielnie pisać strony phishingowej, budować panelu do zbierania danych, kupować domen i składać procesu od zera. Może skorzystać z gotowego zaplecza.

Unit 42 opisuje podobny obraz przy kampaniach Smishing Triad. Przynęty podszywają się pod usługi, które użytkownicy znają z codziennego życia: banki, pocztę, firmy kurierskie, opłaty drogowe, serwisy społecznościowe, e-commerce, gry online i giełdy kryptowalut. To nie są egzotyczne preteksty. To sprawy, które naprawdę pojawiają się na telefonie przeciętnego użytkownika.

Co oznacza, że smishing wychodzi poza SMS

SMS przez lata był najprostszym kanałem do takich ataków. Wiadomość jest krótka, trafia prosto na telefon i często pojawia się w kontekście codziennych spraw. Problem dla przestępców polega na tym, że operatorzy, dostawcy zabezpieczeń i regulatorzy coraz mocniej inwestują w filtrowanie klasycznego SMS fraudu.

To nie oznacza końca smishingu. Oznacza zmianę kanału.

Coraz większą rolę odgrywają iMessage, RCS, WhatsApp, Telegram i inne komunikatory. RCS, czyli Rich Communication Services, to nowszy standard wiadomości na telefonach, często traktowany jako rozbudowany następca SMS. Pozwala na bogatszą komunikację niż klasyczny SMS, ale dla atakujących jest po prostu kolejną drogą dotarcia do użytkownika.

Z kolei kanały OTT, czyli over-the-top, to komunikatory działające ponad klasyczną usługą SMS operatora. Dla użytkownika to zwykła wiadomość w aplikacji. Dla operatora sieci komórkowej to już kanał, w którym ma mniejszą widoczność niż przy tradycyjnym SMS. Constella zwraca uwagę, że spadek strat z klasycznego SMS fraudu może być mylący, bo infrastruktura przestępcza nie znika. Przenosi się do innych kanałów.

To bardzo ważne dla awareness. Użytkownik może już kojarzyć, że SMS od kuriera albo banku bywa podejrzany. Ale wiadomość w iMessage, RCS albo komunikatorze często wygląda bardziej naturalnie. I właśnie ten efekt zaufania wykorzystują atakujący.

Przemysłowy model zamiast pojedynczego oszusta

Najważniejsza zmiana polega na tym, że smishing coraz częściej działa jak przemysł. W tym modelu jedna osoba nie musi robić wszystkiego. Jedni sprzedają zestawy phishingowe. Inni utrzymują domeny. Kolejni odpowiadają za wysyłkę, hosting, walidację numerów, omijanie filtrów, obsługę paneli i monetyzację danych.

Phishing kit to gotowy zestaw do zbudowania fałszywej strony i zbierania danych. Panel administracyjny pokazuje przestępcom, kto wszedł na stronę, jakie dane podał i co można zrobić dalej. Przy dużej skali nie jest to już ręczna zabawa pojedynczego oszusta. To proces.

Unit 42 opisuje globalną kampanię Smishing Triad jako rozbudowany ekosystem obejmujący wiele rodzajów podszycia, domen i infrastrukturę wykorzystywaną w różnych krajach. Taki model przypomina to, co wcześniej widzieliśmy przy ransomware-as-a-service i phishing-as-a-service w poczcie.

Dobrze łączy się to z naszym wcześniejszym materiałem Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa. Smishing jest dziś jednym z najbardziej widocznych przykładów tej samej logiki.

Jak działa taki smishing krok po kroku

Dla badaczy widać infrastrukturę, domeny, panele, kit, kanały wysyłki i monetyzację. Dla ofiary wszystko wygląda znacznie prościej.

Najpierw użytkownik dostaje krótką wiadomość. Może dotyczyć paczki, niedopłaty, mandatu, banku, podatku, biletu, opłaty drogowej, konta albo podejrzanej transakcji. Wiadomość trafia przez SMS, iMessage, RCS albo komunikator.

Potem pojawia się link. Czasem prowadzi do domeny, która działa krótko. Czasem do strony, która udaje bank, firmę kurierską, operatora płatności, urząd, pocztę albo platformę e-commerce. Na telefonie trudniej dokładnie ocenić adres, a użytkownik często działa szybko.

Następnie fałszywa strona prosi o dane. Może chodzić o login, numer karty, imię i nazwisko, adres, PESEL, numer telefonu albo kod jednorazowy z banku. Ten kod bywa najważniejszym elementem całego procesu.

