Смишинг – это разновидность фишинга с использованием SMS-сообщений. Его еще называют SMS-фишинг.
Как и в случае с фишингом, мошенники маскируются под легитимные организации и обманом вынуждают своих жертв раскрыть конфиденциальную информацию. Для SMS-фишинга мошенники используют вредоносные программы или поддельные веб-сайты. При этом может быть задействована как служба SMS, так и другие сервисы, например мессенджеры для мобильных устройств, которые позволяют обмениваться данными.
Термин «смишинг» возник в результате комбинации двух слов: SMS (Short Message Services – служба коротких сообщений) и фишинг. В смишинг-атаке используются не технические уязвимости, а методы социальной инженерии с расчетом на человеческую доверчивость.
Фишеры рассылают по электронной почте мошеннические письма, чтобы заманить жертву и вынудить ее перейти по вредоносной ссылке. Смишеры вместо электронной почты используют для этого SMS-сообщения.
В обоих случаях задача злоумышленников – похитить персональные данные своей жертвы, чтобы затем использовать их в мошеннических схемах и в других преступных целях. Обычно такие атаки приводят еще и к краже денег – чаще всего личных, но иногда и денег компании.
Для кражи данных киберпреступники обычно используют следующие средства.
Часто смишинговые сообщения приходят якобы от имени вашего банка и содержат просьбу предоставить персональную или финансовую информацию: например, реквизиты счета или PIN-код. Если вы предоставляете такую информацию – вы фактически вручаете грабителям ключ к вашему банковскому аккаунту.
Люди все чаще используют личные смартфоны для работы. Эта тенденция получила название BYOD (Bring Your Own Device). Поэтому смишинг становится угрозой не только для частных лиц, но и для бизнеса в целом. Неудивительно, что среди всех способов вредоносного использования SMS смишинг вырвался на лидирующие позиции.
Количество мобильных устройств растет, растет и число связанных с ними киберпреступлений. Помимо того что мобильные телефоны чаще всего используются именно для отправки сообщений, есть еще несколько факторов, которые делают смишинг особенно коварной угрозой. Давайте рассмотрим подробнее, как происходит смишинговая атака.
В основе смишинга лежит обман и мошенничество. Люди легче попадаются на уловки мошенника, если он выдает себя за кого-то, кому они склонны доверять.
Мошенники используют методы социальной инженерии, чтобы манипулировать жертвой и влиять на принятие ею решений. Есть три фактора, которые способствуют их успеху.
Мошенники учитывают эти факторы и составляют такие сообщения, которые побуждают людей к действию.
Как правило, в сообщении содержится ссылка на фишинговую страницу или приложение, маскирующееся под легитимное. Там человеку предлагают ввести свои персональные данные.
Мошенники выбирают жертву по многим причинам, чаще всего по признаку принадлежности к конкретной организации или по территориальному признаку. Мишенью могут стать сотрудники или клиенты конкретного учреждения, абоненты мобильного оператора, студенты какого-либо университета и даже жители определенного района.
Обычно мошенники выступают от имени той организации, которая и является целью атаки. Но это не обязательно – они могут принять любую личину, которая поможет им заполучить ваши идентификационные данные или финансовую информацию.
С помощью метода, который известен как спуфинг, злоумышленники подменяют свой настоящий телефонный номер фальшивым. Они также могут использовать одноразовые номера телефонов с дешевым предоплаченным тарифом, чтобы скрыть настоящий источник атаки. Известно, что для атак мошенники используют услугу отправки SMS-сообщений с электронной почты – это тоже помогает скрыть номера их телефонов.
Смишинговая атака имеет три основных фазы:
Смишинг удался, если злоумышленники смогли использовать личные данные жертвы для достижения запланированной цели. Такой целью может быть в том числе кража денег с банковского счета, незаконное открытие кредитных карт с помощью похищенных идентификационных данных или кража конфиденциальной корпоративной информации.
Мы уже упоминали о том, что для смишинговых атак используются как служба SMS, так и мессенджеры для мобильных устройств. Фишинговые SMS-атаки коварны, их часто не замечают и не останавливают, потому что люди ошибочно предполагают, что SMS-сообщения безопасны.
Большинство из нас знает о рисках, связанных с мошенническими электронными письмами. Мы научились с подозрением относиться к безличным письмам, в которых написано: «Привет! Нажми на эту ссылку». Если письмо не содержит оригинальной информации, адресованной нам лично, – мы понимаем, что это явный признак почтового спама.
