Czym jest SMS Spoofing?

Spoofing SMS-ów polega na zmianie informacji o nadawcy w celu dokonania oszustwa, takich jak numer telefonu i nazwa kontaktu. Na fałszywy tekst nie można odpowiedzieć ani go zablokować. Spoofing opiera się całkowicie na podszywaniu się.

Dostajesz SMS-a od kogoś, kogo uważasz za znajomego, ale po bliższym przyjrzeniu się coś wydaje się nie w porządku. Nazwa i numer telefonu komórkowego nie są identyczne z tymi, które znajdują się na listach kontaktów innych osób; są po prostu podobne.

Ataki na bezpieczeństwo cybernetyczne gwałtownie rosną. Phishing i podobne oszustwa, takie jak spoofing, były najbardziej rozpowszechnionym rodzajem cyberprzestępczości zgłoszonym do U.S. Internet Crime Complaint Center w 2021 r, dotykając prawie 324 tys. osób.

Interesujące? Być może, tak. Jakkolwiek porywająco to brzmi, zdolność ta jest bezsprzecznie szkodliwa, gdy jest niewłaściwie wykorzystywana.

Jak działa SMS Spoofing?

Można by pomyśleć, że spoofing SMS-owy jest problemem XXI wieku, ale może być zaskoczony, gdy dowie się, że jego początki sięgają wielu dekad wstecz. Egipski dowódca o imieniu Sultan Baybars z powodzeniem zajął potężny Krak des Chevaliers w 1271 roku, dając oblężonym rycerzom fałszywy list od ich dowódcy i nakazując im poddanie się. W końcu rycerze poddali się i odkryli, że list był fałszywy.

Spoofing SMS działa poprzez ukrycie numeru telefonu prawdziwego nadawcy w wiadomości SMS, tak aby wydawało się, że pochodzi ona z innego urządzenia. Można to zrobić na dwa sposoby:

  • Możesz wysłać wiadomość SMS z telefonu ofiary do osoby, z którą chcesz się porozumieć. Dzięki temu odbiorca będzie myślał, że wiadomość pochodzi od kogoś znajomego, np. przyjaciela lub kolegi.
  • Możesz wysłać wiadomość SMS z numeru telefonu innej osoby do osoby, z którą chcesz się porozumieć. Dzięki temu odbiorca będzie myślał, że wiadomość pochodzi od kogoś innego, na przykład od przyjaciela lub kolegi.

Smishing a SMS Spoofing: What's the Difference?

SMS spoofing i smishing to dwa rodzaje oszustw, które wykorzystują wiadomości tekstowe do uzyskania poufnych informacji od niczego niepodejrzewających ofiar. Oba opierają się na technikach inżynierii społecznej, ale różnią się sposobem, w jaki są ukierunkowane na użytkownika.

SMS Spoofing

SMS spoofing występuje, gdy haker wysyła wiadomość SMS z nierozpoznawalnego numeru. Wiadomość może wydawać się od kogoś, kogo znasz, lub może pochodzić od firmy lub organizacji, której ufasz. Ataki te mają na celu oszukać użytkownika, aby odpowiedział lub kliknął na link, który pobierze złośliwe oprogramowanie na telefon lub komputer.

Smishing

Smishing jest podobny do spoofingu SMS, ale hakerzy wysyłają fałszywe wiadomości e-mail z osadzonymi w nich złośliwymi linkami, zamiast używać wiadomości tekstowych. Jeśli klikniesz na taki link, będzie on próbował zainstalować na Twoim urządzeniu złośliwe oprogramowanie lub przeniesie Cię na fałszywą stronę internetową, na której zostaniesz poproszony o podanie danych osobowych, takich jak numery kart kredytowych i numery ubezpieczenia społecznego.

Co to jest wektor ataku SMS Spoofing?

Wektory ataku SMS spoofing udają wiadomości z wiarygodnego źródła, aby oszukać użytkowników telefonów komórkowych do ujawnienia ich danych osobowych. Do rozprzestrzeniania tego ataku zazwyczaj wykorzystywana jest wiadomość e-mail z linkiem lub plikiem wykonywalnym. Gdy tylko przycisk zostanie wciśnięty, atakujący może uzyskać dostęp do wiadomości ofiary i wysłać je w jej imieniu.

Aby ofiary chętnie udzielały, wysyłały lub ujawniały poufne informacje, należy sprawić, by uwierzyły, że rozmawiają z zaufanym przyjacielem lub członkiem rodziny. Technika ta może podszywać się pod wiele osób jednocześnie, w zależności od liczby współbieżnych odbiorców i wektora ataku spoofingowego.

Rodzaje SMS-ów Spoofing

Istnieje wiele różnych rodzajów spoofingu SMS, w tym:

Fałszywe identyfikatory nadawców

Najczęstszym rodzajem spoofingu jest zastąpienie prawdziwego identyfikatora nadawcy innym numerem lub nazwiskiem. Dzięki temu oszuści mogą podawać się za kogoś innego - na przykład za bank lub firmę obsługującą karty kredytowe - i nakłaniać Cię do podania danych osobowych lub pobrania szkodliwego oprogramowania. Mogą oni również fałszować identyfikację dzwoniącego wykonując fałszywe połączenia oprócz wiadomości tekstowych.

