Зловмисні атаки через текстові повідомлення є серйозною загрозою, що призводить до фінансових втрат та компрометації особистих даних як окремих осіб, так і компаній.
Кіберзлочинці використовують довірливість користувачів до текстових повідомлень, маніпулюючи їхніми емоціями, зокрема страхом чи цікавістю, щоб миттєво отримати доступ до їхніх даних.
Уявіть собі ситуацію: ви переглядаєте повідомлення і раптом отримуєте повідомлення про великий виграш. Ситуація здається неправдоподібною, але водночас дуже спокусливою.
Вас спокушає натиснути на посилання у повідомленні. Наслідком може стати спустошення банківського рахунку або крадіжка особистих даних – і все це через, на перший погляд, нешкідливе повідомлення.
Отже, ви потрапили у світ атак через SMS, які є зростаючою загрозою, що вражає навіть найпильніших користувачів.
За перші шість місяців 2021 року кількість атак через SMS збільшилася на 700% у світі.
Тому, захист від таких маніпуляцій є важливим як ніколи.
У цій статті я детально розповім про те, що таке атаки через SMS, їх різновиди та методи захисту від них.
Почнемо!
Що таке Smishing?
Smishing, або “SMS-фішинг”, це кібератака, яка використовує зловмисні текстові повідомлення, що маскуються під легітимні, щоб обманути користувачів, використовуючи їх довіру, страх чи цікавість, з метою отримання доступу до їхніх фінансів.
Ці повідомлення спонукають користувачів натискати на шкідливі посилання або надавати конфіденційну інформацію.
Метою таких атак є викрадення особистої інформації, грошей або навіть ідентифікаційних даних для здійснення шахрайських дій.
Зазвичай, жертва отримує SMS з повідомленням про виграш призу або термінову потребу оновити дані облікового запису. Повідомлення може містити шкідливе посилання. Текст пропонує перейти за посиланням для отримання призу або внесення змін до облікового запису.
Будьте обережні, це типові прийоми кіберзлочинців для обману та здійснення атак.
Згідно зі звітом Statista, у 2021 та 2022 роках, 76% організацій у світі зіткнулися з такими атаками. Це підкреслює масштабність загрози.
Безпека починається з обережності. Не натискайте на посилання та не розголошуйте особисту інформацію, якщо не впевнені в достовірності повідомлення. Зверніть увагу на відправника, наявність помилок або незвичних запитів. Слід пам’ятати, що легітимні організації, такі як банки, ніколи не будуть запитувати паролі чи іншу конфіденційну інформацію через SMS.
Зростання використання мобільних пристроїв та смішинг: чи є це приводом для занепокоєння?
Оскільки мобільні пристрої є невід’ємною частиною життя, ризик смішинг-атак постійно зростає. Це, безумовно, є приводом для занепокоєння, як для приватних осіб, так і для компаній.
Зі зростанням використання мобільних пристроїв, кіберзлочинці бачать можливість для отримання інформації та грошей. У 2021 році, близько 87,8 мільярда небажаних спам-повідомлень було надіслано лише на телефонні номери в США. Загалом, користувачі втратили понад 10 мільярдів доларів.
Сьогодні, телефони є основними інструментами для виконання таких завдань як банківські операції та спілкування. Проте, така залежність наражає людей на маніпуляції з боку кіберзлочинців. Вони надсилають переконливі повідомлення, які підштовхують користувачів до імпульсивних дій, не даючи часу на роздуми.
Наслідки смішингу можуть бути руйнівними: спустошені банківські рахунки та викрадення персональних даних. Тому, важливо розуміти, що смішинг – це не лише роздратування, а й серйозна загроза фінансовій та особистій безпеці.
Зрозуміло, що відмовитися від користування телефоном неможливо, оскільки він є важливим як у особистому, так і у професійному житті. Але можна бути поінформованим та обережним. Розуміючи ризики та зберігаючи пильність, можна захистити себе від цих обманних атак.
Типи смішингових атак
Ознайомившись з різними типами смішингових атак, ви зможете розпізнавати їх зловмисні тактики та уникнути того, щоб стати жертвою.
Отже, розгляньмо основні типи атак смішингу.
Фішинг Smishing
Це класична форма смішингу, де вас спонукають натиснути на шкідливі посилання, що ведуть на підроблені вебсайти, які можуть бути ідентичні справжнім, наприклад, сайту вашого банку. Там вам запропонують ввести конфіденційні дані, які потім використають зловмисники.
