Что такое смишинг и как от него защититься?

Смишинг. Определение и описание

Смишинг – это разновидность фишинга с использованием SMS-сообщений. Его еще называют SMS-фишинг.

Как и в случае с фишингом, мошенники маскируются под легитимные организации и обманом вынуждают своих жертв раскрыть конфиденциальную информацию. Для SMS-фишинга мошенники используют вредоносные программы или поддельные веб-сайты. При этом может быть задействована как служба SMS, так и другие сервисы, например мессенджеры для мобильных устройств, которые позволяют обмениваться данными.

Что такое смишинг?

Термин «смишинг» возник в результате комбинации двух слов: SMS (Short Message Services – служба коротких сообщений) и фишинг. В смишинг-атаке используются не технические уязвимости, а методы социальной инженерии с расчетом на человеческую доверчивость.

Фишеры рассылают по электронной почте мошеннические письма, чтобы заманить жертву и вынудить ее перейти по вредоносной ссылке. Смишеры вместо электронной почты используют для этого SMS-сообщения.

В обоих случаях задача злоумышленников – похитить персональные данные своей жертвы, чтобы затем использовать их в мошеннических схемах и в других преступных целях. Обычно такие атаки приводят еще и к краже денег – чаще всего личных, но иногда и денег компании.

Для кражи данных киберпреступники обычно используют следующие средства.

1. Вредоносное ПО. Смишинговое сообщение может содержать ссылку, с помощью которой на телефон загружается и устанавливается вредоносная программа. Такой SMS-зловред может маскироваться под легитимное приложение, но если пользователь вводит свою конфиденциальную информацию, вредоносное ПО отправляет эти данные киберпреступникам.
2. Вредоносный веб-сайт. Ссылка в смишинговом сообщении может вести на поддельную веб-страницу, где пользователю предлагается ввести свои персональные данные. Киберпреступники специально делают вредоносные страницы максимально похожими на популярные веб-сайты, чтобы легче было похищать конфиденциальную информацию пользователей.

Часто смишинговые сообщения приходят якобы от имени вашего банка и содержат просьбу предоставить персональную или финансовую информацию: например, реквизиты счета или PIN-код. Если вы предоставляете такую информацию – вы фактически вручаете грабителям ключ к вашему банковскому аккаунту.

Люди все чаще используют личные смартфоны для работы. Эта тенденция получила название BYOD (Bring Your Own Device). Поэтому смишинг становится угрозой не только для частных лиц, но и для бизнеса в целом. Неудивительно, что среди всех способов вредоносного использования SMS смишинг вырвался на лидирующие позиции.

Количество мобильных устройств растет, растет и число связанных с ними киберпреступлений. Помимо того что мобильные телефоны чаще всего используются именно для отправки сообщений, есть еще несколько факторов, которые делают смишинг особенно коварной угрозой. Давайте рассмотрим подробнее, как происходит смишинговая атака.

Как происходит смишинг?

В основе смишинга лежит обман и мошенничество. Люди легче попадаются на уловки мошенника, если он выдает себя за кого-то, кому они склонны доверять.

Мошенники используют методы социальной инженерии, чтобы манипулировать жертвой и влиять на принятие ею решений. Есть три фактора, которые способствуют их успеху.

1. Доверие. Выдавая себя за известное лицо или организацию, киберпреступник усыпляет бдительность своей жертвы. Поскольку люди в целом воспринимают SMS как канал для личных сообщений, они, как правило, не опасаются угрозы.
2. Контекст. Чтобы маскировка была убедительнее, злоумышленники используют сценарии, которые могут быть близки людям. Сообщение может быть персонализированным, чтобы человек не заподозрил спам.
3. Эмоции. Нагнетая эмоции, злоумышленники могут отключить способность своей жертвы рассуждать разумно и подтолкнуть ее к немедленному действию.

Мошенники учитывают эти факторы и составляют такие сообщения, которые побуждают людей к действию.

Как правило, в сообщении содержится ссылка на фишинговую страницу или приложение, маскирующееся под легитимное. Там человеку предлагают ввести свои персональные данные.

Мошенники выбирают жертву по многим причинам, чаще всего по признаку принадлежности к конкретной организации или по территориальному признаку. Мишенью могут стать сотрудники или клиенты конкретного учреждения, абоненты мобильного оператора, студенты какого-либо университета и даже жители определенного района.