Niezamówione wiadomości masowe (UBM)

UBM to niezamówione wiadomości tekstowe, które wydają się pochodzić od kogoś znanego, ale pochodzą z nieznanego źródła. Wiadomości te mogą zawierać linki do złośliwych stron internetowych, ataków phishingowych i innych oszustw mających na celu kradzież danych osobowych z urządzeń mobilnych.

Molestowanie

Ten rodzaj spoofingu SMS zazwyczaj polega na wysyłaniu do innych osób wiadomości z pogróżkami lub nieodpowiednich. Jest on często wykorzystywany przez stalkerów, dręczycieli i cyberprzemocników, którzy chcą zastraszyć swoje ofiary. Niektórzy nękacze używają tej metody, aby spróbować wyłudzić pieniądze od swoich ofiar, grożąc im konsekwencjami, jeśli nie zapłacą.

Fałszywe przekazy pieniężne

Może to polegać na wysłaniu wiadomości e-mail, która twierdzi, że wygrałeś nagrodę, abyś przelał pieniądze na konto, aby można je było przekazać na przykład na cele charytatywne. Może to być również bardziej złowrogi rodzaj oszustwa, w którym hakerzy próbują ukraść Twoje dane osobowe, twierdząc, że wygrałeś nagrodę, a następnie proszą o podanie danych bankowych, aby mogli wpłacić ją na Twoje konto.

Szpiegostwo korporacyjne

W tym ataku haker wyśle na Twój telefon komórkowy wiadomość SMS z linkiem do złośliwej strony internetowej. Gdy klikniesz na ten link, przekieruje Cię on na inną stronę i wykradnie Twoje dane osobowe i poświadczenia, które napastnik może wykorzystać do uzyskania dostępu do zasobów firmy lub kradzieży pieniędzy od Ciebie.

SMS Spoofing: Jakie są legalne zastosowania?

Legalne zastosowania spoofingu SMS obejmują usługi masowego przesyłania wiadomości, wiadomości urzędowe i ochronę tożsamości.

Usługi masowego wysyłania wiadomości

SMS spoofing może wysyłać masowe wiadomości do wielu odbiorców jednocześnie. Jest to szczególnie przydatne dla firm, które chcą dotrzeć do klientów w sposób ekonomiczny.

Wiadomości urzędowe

Agencje rządowe również wykorzystują spoofing SMS-ów do wysyłania ważnych powiadomień, takich jak terminy podatkowe lub ostrzeżenia o klęskach żywiołowych. Wysyłając takie wiadomości, należy pamiętać, że muszą one pochodzić z oficjalnego źródła, aby ludzie wiedzieli, że są legalne, a nie są oszustwem.

Ochrona tożsamości

Firmy takie jak Equifax wykorzystują tę technologię do ochrony tożsamości swoich klientów. Załóżmy, że ktoś próbuje do Ciebie zadzwonić lub wysłać wiadomość e-mail, podając się za pracownika firmy Equifax i podając numer oddzwaniania. W takim przypadku można łatwo zweryfikować, czy jest on prawdziwy, dzwoniąc pod wskazany numer telefonu, zamiast podawać jakiekolwiek dane osobowe przez telefon lub Internet.

Co powinni zrobić użytkownicy, aby zabezpieczyć się przed SMS Spoofingiem?

  • Uważaj na wszelkie niechciane wiadomości otrzymywane na urządzenie mobilne i nie otwieraj żadnych linków w tych wiadomościach. Jeśli otworzysz link, upewnij się, że odwiedzasz rzeczywistą stronę internetową, z której pochodzi, wpisując adres URL w przeglądarce.
  • Nie odpowiadaj na wiadomości tekstowe z prośbą o podanie danych osobowych, takich jak numery kont lub hasła. Jeśli otrzymasz jedną z takich wiadomości, usuń ją natychmiast bez odpowiadania.
  • Skontaktuj się z dostawcą usług komórkowych, jeśli otrzymasz wiadomość SMS z prośbą o pieniądze lub informacje osobiste.

Zakończenie

Nikt nie jest całkowicie zabezpieczony przed spoofingiem. Należy zawsze zgłaszać oszustów, którzy nękają Cię lub używają Twojego numeru do spoofingu do operatora i policji, aby mogli dowiedzieć się, skąd pochodzą wiadomości. W ten sposób można uniknąć spoofingu SMS w przyszłości. Aby upewnić się, że nie otrzymasz kolejnej wiadomości SMS od oszusta, możesz użyć blokerów SMS do pobrania.

Dodatkowo, należy być świadomym i chronić się przed innymi zagrożeniami związanymi ze spoofingiem, w tym email spoofingiem i bezpośrednimi atakami typu domain spoofing, które mogą zaszkodzić Twojej reputacji. Sprawdź nasz kompleksowy przewodnik po bezpieczeństwo spoofingu poczty elektronicznej aby zabezpieczyć się przed przyszłymi atakami.