Вішинг Smishing
Це більш персоналізований підхід. Шахраї використовують голосові дзвінки разом із текстовими повідомленнями. Вони можуть залишати голосові повідомлення або надсилати SMS з попередженнями про злом облікового запису чи шахрайські дії, вимагаючи зателефонувати за номером або перейти за посиланням. Після виконання цих дій вони виманюють особисту інформацію.
Приз Smishing
Думка про неочікуваний виграш може схвилювати будь-кого. Кіберзлочинці використовують це, надсилаючи повідомлення про вітання з виграшем призу, якого ви насправді не вигравали.
У цьому виді смішингових атак, зловмисник просить надати особисту інформацію або сплатити “невелику плату” для отримання призу. Після отримання інформації або коштів, зловмисники зникають.
Фінансовий Smishing
Ці повідомлення часто маскуються під легітимні фінансові установи, стверджуючи про підозрілу активність на вашому рахунку, яка потребує негайної уваги. Злякавшись, ви можете перейти за наданим посиланням і, несвідомо, надати доступ до свого облікового запису.
Термінова дія Smishing
Використовуючи відчуття терміновості, ці повідомлення попереджають про невідкладну ситуацію, що вимагає негайної реакції. Незалежно від того, чи це оновлення облікового запису, підтвердження покупки або перевірка транзакції, ці повідомлення мають на меті змусити вас діяти швидко, не даючи часу на роздуми.
App Smishing
Зловмисники можуть надіслати вам повідомлення, нібито з популярного магазину додатків, з проханням завантажити оновлення або новий додаток. Проте, посилання веде на підроблений сайт, який завантажує зловмисне програмне забезпечення на ваш пристрій.
Friendship Smishing
У цій особливо підступній техніці, кіберзлочинці маскуються під друзів чи членів родини. Вони можуть просити фінансової допомоги або конфіденційної інформації, користуючись вашою довірою у відносинах.
Travel Smishing
Користуючись бажанням подорожувати, шахраї можуть надсилати повідомлення про ексклюзивні туристичні пропозиції або підтвердження бронювання подорожей, які ви ніколи не планували. Перехід за посиланнями може призвести до крадіжки даних або встановлення шкідливого програмного забезпечення.
Charity Smishing
Кіберзлочинці використовують вашу доброту, надсилаючи повідомлення від фальшивих благодійних організацій під час катастрофи чи в період нужди. Вони просять пожертви, але гроші ніколи не доходять до тих, хто їх потребує.
Security Alert Smishing
Ці повідомлення використовують занепокоєння з приводу порушень безпеки, стверджуючи, що ваш обліковий запис зламано. Вони спонукають до негайних дій або надання конфіденційної інформації, такої як одноразові паролі. Після виконання цих дій, зловмисники спустошують ваші банківські рахунки або отримують несанкціонований доступ для здійснення повномасштабної атаки.
Реальні приклади атак смішингу та їх наслідки
Розглянемо реальні приклади таких атак та їх жахливі наслідки.
#1. “Компрометація банківського рахунку”
Уявіть, що ви отримуєте SMS-повідомлення з номера, який, на перший погляд, належить вашому банку. У повідомленні йдеться про несанкціоновану активність на вашому рахунку. Вас спонукають негайно перейти за посиланням, щоб підтвердити свої дані.
Жертва, нічого не підозрюючи, переходить за посиланням та вводить особисті дані. Незабаром зловмисники отримують доступ до їхніх банківських рахунків, що призводить до фінансових втрат.
Приклад: Атака смішингу в Університеті Дікіна, Австралія, поставила під загрозу особисті дані майже 47 000 студентів. Злам стався після того, як дані одного зі співробітників були скомпрометовані, дозволивши неавторизованій особі отримати доступ до системи масової розсилки SMS.
#2. Шахрайство з “безкоштовною подарунковою карткою”
Жертви отримують повідомлення про виграш подарункової картки або призу. Для отримання подарунку, просять надати особисті дані або сплатити невелику плату за доставку. Після надання інформації або сплати комісії, зловмисник зникає, залишаючи жертву без подарунка та зі скомпрометованою інформацією.
Приклад: Видача себе за державну установу, реальний приклад шахрайства з подарунковою карткою. Шахраї телефонували, видаючи себе за представників державних установ, наприклад, Управління соціального забезпечення.