Обычно мошенники выступают от имени той организации, которая и является целью атаки. Но это не обязательно – они могут принять любую личину, которая поможет им заполучить ваши идентификационные данные или финансовую информацию.

С помощью метода, который известен как спуфинг, злоумышленники подменяют свой настоящий телефонный номер фальшивым. Они также могут использовать одноразовые номера телефонов с дешевым предоплаченным тарифом, чтобы скрыть настоящий источник атаки. Известно, что для атак мошенники используют услугу отправки SMS-сообщений с электронной почты – это тоже помогает скрыть номера их телефонов.

Смишинговая атака имеет три основных фазы:

• рассылка наживки в виде SMS-сообщения;
• получение от жертвы ее личных данных мошенническим путем;
• реализация преступного замысла с использованием полученных данных.

Смишинг удался, если злоумышленники смогли использовать личные данные жертвы для достижения запланированной цели. Такой целью может быть в том числе кража денег с банковского счета, незаконное открытие кредитных карт с помощью похищенных идентификационных данных или кража конфиденциальной корпоративной информации.

Как распространяется смишинговая атака

Мы уже упоминали о том, что для смишинговых атак используются как служба SMS, так и мессенджеры для мобильных устройств. Фишинговые SMS-атаки коварны, их часто не замечают и не останавливают, потому что люди ошибочно предполагают, что SMS-сообщения безопасны.

Большинство из нас знает о рисках, связанных с мошенническими электронными письмами. Мы научились с подозрением относиться к безличным письмам, в которых написано: «Привет! Нажми на эту ссылку». Если письмо не содержит оригинальной информации, адресованной нам лично, – мы понимаем, что это явный признак почтового спама.

Но когда у нас в руках мобильный телефон, мы теряем бдительность. Многие считают, что смартфоны более защищены, чем компьютеры. Но безопасность смартфонов имеет границы, и она не всегда предусматривает прямую защиту от смишинга.

Для того чтобы замысел мошенников смог осуществиться, достаточно всего лишь нашей доверчивости и нашего неумения сориентироваться в ситуации. Поэтому любое мобильное устройство с возможностью передачи сообщений может стать мишенью для смишеров.

Устройства Android занимают бо́льшую часть рынка мобильных устройств, поэтому они – идеальная мишень для вредоносных сообщений. Но и устройства iOS имеют те же шансы подвергнуться риску. Apple iOS имеет хорошую репутацию в плане безопасности, но ни одна мобильная операционная система сама по себе не может защитить от фишинговых атак. Ложное чувство защищенности делает пользователей особенно уязвимыми, независимо от того, какой мобильной платформой они пользуются.

Еще один фактор риска связан с тем, что люди часто пользуются смартфонами на бегу, когда спешат или отвлекаются на что-либо другое. Это значит, что их легче захватить врасплох и заставить сделать необдуманный шаг в ответ на сообщение с запросом банковской информации.

Типы смишинговых атак

Во всех смишинговых атаках используются схожие методы, но их форма может существенно различаться. Мошенники могут выступать под самыми разными личинами и использовать различные сценарии, чтобы разнообразить свои атаки.

Поэтому составить полный перечень таких атак практически невозможно, ведь мошенники постоянно изобретают новые схемы. Мы рассмотрим несколько типичных сценариев и с их помощью выявим закономерности, которые помогут распознать смишинг и не стать его жертвой.

COVID-19

Смишинговые схемы, связанные с эпидемией COVID-19, маскируются под реальные программы, разработанные правительством, органами здравоохранения и финансовыми организациями для преодоления последствий эпидемии.

Для осуществления этих схем мошенники используют страх людей потерять здоровье или финансовое благополучие. Будьте осторожны, если:

• у вас спрашивают конфиденциальную информацию (паспортные данные, реквизиты банковских карт и т. д.);
• вам обещают налоговые вычеты;
• вам говорят, что необходимо обновить ваши данные в системе здравоохранения;
• от вас требуют заполнить форму для переписи населения.

Финансовые услуги

Смишинг в сфере финансовых услуг маскируется под уведомления от финансовых организаций. Практически все люди пользуются банковскими продуктами и кредитными картами, что делает их восприимчивыми к подобным сообщениям – как общего характера, так и от имени конкретного учреждения. В эту же категорию входят схемы, связанные с займами и инвестициями.

