Розгромні атаки передбачають використання шкідливих текстових повідомлень, через що окремі особи та компанії втрачають гроші та дані.
Кіберзловмисники використовують схильність користувачів довіряти текстовим повідомленням, використовуючи страх або хвилювання, щоб маніпулювати ними та компрометувати дані миттєво, навіть не усвідомлюючи цього.
Уявіть собі це: ви прокручуєте свої повідомлення й раптом отримуєте повідомлення про те, що ви виграли головний приз. Це здається занадто гарним, щоб бути правдою, але дивно переконливим.
У вас виникає спокуса натиснути на посилання, наведене в цьому тексті. Після цього настає шок від того, що ваш банківський рахунок спустошено або вашу особу викрадено, і все це через, здавалося б, нешкідливе повідомлення.
Ласкаво просимо у світ захоплюючих атак — зростаюча загроза застає зненацька навіть найкмітливіших людей.
Насправді лише за перші 6 місяців 2021 року напади зневажливих нападів вражали 700% зростання світовий.
Таким чином, нагальність захистити себе від цих маніпулятивних тактик ніколи не була такою гострою.
У цій статті я глибше розповім, що таке смішинг-атаки, їх типи та те, як від них захиститися.
Давайте розпочнемо!
Що таке Smishing?
Smishing, скорочення від «SMS-фішинг», — це кіберзагроза, яка полює на вашу довіру, страх, хвилювання та банківський рахунок за допомогою шкідливих текстових повідомлень, які здаються законними. Але насправді це не так.
Ці тексти спокушають людей натискати шкідливі посилання або ділитися конфіденційною інформацією.
Мета смішинг-атак — викрасти вашу особисту інформацію, гроші чи навіть вашу особу для шахрайських дій.
У цьому типі кібератаки жертва отримує текстове повідомлення про те, що вона виграла певний приз або їй, можливо, потрібно терміново оновити дані свого облікового запису. Він може містити зловмисне посилання. Текст запропонує вам натиснути це посилання, щоб виконати наступний крок, наприклад отримати приз або внести зміни у свій обліковий запис.
Обережно, це трюки, якими користуються кіберзлочинці, щоб обдурити людей і здійснити атаки.
У 2021 і 2022 роках приголомшливо 76% організацій у всьому світі зіткнувся з якоюсь жахливою атакою, як повідомляє Statista. Ця тривожна правда підкреслює широкомасштабність цієї загрози.
Безпека починається з обережності. Не натискайте на посилання та не повідомляйте свою особисту інформацію, якщо ви не впевнені, що повідомлення справжнє. Подивіться, хто надіслав повідомлення, і остерігайтеся помилок або дивних запитів. Пам’ятайте, що реальні компанії, такі як банки, не запитуватимуть ваші паролі чи конфіденційну інформацію в текстових повідомленнях.
Збільшення використання мобільних пристроїв і смішинга: це занепокоєння?
Оскільки мобільні пристрої стали невід’ємною частиною життя кожного, ймовірність смішинг-атак зростає. Це, безсумнівно, дуже хвилює кожного, незалежно від того, чи ви фізична особа, чи компанія.
Зі збільшенням використання мобільних пристроїв кіберзлочинці відкрили вигідну можливість використовувати інформацію та гроші. У 2021 році бл 87,8 мільярдів небажаних спам-повідомлень були надіслані лише на телефонні номери в США. Загалом люди втратили понад 10 мільярдів доларів.
Сьогодні телефони стали основними інструментами для виконання таких завдань, як банківська справа та спілкування. Однак ця постійна залежність також наражає людей на маніпулятивні стратегії, які використовують кіберзлочинці. Ці зловмисники надсилають переконливі повідомлення, які спокушають людей до імпульсивних дій, не замислюючись.
Наслідки смішинга можуть бути шокуючими, призвести до вичерпання банківських рахунків і викрадення даних і особистих даних. Ось чому вкрай важливо розуміти, що смішинг — це не лише роздратування, але й серйозна загроза вашій фінансовій безпеці та особистому приватному життя.
Зрозуміло, що ви не можете припинити користуватися телефоном, оскільки він важливий як у вашому особистому, так і в професійному житті. Але ви можете залишатися поінформованим і обережним. Розуміючи ризики та зберігаючи пильність, ви зможете захистити себе від оманливих лабетів зловмисних атак.