У 2021 році кількість таких шахрайств значно зросла. За даними Федеральної торгової комісії (FTC), майже 40 000 споживачів повідомили про втрату 148 мільйонів доларів за перші дев’ять місяців року. Середня сума втрат становила 700 доларів у 2018 році та зросла до 1000 доларів у 2021 році. Люди похилого віку, особливо старші 50 років, виявилися більш вразливими до таких шахрайств.
#3. Трюк з “фальшивим оновленням додатку”
Ви можете отримати SMS з вимогою терміново оновити популярний додаток. Будьте обережні, якщо таке трапиться.
Посилання в тексті веде на підробний додаток, заражений шкідливим програмним забезпеченням. Якщо ви встановите цей додаток, вашу особисту інформацію, включно з банківськими даними, можуть викрасти. Крім того, ваш пристрій може бути скомпрометований, що дозволить хакерам контролювати його, що може призвести до крадіжки даних.
Приклад: у звіті ZDNet Атака троянського програмного забезпечення Android, виявлено, що зловмисне програмне забезпечення маскувалося під оновлення системи. Користувачі отримували повідомлення з вимогою оновити систему. Після завантаження “оновлення”, воно діяло як троян віддаленого доступу, надаючи зловмисникам повний контроль над пристроєм. Це дозволяло отримувати різну інформацію, включаючи повідомлення, фотографії та дані GPS. Програмне забезпечення було складним, воно могло записувати телефонні дзвінки, що робить його одним з найагресивніших штамів шкідливого ПЗ для Android.
#4. Загроза від “IRS”
Користувачі отримували повідомлення від Служби внутрішніх доходів (IRS) з вимогою негайної оплати податків або попередженням про правові наслідки. Злякавшись, жертви погоджувались, надаючи фінансову інформацію або здійснюючи платіж. Наслідком були фінансові втрати та розкриття особистих даних.
Приклад: у вересні 2022 року Служба внутрішніх доходів (IRS) попередила про сплеск текстових шахрайств. Шахрайські тексти часто пропонували фальшиву допомогу через COVID, податкові кредити або допомогу у створенні онлайн-кабінету IRS. Один випадок стосувався платника податків, який отримав повідомлення про заборгованість з податків та мав перейти за посиланням для оплати. Після переходу, жертва потрапляла на фішинговий сайт, що вимагав особисті та банківські дані.
#5. Шахрайство з “підтвердженням подорожі”
Жертви отримують SMS про підтвердження подорожі, яку вони не замовляли. З цікавості, вони натискають на посилання, що призводить до завантаження шкідливого програмного забезпечення на їх пристрій.
Зловмисне ПЗ може викрадати особисту інформацію, дані для входу і навіть записувати натискання клавіш, що порушує конфіденційність та призводить до потенційних фінансових втрат.
Приклад: Мевонні Фергюсон, жителька Кента (Великобританія), стала жертвою шахрайства з бронюванням авіаквитків. Її ошукали, представившись туроператором Infinity Global Travel. Їй продали квиток British Airways з Лондона до Кінгстона, Ямайка. Після перевірки на сайті BA за номером бронювання, все виглядало законно. Проте, через два тижні після покупки та за кілька днів до її від’їзду, бронювання зникло з сайту BA. Зв’язавшись з авіакомпанією, вона дізналася, що на її ім’я не було бронювань. Шахрай скористався різницею між “підтвердженим” та “зарезервованим” квитком, продавши тимчасову резервацію за дійсну.
#6. “Романтичне шахрайство”
Джерело: Crystalblockchain
Кіберзлочинці встановлюють емоційні зв’язки з жертвами через текстові повідомлення, видаючи себе за тих, хто зацікавлений у романтичних стосунках. Після встановлення довіри, вони маніпулюють жертвами, щоб отримати їх особисту та фінансову інформацію. Це може призвести до розбитого серця, зради та фінансових втрат.
Приклад: Кіберзлочинець видавав себе за генерала Пола Накасоне, директора Агентства національної безпеки та керівника кіберкомандування США, намагаючись заманити жінок у романтичне шахрайство. Шахрай ініціював фальшиву розмову з жінками в соцмережах, використовуючи особу генерала. В одному випадку, самозванець заявляв, що перебуває в Сирії, та засипав жінку релігійними повідомленнями, запрошуючи до спілкування через Google Hangouts.
Профілактичні заходи проти смішингових атак
Наслідки атак не тільки фінансові, а й можуть порушити довіру, скомпрометувати конфіденційність та залишити емоційні шрами.