Банк или финансовая организация – это идеальное прикрытие для злоумышленника, решившего совершить финансовую махинацию. Признаками мошеннической схемы может быть требование срочно авторизоваться для разблокировки аккаунта, проверки подозрительной активности и т. д.

Подарки

В этом сценарии вам предлагают бесплатную услугу или продукт, часто от имени продавца или производителя с хорошей репутацией. Это может быть розыгрыш призов, бонус за покупки или любое другое бесплатное предложение. Мошенники знают, что слово «бесплатно» часто приводит людей в возбуждение, мешает им рассуждать здраво и заставляет действовать быстрее. Признаком мошеннической схемы может быть ограниченное по времени предложение или «эксклюзивная возможность» получить бесплатную подарочную карту.

Счет на оплату или подтверждение заказа

В этом сценарии смишинга от вас требуют подтвердить якобы совершенную покупку или оплатить счет за услугу. От вас требуют немедленных действий и присылают ссылку с расчетом на то, что вы перейдете по ней из любопытства или опасаясь штрафных санкций. Признаками мошенничества могут быть шаблонные строки текста с подтверждением заказа или отсутствие в сообщении названия компании.

Клиентская поддержка

В этом сценарии смишеры представляются сотрудниками клиентской службы солидной организации и предлагают вам помощь. Хорошей ширмой для мошенников являются популярные хайтек-компании и площадки интернет-торговли, такие как Apple, Google и Amazon.

Обычно мошенники утверждают, что с вашим аккаунтом возникла проблема, и предлагают пути решения. Они могут направить вас на поддельную страницу для авторизации, а в более сложных схемах предлагают вам сообщить им код для восстановления пароля на реальном сайте. Для пользователей сигналом того, что это мошенническая схема, должны стать такие темы, как выставленный счет, доступ к аккаунту, отклик на якобы поступившую от вас жалобу.

Примеры смишинга

Поскольку SMS-сообщениями пользуются практически все владельцы мобильных телефонов, смишинговые атаки регистрируются по всему миру. Вот несколько примеров таких атак.

Ранний доступ к Apple iPhone 12 – схема «подтверждение заказа или подарок»

Эта смишинговая кампания началась в сентябре 2020 года. Приманкой выступал iPhone 12: чтобы получить его бесплатно, предлагалось сообщить данные кредитной карты.

Эта схема строилась по сценарию с подарком и подтверждением заказа. Человеку приходило SMS-сообщение, в котором говорилось, что некий заказ доставлен по ошибочному адресу. Ссылка в сообщении вела на фишинговый инструмент, который маскировался под чат-бот Apple. Чат-бот предлагал человеку бесплатно протестировать iPhone 12 в рамках программы раннего доступа. Но для оплаты доставки устройства необходимо было ввести данные кредитной карты.

Почтовые службы USPS и FedEx

Это еще одна реализация сценария с подарком и подтверждением заказа. В сентябре 2020 года появилась информация о рассылке мошеннических SMS от имени почтовых служб FedEx и USPS. Целью этой смишинговой атаки была кража учетных данных к различным аккаунтам или реквизитов банковских карт.

В SMS сообщалось о невостребованной или ошибочно доставленной посылке и содержалась ссылка на фишинговый веб-инструмент. Этот инструмент имитировал сайт FedEx или USPS, где посетителям предлагали пройти опрос в обмен на подарок. Сценарии мошенников могли различаться, однако целью большинства из них было похищение логинов и паролей к таким сервисам, как Google.

Обязательный онлайн-тест на COVID-19

В апреле 2020 года американское Better Business Bureau зафиксировало массовую рассылку мошеннических SMS от имени государственных органов США. В этих сообщениях людям предлагалось сдать обязательный тест на COVID-19, перейдя по вложенной ссылке.

Разумеется, многие сразу же распознали ловушку, поскольку онлайн-теста на COVID-19 не существует. Тем не менее подобные сценарии могут появляться регулярно, поскольку страх людей перед эпидемией делает их легкой добычей для мошенников.

Как предотвратить смишинг

Радует то, что возможных последствий подобных атак легко избежать. Для этого нужно просто ничего не делать. Такие атаки могут причинить вам вред, только если вы проглотите наживку.

