Podszywanie się pod SMS-y polega na zmianie informacji o nadawcy w nieuczciwych celach, takich jak numer telefonu i nazwa kontaktu. Na sfałszowaną wiadomość nie można odpowiedzieć ani jej zablokować. SMS spoofing opiera się całkowicie na podszywaniu się.
Otrzymujesz fałszywą wiadomość tekstową od kogoś, kogo uważasz za znajomego, ale po bliższym przyjrzeniu się coś wydaje się nie w porządku. Nazwisko i numer telefonu komórkowego nie są identyczne z tymi na listach kontaktów; są po prostu podobne.
Ataki na bezpieczeństwo cybernetyczne gwałtownie rosną. Phishing i podobne oszustwa, takie jak spoofing, były najbardziej rozpowszechnionym rodzajem cyberprzestępczości zgłoszonym do U.S. Internet Crime Complaint Center w 2021 r, dotykając prawie 324 tys. osób.
Interesujące? Być może, tak. Jakkolwiek porywająco to brzmi, zdolność ta jest bezsprzecznie szkodliwa, gdy jest niewłaściwie wykorzystywana.
Jak działa SMS Spoofing?
Można by pomyśleć, że spoofing SMS-owy jest problemem XXI wieku, ale może być zaskoczony, gdy dowie się, że jego początki sięgają wielu dekad wstecz. Egipski dowódca o imieniu Sultan Baybars z powodzeniem zajął potężny Krak des Chevaliers w 1271 roku, dając oblężonym rycerzom fałszywy list od ich dowódcy i nakazując im poddanie się. W końcu rycerze poddali się i odkryli, że list był fałszywy.
SMS spoofing działa poprzez ukrycie prawdziwego numeru telefonu nadawcy w wiadomości tekstowej SMS, tak aby wydawało się, że pochodzi ona z innego urządzenia. Można to zrobić na dwa sposoby:
- Możesz wysłać wiadomość SMS z telefonu ofiary do osoby, z którą chcesz się porozumieć. Dzięki temu odbiorca będzie myślał, że wiadomość pochodzi od kogoś znajomego, np. przyjaciela lub kolegi.
- Możesz wysłać wiadomość SMS z numeru telefonu innej osoby do osoby, z którą chcesz się porozumieć. Dzięki temu odbiorca będzie myślał, że wiadomość pochodzi od kogoś innego, na przykład od przyjaciela lub kolegi.
Smishing a SMS Spoofing: What's the Difference?
SMS spoofing i smishing to dwa rodzaje oszustw, które wykorzystują fałszywe wiadomości tekstowe w celu uzyskania poufnych informacji od niczego niepodejrzewających ofiar. Oba opierają się na technikach inżynierii społecznej, ale różnią się sposobem, w jaki atakują użytkownika.
SMS Spoofing
SMS spoofing występuje, gdy haker wysyła wiadomość SMS z nierozpoznawalnego numeru. Wiadomość może wydawać się od kogoś, kogo znasz, lub może pochodzić od firmy lub organizacji, której ufasz. Ataki te mają na celu oszukać użytkownika, aby odpowiedział lub kliknął na link, który pobierze złośliwe oprogramowanie na telefon lub komputer.
Smishing
Smishing jest podobny do spoofingu SMS, ale hakerzy wysyłają fałszywe wiadomości e-mail z osadzonymi w nich złośliwymi linkami, zamiast używać wiadomości tekstowych. Jeśli klikniesz na taki link, będzie on próbował zainstalować na Twoim urządzeniu złośliwe oprogramowanie lub przeniesie Cię na fałszywą stronę internetową, na której zostaniesz poproszony o podanie danych osobowych, takich jak numery kart kredytowych i numery ubezpieczenia społecznego.
Czym jest wektor ataku SMS Spoofing?
Wektory ataku SMS spoofing udają wiadomości z wiarygodnego źródła, aby nakłonić użytkowników telefonów komórkowych do ujawnienia swoich danych osobowych. Wiadomość e-mail z linkiem lub plikiem wykonywalnym jest zwykle używana do rozprzestrzeniania tego ataku. Po naciśnięciu przycisku atakujący może uzyskać dostęp do wiadomości ofiary i wysłać je w jej imieniu. Jednym ze sposobów uniknięcia tego jest akceptowanie wiadomości tylko od zaufanych firm, które korzystają z niezawodnej platformy marketingowej SMS i e-mail.
Aby ofiary chętnie udzielały, wysyłały lub ujawniały poufne informacje, należy sprawić, by uwierzyły, że rozmawiają z zaufanym przyjacielem lub członkiem rodziny. Technika ta może podszywać się pod wiele osób jednocześnie, w zależności od liczby współbieżnych odbiorców i wektora ataku spoofingowego.
Rodzaje SMS-ów Spoofing
Istnieje wiele różnych rodzajów spoofingu SMS, w tym:
1. Fałszywe identyfikatory nadawcy
Najczęstszym rodzajem spoofingu jest zastąpienie prawdziwego identyfikatora nadawcy innym numerem lub nazwą. Dzięki temu oszuści mogą podszywać się pod kogoś innego - np. bank lub firmę obsługującą karty kredytowe - i nakłaniać do podania danych osobowych lub pobrania złośliwego oprogramowania. Mogą oni również fałszować identyfikator dzwoniącego wykonując fałszywe połączenia i fałszując wiadomości tekstowe.
