Czym jest smishing i jaki może mieć wpływ na Ciebie? Smishing to połączenie SMS-ów i phishingu. Smishing, będący formą phishingu za pomocą wiadomości tekstowej, może być wykorzystywany przez cyberprzestępców w celu uzyskania danych finansowych lub zdalnego dostępu do komputera. Smishing działa poprzez wysłanie SMS-a lub wiadomości tekstowej, która wygląda na uzasadnioną, z prośbą o podanie danych osobowych, takich jak numer karty kredytowej.
"Cyberprzestępcy często przeprowadzają dziś ataki typu smishing, ponieważ wiadomości tekstowe są częściej obdarzane zaufaniem niż e-maile. Ta błędna wiara mogła przyczynić się do m.in. ponad 300% wzrostu w oszustwach typu smishing w ciągu ostatnich dwóch lat".
Czy znasz scenariusz, kiedy ktoś twierdzi, że wygrałeś na loterii? Albo prezent? Czy kiedykolwiek zastanawiałeś się, czy ten telefon był dokładny lub zgodny z regulaminem? Jeśli tak, to prawdopodobnie otrzymałeś smishing (SMS phishing). Dlatego właśnie musimy wiedzieć, czym jest smishing i jak uniknąć wpadnięcia w tę pułapkę.
Ostatnie ataki typu smishing
Oszustwa typu smishing stały się celem kilka irlandzkich banków detalicznych i ich klientów, zwłaszcza od lata 2020 r. i rozpoczęcia COVID-19.
Komunikaty smishingowe często straszą użytkownika stwierdzeniem, że musi on natychmiast zareagować, aby nie doświadczyć katastrofalnych skutków.
Twój bank może poinformować Cię za pomocą wiadomości tekstowej, na przykład, że Twoja karta bankowa, konto lub dostęp online zostały zawieszone lub zablokowane z powodu "dziwnej aktywności" lub oszustwa.
Wiadomość SMS powiadomi Cię o konieczności kliknięcia w link w celu odblokowania lub odmrożenia konta.
Wspólne metody połowu ryb
Ponad siedmiu na dziesięciu respondentów biorących udział w badaniu dotyczącym specjalistów IT przeprowadzonym w 2020 i 2021 r. stwierdziło, że w poprzednim badanym roku zetknęło się z atakami typu smishing. Wzrosło to z 61% respondentów, którzy stwierdzili, że doświadczyli smishingu w 2020 roku.
Hakerzy wykorzystują inżynierię społeczną, aby uknuć smishing:
- Złośliwe oprogramowanie - Możesz zostać podstępnie zmuszony do pobrania złośliwego oprogramowania lub otwarcia łącza do złośliwej strony internetowej zawierającej wirusa lub oprogramowanie szpiegujące.
- Udostępnianie danych bankowych - atakujący mogą nakłaniać do podania danych bankowych na sfałszowanej stronie internetowej i całkowitego wyczerpania oszczędności poprzez uzyskanie dostępu do konta.
- Udostępnianie firmowych danych logowania: Atakujący mogą poprosić Cię o zalogowanie się przy użyciu firmowych informacji logowania, aby uzyskać dostęp do wewnętrznych systemów Twojej firmy i wrażliwych baz danych.
Jak działa Smishing?
Operacje smishingowe przeprowadzane są w dość prosty sposób. Przyjrzyjmy się temu zagadnieniu:
- Aby wprowadzić Cię w błąd, że ich komunikacja jest autentyczna, haker wysyła Ci wiadomość tekstową wykorzystującą techniki inżynierii społecznej.
- Klikasz na złośliwy link dołączony do tego SMS-a lub zapewniasz im dostęp do danych osobowych, takich jak nazwy użytkowników, hasła, e-maile itp.
- Po zhakowaniu Twoich informacji haker wykorzystuje je do popełnienia oszustwa lub sprzedania skradzionych informacji w ciemnej sieci.
Dlaczego Smishing staje się coraz bardziej powszechny?
Smishing nasila się z wielu powodów. Kluczowym z nich jest fakt, że jest to oszustwo łatwe do przeprowadzenia. Oszust potrzebuje tylko kilku numerów telefonów i sprytnej metody nakłaniania osób do odpisywania na SMS-y, aby zebrać niezbędne informacje.
Ludzie uwielbiają też teksty SMS-owe. W ciągu trzech minut 95% wiadomości tekstowych jest otwieranych i odpowiadanych. Możesz zobaczyć, jak oszustwa tekstowe mogą być bardziej kuszące dla złodzieja, biorąc pod uwagę, że tylko 20% wiadomości e-maili jest nawet otwieranych, a tym bardziej odpowiadanych.