При этом не надо забывать, что SMS-сообщения – это легальное средство связи с вами, которое используют многие предприятия торговли и учреждения. Поэтому не все сообщения нужно игнорировать, но всегда следует быть начеку.

Вот несколько полезных вещей, которые нужно держать в голове, чтобы защититься от подобных атак.

• Не отвечайте. Даже если вам предлагают прислать слово «стоп», чтобы отписаться от рассылки, это может быть сбор информации об активных телефонных номерах. Мошенники рассчитывают на ваше любопытство или тревогу по поводу возникшей ситуации, но вы всегда можете проигнорировать их.
• Если сообщение выглядит срочным – не торопитесь. Если от вас требуют срочно подтвердить данные аккаунта или делают предложение с ограниченным сроком действия, это нужно воспринимать как потенциальный признак смишинга. Включайте здравый смысл и действуйте осторожно.
• Свяжитесь со своим банком или поставщиком услуг напрямую, если у вас возникают какие-либо сомнения. Легитимные учреждения никогда не требуют подтвердить данные аккаунта через SMS. Любое срочное уведомление можно проверить непосредственно через свой онлайн-аккаунт или по телефону службы поддержки.
• Никогда не пользуйтесь ссылками и другой контактной информацией, содержащейся в сообщении. Если ссылки или контакты в сообщении кажутся вам подозрительными, свяжитесь с организацией напрямую через официальные каналы связи, когда сможете
• Проверяйте номера телефонов. Нестандартные телефонные номера, например четырехзначные, могут принадлежать службе отправки электронной почты в виде SMS-сообщений. Это один из многочисленных способов, которым пользуются мошенники, чтобы скрыть настоящий номер телефона.
• Никогда не храните в телефоне реквизиты банковских карт. Лучший способ избежать кражи финансовой информации из цифрового кошелька – просто не хранить ее там.
• Используйте многофакторную аутентификацию (MFA). Даже если смишер узнал ваш пароль, эта информация будет для него бесполезна, если ваш аккаунт защищен дополнительным средством аутентификации. Самым распространенным вариантом MFA является двухфакторная аутентификация (2FA). Для нее часто используется код подтверждения, отправленный в SMS-сообщении. Есть и более надежные варианты защиты – например, специальные приложения для аутентификации (такие как Google Authenticator).
• Никогда не отправляйте в SMS-сообщениях пароли или коды доступа к аккаунтам. Если пароли или коды для двухфакторной аутентификации попадут в чужие руки, ваши аккаунты окажутся под угрозой. Никому не раскрывайте эту информацию и вводите ее только на официальных сайтах.
• Установите приложение для защиты от вредоносного ПО. Такие продукты, как Kaspersky Internet Security для Android, защитят вас не только от вредоносных приложений, но и от фишинговых ссылок в SMS-сообщениях.
• Сообщайте о всех попытках SMS-фишинга в соответствующие органы.

Помните, что и почтовый фишинг, и смишинг основаны на обмане: мошенникам нужно одурачить жертву, чтобы она сама помогла им, перейдя по ссылке или раскрыв конфиденциальную информацию. Поэтому самый простой способ защититься от подобных атак – вообще ничего не делать. Если вы не отвечаете на вредоносное SMS-сообщение, мошенники бессильны что-либо сделать.

Что делать, если вы стали жертвой смишинга

Смишинговые атаки довольно хитроумны и, возможно, сами того не подозревая, вы уже стали их жертвой. Поэтому нужно иметь план для восстановления после такой атаки.

Вот список действий, которые помогут уменьшить ущерб от успешной смишинговой атаки.

1. Сообщите о предполагаемой атаке любым организациям, которые могут помочь.
2. Заблокируйте счета, чтобы остановить будущее или текущее мошенничество.
3. Смените пароли и PIN-коды везде, где это возможно.
4. Следите за своими банковскими и другими онлайн-аккаунтами, чтобы вовремя обнаружить попытку входа с неизвестного устройства или другую подозрительную активность.

Каждое из этих действий крайне важно для защиты после смишинговой атаки. Если вы сообщите об атаке в соответствующие органы, это не только поможет вам преодолеть ее последствия, но и позволит другим людям не стать жертвами мошенников.

Полезные ссылки:

• Безопасны ли электронные переводы?
• Что делать, если вашу электронную почту взломали?
• Мошенничество с благотворительностью на фоне пандемии
• Мобильное мошенничество: что это и как себя защитить