Типи смішінг атак
Ознайомившись із різними типами смішінг-атак, ви отримаєте знання, як розпізнавати ці зловмисні тактики та уникати їх жертв.
Отже, давайте розглянемо різні типи смішінг-атак.
Фішинг Смішинг
Ця традиційна форма смішинга спонукає вас натискати шкідливі посилання, які спрямовують вас на підроблені веб-сайти. Ці сайти можуть виглядати ідентичними до законних, як-от сайт вашого банку. Тут вам буде запропоновано ввести ваші конфіденційні дані, які потім захоплює зловмисник і використовує дані для розгортання атаки.
Вішінг Смішінг
Це більш індивідуальний підхід. Шахраї використовують голосові дзвінки разом із текстовими повідомленнями. Вони можуть залишати голосові повідомлення або надсилати SMS із попередженнями про зламані облікові записи чи шахрайські дії, просячи зателефонувати за номером або натиснути посилання. Як тільки ви це зробите, вони витягнуть у вас особисту інформацію.
Приз Smishing
Думка раптово щось виграти може схвилювати будь-кого. Кіберзлочинці використовують це, надсилаючи повідомлення, як-от вітання з виграшем призу. Але насправді ви не брали участі в жодному такому конкурсі.
У цьому типі смішинг-атаки зловмисник запитає вашу особисту інформацію або «невелику плату», щоб отримати приз. Далі, їх ніде не знайти, оскільки вони врешті-решт втечуть з вашими грошима та даними.
Фінансовий смішинг
Ці повідомлення часто імітують законні фінансові установи, стверджуючи про підозрілу діяльність у вашому обліковому записі, яка потребує вашої негайної уваги. Побоюючись цього, ви можете натиснути надане посилання та несвідомо надати доступ до свого облікового запису.
Термінові дії Smishing
Скориставшись відчуттям терміновості, ці повідомлення попереджають про тривалу ситуацію, яка потребує негайних дій. Незалежно від того, чи йдеться про оновлення вашого облікового запису, підтвердження покупки чи перевірку транзакції, ці повідомлення мають на меті змусити вас діяти швидко, не задумуючись.
Додаток Smishing
Зловмисники можуть надіслати вам повідомлення нібито з популярного магазину додатків із проханням завантажити оновлення або нову програму. Однак посилання веде на підроблений сайт, який завантажує зловмисне програмне забезпечення на ваш пристрій.
Friendship Smishing
У цій особливо оманливій техніці кіберзлочинці видають себе за друзів або членів сім’ї. Вони можуть попросити у вас фінансової допомоги або конфіденційної інформації, використовуючи вашу довіру у ваших стосунках.
Travel Smishing
Користуючись бажанням подорожувати, шахраї можуть надсилати повідомлення про ексклюзивні туристичні пропозиції або підтвердження бронювання поїздок, які ви ніколи не планували. Натискання посилань може призвести до крадіжки даних або встановлення зловмисного програмного забезпечення.
Чаріті Смішінг
Кіберзлочинці використовують вашу добру волю, надсилаючи повідомлення від фальшивих благодійних організацій під час катастрофи чи потреби. Вони просять пожертви, але гроші ніколи не йдуть нужденним.
Оповіщення безпеки Smishing
Ці повідомлення використовують занепокоєння з приводу порушень безпеки, заявляючи, що ваш обліковий запис зламано. Вони закликають вас вжити негайних заходів або надати конфіденційну інформацію, як-от одноразові паролі, зі зловмисниками. І коли ви це робите, вони очищають ваші банківські рахунки або отримують несанкціонований доступ для здійснення повномасштабної атаки.
Приклади смішінг-атак із реального життя та їх наслідки
Давайте розглянемо реальні приклади цих атак та їхні жахливі наслідки.
#1. «Компроміс банківського рахунку»
Уявіть собі, що ви отримуєте текстове повідомлення з номера, який, здається, є вашим банком, у якому повідомляється про несанкціоновану діяльність на вашому рахунку. У повідомленні настійно пропонується натиснути посилання, щоб підтвердити свої дані.
Жертва, яка нічого не підозрює, натискає на це посилання та вводить свою особисту інформацію. Незабаром зловмисники отримують доступ до їхніх банківських рахунків. Результат – спустошений банківський рахунок і фінансові потрясіння.