Na końcu zaczyna się monetyzacja. Dane mogą zostać użyte do przejęcia konta, kradzieży pieniędzy, dodania karty do portfela mobilnego albo dalszych prób podszycia się pod ofiarę.

Od wiadomości do portfela mobilnego

Najbardziej niebezpieczny wariant dotyczy kart płatniczych i portfeli mobilnych. KrebsOnSecurity dobrze pokazał ten mechanizm na przykładzie Smishing Triad.

Ofiara wchodzi na fałszywą stronę, podaje dane karty, a potem widzi prośbę o kod jednorazowy z banku. Użytkownik myśli, że potwierdza drobną płatność, opłatę za paczkę albo weryfikację. W rzeczywistości przestępcy próbują dodać tę kartę do portfela mobilnego na urządzeniu, które kontrolują.

Digital wallet fraud oznacza właśnie takie nadużycie portfela mobilnego, na przykład Apple Pay albo Google Wallet. Chodzi o to, aby skradziona karta została tokenizowana, czyli zastąpiona specjalnym cyfrowym tokenem płatniczym przypisanym do urządzenia. Dla banku i systemu płatniczego wygląda to inaczej niż zwykłe wpisanie numeru karty w sklepie internetowym.

Jeśli ofiara poda kod jednorazowy, może nieświadomie zatwierdzić dodanie swojej karty do telefonu przestępcy. Od tego momentu kradzież danych przestaje być abstrakcyjna. Może przejść w realne transakcje.

Dlaczego digital wallet fraud jest tak groźny

SecAlliance opisuje tę ewolucję jako zmianę jakościową. Według ich analizy chińskojęzyczne syndykaty smishingowe łączą SMS, RCS, iMessage, zaawansowaną infrastrukturę phishingową, techniki obejścia MFA i nadużycie tokenizacji portfeli mobilnych.

W badaniu pojawia się szacunek, że operacje te mogły skompromitować od 12,7 mln do 115 mln kart płatniczych w Stanach Zjednoczonych między lipcem 2023 a październikiem 2024. To bardzo szeroki zakres, więc warto traktować go jako szacunek skali, a nie precyzyjną liczbę potwierdzonych ofiar. Sam kierunek jest jednak jasny: smishing przestał być tylko sposobem na zbieranie danych. Stał się elementem szybkiej monetyzacji.

Kluczowy jest kod jednorazowy. Ofiara dostaje go z banku i myśli, że potwierdza drobną operację. W rzeczywistości może potwierdzać dodanie karty do urządzenia atakującego.

To dobry przykład, jak mały komunikat na telefonie może prowadzić do pełnego fraudu finansowego.

Dlaczego firmy też powinny się tym interesować

Na pierwszy rzut oka smishing wygląda jak problem konsumencki. Paczki, opłaty drogowe, banki i karty płatnicze kojarzą się z prywatnym życiem użytkownika. To złudzenie.

Te same techniki mogą uderzyć w pracowników, klientów, partnerów i procesy firmowe. Pracownik może używać telefonu służbowego albo prywatnego w pracy. Może dostać wiadomość podszywającą się pod bank, kuriera, HR, ZUS, operatora, Microsoft, Google albo firmowy helpdesk. Może kliknąć poza firmową ochroną poczty, na urządzeniu, którego zespół security nie widzi tak dobrze jak laptopa.

Jeśli poda dane, kod, kartę albo login, incydent może szybko wyjść poza prywatny kontekst.

Ten problem dobrze łączy się z naszymi wcześniejszymi materiałami Fałszywy SMS od kuriera DPD. CERT Polska ostrzega przed kampanią podszywającą się pod firmę kurierską, Fałszywy SMS od ZUS. CERT Polska ostrzega przed wyłudzeniem PESEL i danych karty oraz Farmy SIM stojące za scam SMS-ami. Jak działa infrastruktura masowych oszustw. Wszystkie pokazują ten sam trend: telefon stał się pełnoprawną powierzchnią ataku.

Dlaczego kanał mobilny jest tak skuteczny

Telefon jest urządzeniem szybkiej reakcji. Wiadomość pojawia się na ekranie, użytkownik ma chwilę, by zdecydować, a wiele osób klika bez pełnej analizy. Na małym ekranie trudniej sprawdzić pełny adres URL. Trudniej porównać domenę. Trudniej ocenić, czy strona jest fałszywa.

Do tego dochodzi presja. Paczka zostanie zwrócona. Konto zostanie zablokowane. Trzeba dopłacić. Trzeba potwierdzić. Trzeba działać teraz.