Розгляньмо ефективні способи запобігання смішингових атак.
#1. Обізнаність та навчання
У сучасному цифровому світі, важливо озброїти своїх працівників знаннями, щоб захистити конфіденційну інформацію.
Згідно зі звітом ID Agent, підприємства стикаються із середньою вартістю 15 000 доларів через смішингові атаки. Ці цифри підкреслюють нагальну потребу у навчанні вашої команди.
Щоб посилити захист від прихованих кіберзагроз, надайте пріоритет комплексному навчанню зі смішингу та поширюйте обізнаність усій організації. Це допоможе бути готовим до цих зловмисних атак та правильно на них реагувати.
Крім того, відвідування регулярних семінарів, які дають змогу ознайомитися з атаками смішингу, допоможе відрізняти легітимні повідомлення від потенційних шахрайств. Озброївши співробітників здатністю ідентифікувати підозрілі посилання, термінові запити, вони стануть надійним бар’єром проти цих зловмисних дій.
#2. Перевірка особи відправника
Пильність – це перша лінія захисту у світі, де шахрайські повідомлення можуть легко потрапити у вашу папку “Вхідні”. Коли ви отримуєте текстове повідомлення із закликом до негайної дії або з проханням надати конфіденційні дані, уважно перевірте інформацію відправника.
Переконайтеся, що номер телефону або адреса електронної пошти відправника відповідають офіційним контактним даним організації, від імені якої він пише. Легітимні організації не вимагатимуть конфіденційну інформацію через SMS.
Перевіривши особу відправника, ви значно зменшите ризик стати жертвою смішингу.
#3. Будьте обережні з текстовими повідомленнями
Перенесення обережного підходу з електронних листів на SMS-повідомлення має важливе значення для захисту ваших цифрових активів. Кіберзлочинці часто використовують зручність та звичність текстових повідомлень, щоб маніпулювати своїми цілями.
Тому, ставтеся до кожного текстового повідомлення з обережністю, як і до електронних листів від незнайомців. Уникайте негайно переходити за посиланнями або завантажувати файли, якщо відправник вам невідомий. Придивіться уважніше до тексту повідомлень, щоб виявити дивні або несподівані запити.
#4. Захист мобільних пристроїв
У цифрову епоху, коли наші мобільні пристрої зберігають величезну кількість особистої та конфіденційної інформації, важливо приділити увагу їх безпеці.
Запровадження додаткових функцій безпеки, таких як біометричні замки (сканування відбитків пальців, розпізнавання обличчя), є важливим заходом для боротьби зі смішинговими атаками. Це створює додатковий рівень захисту та покращує загальну безпеку даних.
Для забезпечення оптимальної безпеки, слідкуйте за останніми оновленнями безпеки. Регулярне оновлення мобільних пристроїв, створює надійний захист від потенційних кіберзагроз. Цей захід захищає від вразливостей, які можуть бути використані зловмисниками. Крім того, використовуйте засоби безпеки для створення надійного захисного бар’єра.
#5. Використання багатофакторної автентифікації
Для зміцнення безпеки цифрових даних, використання багатофакторної автентифікації (MFA) є ефективною стратегією. Окрім пароля, MFA вимагає додаткового рівня перевірки. Зазвичай це включає використання коду, надісланого на інший пристрій або сканування відбитка пальця.
Використовуючи цю комплексну систему безпеки, ви можете ускладнити зловмисникам спроби злому ваших облікових записів. Вона діє як захисний щит, захищаючи від спроб обману.
#6. Використовуйте надійні паролі
Ваш телефон, комп’ютери та інші пристрої зберігають багато особистої інформації. Простий, але ефективний спосіб захистити ці дані – використовувати надійні паролі для кожного пристрою.
Створюйте паролі, що поєднують літери, цифри, символи, а також великі та малі літери. Завдяки цьому, хакерам буде важче вгадати ваш пароль. Це допоможе запобігти потенційним зловмисникам та посилити вашу загальну цифрову безпеку.
#7. Повідомляйте про атаки смішингу
Як поінформована та відповідальна особа, ваша роль у боротьбі з кіберзлочинцями є ключовою. Повідомляючи про інциденти відповідним органам, ви сприяєте затриманню зловмисників.
Крім того, важливо інформувати своїх друзів, сім’ю та колег про такі випадки. Спільними зусиллями ми можемо запобігти поширенню шкідливих повідомлень та забезпечити більшу безпеку для всіх.
<