Справа: Університет Дікіна Smishing Attack – це резонансний інцидент із насмішкою в австралійському Університеті Дікіна, який поставив під загрозу особи та дані майже 47 000 нинішніх і колишніх студентів. Злом стався після того, як облікові дані одного співробітника були скомпрометовані, що дозволило неавторизованій особі отримати доступ до служби масової розсилки SMS-повідомлень, яка використовується університетом для спілкування зі студентами.
#2. Шахрайство з «безкоштовною подарунковою карткою».
Жертви отримують повідомлення про те, що вони виграли подарункову картку або приз. Все, що їм потрібно зробити, це надати свої особисті дані або сплатити невелику плату за доставку, щоб отримати приз або подарункову картку. Щойно одержувач надає їм інформацію або сплачує комісію, зловмисник зникає, обманюючи жертву та скомпрометувавши особисту інформацію.
Справа: Видача себе за державну установу є реальним прикладом шахрайства з подарунковою карткою. Окремі особи отримували телефонні дзвінки від шахраїв, видаючи себе за державну установу, наприклад Управління соціального захисту.
У 2021 році кількість цього шахрайства значно зросла: за даними Федеральної торгової комісії (FTC), майже 40 000 споживачів повідомили про збиток у розмірі 148 мільйонів доларів за перші дев’ять місяців року. Середня сума втрат від таких шахрайств у 2018 році становила 700 доларів США, а у 2021 році вона зросла до 1000 доларів США. Виявилося, що люди похилого віку, особливо віком від 50 років, більш сприйнятливі до цих шахрайств.
#3. Трюк «Фальшиве оновлення програми».
Ви можете отримати текстове повідомлення із закликом негайно оновити популярний додаток. Будьте обережні, якщо це станеться.
Посилання, надане в тексті, веде на підроблену програму, заражену шкідливим програмним забезпеченням. Якщо ви встановите цю шкідливу програму, ваша особиста інформація, включно з банківськими реквізитами, може бути викрадена. Крім того, ваш пристрій може бути скомпрометовано, що дозволить хакерам контролювати його. У результаті ваш пристрій може бути зламано, а ваші дані можуть бути викрадені.
Справа: у звіті ZDNet, Атака зловмисного програмного забезпечення Android Trojan було виявлено, що представлялося як оновлення системи. Користувачі отримали повідомлення із закликом оновити свою систему. Однак після завантаження та встановлення цього «оновлення» воно діяло як троян віддаленого доступу, надаючи зловмисникам повний контроль над пристроєм жертви.
Це дозволило їм отримувати широкий спектр даних, включаючи повідомлення, фотографії та навіть дані GPS. Зловмисне програмне забезпечення було складним і навіть могло записувати телефонні дзвінки, що робило його одним із найбільш агресивних штамів шкідливого програмного забезпечення для Android.
#4. Загроза “IRS”.
Люди отримали повідомлення від Служби внутрішніх доходів (IRS), в якому наполягають на миттєвій оплаті прострочених податків або попередження про правові наслідки. Побоюючись цього, жертви погоджуються, ділячись своєю фінансовою інформацією або здійснюючи запитуваний платіж. Результат – фінансові втрати та розкриття особи.
Справа: У вересні 2022 року Служба внутрішніх доходів (IRS) попередила про сплеск Текстове шахрайство IRS. Шахрайські тексти часто заманювали жертв заявами про фальшиву допомогу через COVID, податкові кредити або допомогу в створенні онлайн-облікового запису IRS.
Один відомий інцидент стосувався платника податків, який отримав повідомлення про заборгованість по податках і мав натиснути надане посилання, щоб сплатити свої зобов’язання. Після натискання вони були перенаправлені на фішинговий сайт, який намагався отримати їхні особисті та банківські дані.
#5. Шахрайство «підтвердження подорожі».
Жертви отримали текстове повідомлення, яке нібито є підтвердженням подорожі для поїздки, яку вони не бронювали. З цікавості вони клацають посилання, щоб скасувати бронювання, несвідомо завантажуючи шкідливе програмне забезпечення на свій пристрій.