2. Niezamówione wiadomości masowe (UBM)
UBM to niezamówione wiadomości tekstowe, które wydają się pochodzić od kogoś znanego, ale pochodzą z nieznanego źródła. Wiadomości te mogą zawierać linki do złośliwych stron internetowych, ataków phishingowych i innych oszustw mających na celu kradzież danych osobowych z urządzeń mobilnych.
3. Nękanie
Ten rodzaj spoofingu SMS zazwyczaj polega na wysyłaniu do innych osób wiadomości z pogróżkami lub nieodpowiednich. Jest on często wykorzystywany przez stalkerów, dręczycieli i cyberprzemocników, którzy chcą zastraszyć swoje ofiary. Niektórzy nękacze używają tej metody, aby spróbować wyłudzić pieniądze od swoich ofiar, grożąc im konsekwencjami, jeśli nie zapłacą.
4. Fałszywe przelewy pieniężne
Może to polegać na wysłaniu wiadomości e-mail, która twierdzi, że wygrałeś nagrodę, abyś przelał pieniądze na konto, aby można je było przekazać na przykład na cele charytatywne. Może to być również bardziej złowrogi rodzaj oszustwa, w którym hakerzy próbują ukraść Twoje dane osobowe, twierdząc, że wygrałeś nagrodę, a następnie proszą o podanie danych bankowych, aby mogli wpłacić ją na Twoje konto.
5. Szpiegostwo korporacyjne
W tym ataku haker wyśle na Twój telefon komórkowy wiadomość SMS z linkiem do złośliwej strony internetowej. Gdy klikniesz na ten link, przekieruje Cię on na inną stronę i wykradnie Twoje dane osobowe i poświadczenia, które napastnik może wykorzystać do uzyskania dostępu do zasobów firmy lub kradzieży pieniędzy od Ciebie.
SMS Spoofing: Jakie są legalne zastosowania?
Legalne zastosowania spoofingu SMS obejmują usługi masowego przesyłania wiadomości, wiadomości urzędowe i ochronę tożsamości.
Usługi masowego wysyłania wiadomości
SMS spoofing może wysyłać masowe wiadomości do wielu odbiorców jednocześnie. Jest to szczególnie przydatne dla firm, które chcą dotrzeć do klientów w sposób ekonomiczny.
Wiadomości urzędowe
Agencje rządowe również wykorzystują spoofing SMS-ów do wysyłania ważnych powiadomień, takich jak terminy podatkowe lub ostrzeżenia o klęskach żywiołowych. Wysyłając takie wiadomości, należy pamiętać, że muszą one pochodzić z oficjalnego źródła, aby ludzie wiedzieli, że są legalne, a nie są oszustwem.
Ochrona tożsamości
Firmy takie jak Equifax wykorzystują tę technologię do ochrony tożsamości swoich klientów. Załóżmy, że ktoś próbuje do Ciebie zadzwonić lub wysłać wiadomość e-mail, podając się za pracownika firmy Equifax i podając numer oddzwaniania. W takim przypadku można łatwo zweryfikować, czy jest on prawdziwy, dzwoniąc pod wskazany numer telefonu, zamiast podawać jakiekolwiek dane osobowe przez telefon lub Internet.
Co powinni zrobić użytkownicy, aby zabezpieczyć się przed SMS Spoofingiem?
- Uważaj na wszelkie niechciane wiadomości tekstowe otrzymywane na urządzenie mobilne i nie otwieraj żadnych linków w tych wiadomościach. Jeśli otworzysz link, upewnij się, że odwiedzasz rzeczywistą stronę internetową, z której pochodzi, wpisując adres URL w przeglądarce.
- Nie odpowiadaj na wiadomości tekstowe z prośbą o podanie danych osobowych, takich jak numery kont lub hasła. Jeśli otrzymasz jedną z takich wiadomości, usuń ją natychmiast bez odpowiadania.
- Skontaktuj się z dostawcą usług komórkowych, jeśli otrzymasz wiadomość SMS z prośbą o pieniądze lub informacje osobiste.
Zakończenie
Nikt nie jest całkowicie zabezpieczony przed spoofingiem. Należy zawsze zgłaszać oszustów, którzy nękają Cię lub używają Twojego numeru do spoofingu do operatora i policji, aby mogli dowiedzieć się, skąd pochodzą wiadomości. W ten sposób można uniknąć spoofingu SMS w przyszłości. Aby upewnić się, że nie otrzymasz kolejnej wiadomości SMS od oszusta, możesz użyć blokerów SMS do pobrania.
Dodatkowo, należy być świadomym i chronić się przed innymi zagrożeniami związanymi ze spoofingiem, w tym email spoofingiem i bezpośrednimi atakami typu domain spoofing, które mogą zaszkodzić Twojej reputacji. Sprawdź nasz kompleksowy przewodnik po bezpieczeństwo spoofingu poczty elektronicznej aby zabezpieczyć się przed przyszłymi atakami.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.
- PowerDMARC i Zendata nawiązują partnerstwo w celu zwiększenia bezpieczeństwa domeny - 25 kwietnia 2024 r.
- PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.