Rodzaje ataków typu smishing
Istnieje kilka rodzajów ataków typu smishing. Należą do nich:
Covid-19 Smishing: Covid-19 smishing to oszustwo phishingowe, które wykorzystuje aplikację społecznościową WhatsApp do wysyłania wiadomości do ofiar. Wiadomości twierdzą, że użytkownik wygrał prezent i zachęcają go do kliknięcia odsyłacza. Kliknięcie odsyłacza powoduje pobranie wirusa na komputer użytkownika.
Gift Smishing: Gift smishing to kolejny rodzaj oszustwa phishingowego, który wykorzystuje aplikacje mediów społecznościowych, takie jak Facebook, Instagram czy WhatsApp, do wysyłania wiadomości do ofiar. Wiadomość twierdzi, że odbiorca wygrał prezent i zachęca go do kliknięcia linku. Po kliknięciu łącza na komputer użytkownika zostanie pobrane złośliwe oprogramowanie.
Fake Services Smishing: Fałszywe usługi smishingowe polegają na tym, że napastnik wysyła e-maile, w których twierdzi, że może naprawić problemy z komputerami lub urządzeniami, takie jak wirusy lub inne problemy z oprogramowaniem lub sprzętem. Te wiadomości e-mail często zawierają załączniki zawierające złośliwe oprogramowanie, które może zainstalować trojany lub inne formy złośliwego oprogramowania na urządzeniu bez wiedzy użytkownika.
Smishing na fakturę lub potwierdzenie zamówienia: Firma wysyła prostą fakturę lub potwierdzenie zamówienia za pomocą wiadomości tekstowej. Po kliknięciu na link do faktury w wiadomości, użytkownik wprowadza swoje dane dotyczące płatności na fałszywej stronie internetowej. Celem jest skłonienie go do pobrania na swoje urządzenie złośliwego oprogramowania.
Smishing usług finansowych: Do użytkowników wysyłane są wiadomości z ich banków lub firm obsługujących karty kredytowe, ostrzegające o podejrzanej aktywności na ich kontach. Użytkownicy myślą, że będą mogli sprawdzić swoje konta, ale zamiast tego pobierają na swoje urządzenia złośliwe oprogramowanie.
Na czym polega zapobieganie smishingowi?
Jak powstrzymać ataki typu Smishing?
Wiedza o tym, czego unikać, pomoże Ci uniknąć stania się ofiarą. Oto kilka wskazówek, które mogą pomóc w ochronie przed oszustwami typu smishing:
Nigdy nie odpowiadaj
Nigdy nie odpowiadaj na SMS-y smishingowe to pierwsza zasada, której należy przestrzegać. Możesz potwierdzić numer roboczy dla hakera oprócz potencjalnego spowodowania złośliwego oprogramowania, które zostanie zainstalowane na Twoim urządzeniu. Następnie mogą wykorzystać go w kolejnych schematach oszustw lub włączyć go do listy do odsprzedaży dla zysku w ciemnej sieci.
Kontaktuj się bezpośrednio z bankami lub sprzedawcami
Cyberprzestępcy często próbują podawać się za renomowane firmy i organizacje bankowe w smishingowych SMS-ach. Najlepszym działaniem jest natychmiastowy kontakt z bankiem lub sklepem, jeśli otrzymasz tekst i zastanawiasz się nad jego prawdziwością. Bardzo często strony internetowe banków posiadają usługę zgłaszania smishingu, dzięki czemu można natychmiast wysłać zgłoszenie o próbie smeringu.
Użyj 2FA
Uwierzytelnianie dwuskładnikowe może zapewnić dodatkową warstwę bezpieczeństwa, jeśli padniesz ofiarą oszustwa typu smishing i ujawnisz jeden ze swoich danych uwierzytelniających. Podczas próby logowania technologia biometryczna wykorzystuje technologie rozpoznawania twarzy i odcisków palców w celu potwierdzenia tożsamości użytkownika.
Wniosek
Jeśli więc jesteś zdezorientowany, co to jest smishing, to jest to trochę jak phishing, z wyjątkiem tego, że dostajesz SMS-y zamiast e-maili, ale w końcu to wszystko jest takie samo, ponieważ chodzi o twoje informacje i aktywa.
W celu zapobiegania phishingowi za pośrednictwem poczty e-mail zalecamy wdrożenie analizatora DMARC w organizacji, aby chronić domenę przed nieautoryzowanym użyciem. Eksperci DMARC dostarczą Ci również informacji na temat stanu bezpieczeństwa Twojej domeny e-mail i pomogą Ci sformułować strategię na przyszłość.
- Kimsuky wykorzystuje zasady DMARC "None" w ostatnich atakach phishingowych - 6 maja 2024 r.
- Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
- Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.