Зловмисне програмне забезпечення може викрадати особисту інформацію, облікові дані для входу та навіть записувати натискання клавіш. Це порушило конфіденційність і призвело до потенційних фінансових втрат.
Випадок: Мевонні Фергюсон, жителька Кента у Великобританії, як повідомляється, стала жертвою Справжня афера з бронюванням авіаквитків. Її ошукав шахрай, який представляв туристичне агентство Infinity Global Travel. Їй продали те, що виглядало як законний квиток British Airways з Лондона до Кінгстона, Ямайка.
Після перевірки бронювання на веб-сайті BA за номером підтвердження воно здавалося дійсним. Однак приблизно через два тижні після покупки та всього за кілька днів до її від’їзду бронювання зникло з сайту BA. Зв’язавшись з авіакомпанією, вона виявила, що на її ім’я не було заброньовано рейсів. Шахрай використав різницю між «підтвердженим» і «зазначеним квитком» бронюванням, видавши його за дійсне бронювання, тоді як насправді це було лише тимчасове утримання.
#6. «Романтична афера»
Джерело: Crystalblockchain
У деяких сценаріях кіберзлочинці встановлюють емоційні зв’язки з жертвами через текстові повідомлення, вдаючи, що зацікавлені в романтичних стосунках. Як тільки вони успішно встановлюють довіру, вони маніпулюють жертвами, змушуючи їх ділитися особистою та фінансовою інформацією. Це може стати причиною душевного болю, зради та фінансового краху.
Випадок: кіберзлочинець видавав себе за генерала Пола Накасона, директора Агентства національної безпеки та керівника Кіберкомандування США, намагаючись заманити жінок у романтична афера. Шахрай ініціював фальшиві електронні розмови з жінками в соціальних мережах, використовуючи особу генерала. В одному випадку самозванець заявив, що перебуває в Сирії, і засипав жінку релігійними повідомленнями, закликаючи її спілкуватися через Google Hangouts.
Профілактичні заходи проти смішінг-атак
Наслідки нападів не тільки фінансові, але й можуть порушити довіру, скомпрометувати конфіденційність і залишити жертвам емоційні шрами.
Давайте заглибимося в деякі ефективні способи запобігання смішінг-атак.
#1. Обізнаність і навчання
У сучасному взаємопов’язаному цифровому ландшафті вашій організації важливо озброїти своїх працівників знаннями, щоб захистити конфіденційну інформацію.
Згідно зі звітом ID Agent, підприємства стикаються з середня вартість 15 000 доларів від глузливих нападів. Фінансовий вплив підкреслює нагальну потребу в навчанні вашої команди.
Щоб зміцнити свій захист від прихованих кіберзагроз, віддайте пріоритет комплексному навчанню зі смішинга та поширте обізнаність у всій організації. Це допоможе всім бути готовими до цих зловмисних атак і розумно на них реагувати.
Крім того, відвідування регулярних семінарів, які дають змогу ознайомитися з атаками смішингу, дають змогу вашим співробітникам відрізняти законні повідомлення від потенційного шахрайства. Оснастивши їх здатністю ідентифікувати підозрілі посилання, термінові чи несподівані запити, ваші співробітники стануть лякаючим бар’єром проти цих зловмисних спроб.
#2. Перевірка особи відправника
Практика пильності — це ваша перша лінія захисту у світі, де шахрайські повідомлення можуть бездоганно змішуватися з вашою папкою “Вхідні”. Коли ви отримуєте текстове повідомлення із закликом до негайних дій або з проханням надати конфіденційні дані, уважно вивчіть облікові дані відправника.
Ретельно перевірте номер або адресу електронної пошти відправника, переконавшись, що вони збігаються з офіційними контактними даними передбачуваної установи. Законні організації не вдаватимуться до текстових повідомлень для отримання конфіденційної інформації.
Підтвердивши особу відправника, ви суттєво зменшуєте ймовірність стати об’єктом смішінг-атак.
#3. Будьте обережні з текстовими повідомленнями
Розширення вашого обережного підходу з електронних листів на текстові повідомлення має важливе значення для захисту ваших цифрових активів. Кіберзлочинці часто використовують зручність і звичність текстових повідомлень, щоб маніпулювати своїми цілями.