W komunikatorach pojawia się jeszcze jeden element: poczucie zaufania do kanału. iMessage, RCS, WhatsApp albo Telegram są odbierane jako bardziej osobiste niż e-mail. To nie znaczy, że są automatycznie bezpieczne. Oznacza tylko, że użytkownik może być mniej podejrzliwy.

Dlatego awareness musi obejmować nie tylko pocztę. Jeżeli pracownik umie rozpoznać fałszywy e-mail, ale bezrefleksyjnie klika w link z wiadomości na telefonie, organizacja nadal ma lukę.

Co powinno zapalić lampkę ostrzegawczą

Pierwszy sygnał to wiadomość, która próbuje przenieść użytkownika do działania poza oficjalną aplikacją. Jeśli bank, kurier, urząd albo platforma płatnicza każe wejść w link z wiadomości, lepiej przerwać i wejść samodzielnie do aplikacji albo na oficjalną stronę.

Drugi sygnał to prośba o dane karty, kod jednorazowy, PESEL, login albo hasło po wejściu z linku. Takie dane nie powinny być podawane dlatego, że przyszła wiadomość o pilnej sprawie.

Trzeci sygnał to drobna kwota. W wielu kampaniach niewielka dopłata działa lepiej niż duże żądanie, bo użytkownik nie widzi powodu, aby długo analizować kilka złotych czy kilka dolarów. W praktyce ta mała kwota bywa tylko pretekstem do przejęcia karty albo kodu.

Czwarty sygnał to dziwna domena, ale na telefonie nie zawsze łatwo ją ocenić. Dlatego lepsza zasada brzmi: nie oceniaj domeny pod presją. Nie używaj linku z wiadomości. Wejdź do sprawy własną ścieżką.

Co firmy powinny zrobić praktycznie

Po pierwsze, trzeba dopisać smishing i komunikatory do programu awareness. Szkolenie o phishingu, które dotyczy tylko e-maila, jest dziś niepełne. Pracownicy powinni ćwiczyć scenariusze SMS, iMessage, RCS, WhatsApp, Telegram, QR i vishing.

Po drugie, warto jasno ustalić zasady: firma nie prosi o hasła, kody MFA, dane karty ani instalację aplikacji przez SMS lub komunikator. Helpdesk nie powinien prowadzić resetu hasła ani zmiany MFA w sposób, który można łatwo podrobić.

Po trzecie, tam gdzie to możliwe, trzeba ograniczać zależność od SMS OTP. OTP, czyli one-time password, to kod jednorazowy. Jest wygodny, ale w kanałach mobilnych łatwo go wyłudzić. Przy kontach firmowych i wysokiego ryzyka lepiej stosować phishing-resistant MFA, passkeys albo klucze sprzętowe.

Po czwarte, firmy powinny mieć prosty kanał zgłaszania podejrzanych wiadomości mobilnych. Użytkownik musi wiedzieć, co zrobić z SMS-em albo wiadomością w komunikatorze, a nie tylko z podejrzanym mailem.

Po piąte, organizacje, których marka może być podszywana w kampaniach mobilnych, powinny monitorować domeny podobne do własnych, fałszywe strony i zgłoszenia klientów. Smishing uderza nie tylko w ofiary, ale też w zaufanie do marki.

Telefon stał się pełnoprawną powierzchnią ataku

Chińskojęzyczne platformy PhaaS pokazują, że smishing wszedł w etap przemysłowy. To już nie jest pojedyncza wiadomość o paczce wysłana z przypadkowego numeru. To ekosystem narzędzi, domen, paneli, kanałów mobilnych i metod monetyzacji, który potrafi działać globalnie i szybko zmieniać kanały.

Dla użytkownika nadal wygląda to prosto: krótka wiadomość, link i pilna sprawa. Dla organizacji powinno to oznaczać dużo poważniejszy wniosek. Obrona przed phishingiem musi obejmować telefon, komunikatory, MFA, kody jednorazowe, portfele mobilne i procesy obsługi użytkownika.

Jeżeli firma nadal traktuje smishing jako poboczny problem konsumencki, może przegapić moment, w którym kanał mobilny stanie się realnym wejściem do kradzieży danych, konta albo pieniędzy.

Jeżeli chcesz sprawdzić, czy użytkownicy wychwycą taki scenariusz zanim klikną w link z telefonu, dobrym początkiem jest quiz phishingowy PHISHLY.