Тому підходьте до кожного текстового повідомлення обережно, як і до електронних листів від людей, яких ви не знаєте. Уникайте негайного натискання на посилання або завантаження вмісту, якщо відправник вам незнайомий. Придивіться до повідомлень уважніше, щоб перевірити, чи не звучать вони дивно, чи запитують щось несподівано.
#4. Захист мобільних пристроїв
У цю епоху цифрових технологій, коли наші мобільні пристрої зберігають величезну кількість особистої та конфіденційної інформації, надзвичайно важливо приділити пріоритет їх безпеці.
Хорошим заходом для боротьби зі смішинг-атаками є впровадження розширених функцій безпеки, таких як біометричні замки, які використовують відбитки пальців, розпізнавання обличчя тощо. Це додає додатковий рівень захисту та покращує загальний захист даних.
Для забезпечення оптимальної безпеки важливо стежити за останніми виправленнями та оновленнями безпеки. Регулярно оновлюючи свої мобільні пристрої, ви створюєте надійний захист від потенційних кіберзагроз. Цей профілактичний захід захищає вас від уразливостей, якими можуть скористатися зловмисники. Крім того, інвестуйте в пристрої безпеки, щоб створити надійний бар’єр проти небезпечних загроз.
#5. Використовуйте багатофакторну автентифікацію
Щоб зміцнити ваші цифрові дані, впровадження багатофакторної автентифікації (MFA) є потужною стратегією. Окрім безпеки на основі пароля, MFA вимагає додаткового рівня перевірки. Зазвичай це стосується коду, надісланого на інший пристрій, або сканування відбитків пальців.
Використовуючи цю складну систему безпеки, ви можете ускладнити потенційні зловмисники, які намагаються зламати ваші облікові записи. Він діятиме як захисний щит, щоб захистити вас від спроб обману.
#6. Використовуйте надійні паролі
Ваш телефон, комп’ютери та інші пристрої містять багато вашої особистої інформації. Простий, але ефективний спосіб захистити дані – використовувати надійний пароль для кожного пристрою.
Створіть надійний пароль, який поєднує літери, цифри, символи, а також великі та малі літери. Через це хакерам буде важче вгадати ваш пароль. Це допомагає запобігти потенційним зловмисникам і зміцнити вашу загальну цифрову безпеку.
#7. Повідомте про атаки насмішки
Як поінформована та відповідальна особа, ваша роль у боротьбі з кіберзлочинцями є ключовою. Повідомляючи про інциденти відповідним органам влади, ви сприяєте допомозі поліції та іншим у спійманні злочинців, відповідальних за ці напади.
Крім того, дуже важливо повідомити своїх друзів, родину та колег про ці випадки. Спільні дії дозволяють нам запобігти розповсюдженню шкідливих повідомлень і забезпечити більшу безпеку для всіх.
#8. Використовуйте зашифровані програми обміну повідомленнями
Якщо вам потрібно поділитися конфіденційною інформацією, мудрим рішенням буде використання програм із зашифрованими повідомленнями. Ці програми використовують передові методи для перетворення ваших повідомлень на зашифровану мову, яку може зрозуміти лише призначений одержувач. Це захищає ваші повідомлення.
Незалежно від того, чи йдеться про грошову операцію чи ваші особисті дані, зашифровані програми обміну повідомленнями забезпечують додатковий рівень конфіденційності. Це дозволить лише потрібній людині розблокувати та прочитати повідомлення. Крім того, повідомте своїм друзям і родині використовувати ці програми, щоб усі залишалися в безпеці під час спілкування в Інтернеті.
Заключні слова
Шахраї використовують текстові повідомлення як засіб обману для розголошення особистої інформації або переходу на небезпечні посилання. Ось чому сьогодні вкрай важливо бути пильним проти атак зловмисників.
Щоб створити надійний захист, навчіть свою команду, перевірте дані відправника, будьте обережні з текстовими повідомленнями, захистіть свої пристрої та застосуйте надійні заходи безпеки, такі як багатофакторна автентифікація та надійні паролі.
Крім того, повідомляйте про підозрілі текстові повідомлення та використовуйте зашифровані програми обміну повідомленнями для підвищення безпеки. Ваші зусилля можуть значно змінити ситуацію, зробивши внесок у безпечніший цифровий світ для всіх.
Далі ознайомтеся з поширеними шахрайствами WhatsApp і як до них бути готовими.