Но когда у нас в руках мобильный телефон, мы теряем бдительность. Многие считают, что смартфоны более защищены, чем компьютеры. Но безопасность смартфонов имеет границы, и она не всегда предусматривает прямую защиту от смишинга.
Для того чтобы замысел мошенников смог осуществиться, достаточно всего лишь нашей доверчивости и нашего неумения сориентироваться в ситуации. Поэтому любое мобильное устройство с возможностью передачи сообщений может стать мишенью для смишеров.
Устройства Android занимают бо́льшую часть рынка мобильных устройств, поэтому они – идеальная мишень для вредоносных сообщений. Но и устройства iOS имеют те же шансы подвергнуться риску. Apple iOS имеет хорошую репутацию в плане безопасности, но ни одна мобильная операционная система сама по себе не может защитить от фишинговых атак. Ложное чувство защищенности делает пользователей особенно уязвимыми, независимо от того, какой мобильной платформой они пользуются.
Еще один фактор риска связан с тем, что люди часто пользуются смартфонами на бегу, когда спешат или отвлекаются на что-либо другое. Это значит, что их легче захватить врасплох и заставить сделать необдуманный шаг в ответ на сообщение с запросом банковской информации.
Во всех смишинговых атаках используются схожие методы, но их форма может существенно различаться. Мошенники могут выступать под самыми разными личинами и использовать различные сценарии, чтобы разнообразить свои атаки.
Поэтому составить полный перечень таких атак практически невозможно, ведь мошенники постоянно изобретают новые схемы. Мы рассмотрим несколько типичных сценариев и с их помощью выявим закономерности, которые помогут распознать смишинг и не стать его жертвой.
Смишинговые схемы, связанные с эпидемией COVID-19, маскируются под реальные программы, разработанные правительством, органами здравоохранения и финансовыми организациями для преодоления последствий эпидемии.
Для осуществления этих схем мошенники используют страх людей потерять здоровье или финансовое благополучие. Будьте осторожны, если:
Смишинг в сфере финансовых услуг маскируется под уведомления от финансовых организаций. Практически все люди пользуются банковскими продуктами и кредитными картами, что делает их восприимчивыми к подобным сообщениям – как общего характера, так и от имени конкретного учреждения. В эту же категорию входят схемы, связанные с займами и инвестициями.
Банк или финансовая организация – это идеальное прикрытие для злоумышленника, решившего совершить финансовую махинацию. Признаками мошеннической схемы может быть требование срочно авторизоваться для разблокировки аккаунта, проверки подозрительной активности и т. д.
В этом сценарии вам предлагают бесплатную услугу или продукт, часто от имени продавца или производителя с хорошей репутацией. Это может быть розыгрыш призов, бонус за покупки или любое другое бесплатное предложение. Мошенники знают, что слово «бесплатно» часто приводит людей в возбуждение, мешает им рассуждать здраво и заставляет действовать быстрее. Признаком мошеннической схемы может быть ограниченное по времени предложение или «эксклюзивная возможность» получить бесплатную подарочную карту.
В этом сценарии смишинга от вас требуют подтвердить якобы совершенную покупку или оплатить счет за услугу. От вас требуют немедленных действий и присылают ссылку с расчетом на то, что вы перейдете по ней из любопытства или опасаясь штрафных санкций. Признаками мошенничества могут быть шаблонные строки текста с подтверждением заказа или отсутствие в сообщении названия компании.
В этом сценарии смишеры представляются сотрудниками клиентской службы солидной организации и предлагают вам помощь. Хорошей ширмой для мошенников являются популярные хайтек-компании и площадки интернет-торговли, такие как Apple, Google и Amazon.
Обычно мошенники утверждают, что с вашим аккаунтом возникла проблема, и предлагают пути решения. Они могут направить вас на поддельную страницу для авторизации, а в более сложных схемах предлагают вам сообщить им код для восстановления пароля на реальном сайте. Для пользователей сигналом того, что это мошенническая схема, должны стать такие темы, как выставленный счет, доступ к аккаунту, отклик на якобы поступившую от вас жалобу.
Поскольку SMS-сообщениями пользуются практически все владельцы мобильных телефонов, смишинговые атаки регистрируются по всему миру. Вот несколько примеров таких атак.
Эта смишинговая кампания началась в сентябре 2020 года. Приманкой выступал iPhone 12: чтобы получить его бесплатно, предлагалось сообщить данные кредитной карты.
Эта схема строилась по сценарию с подарком и подтверждением заказа. Человеку приходило SMS-сообщение, в котором говорилось, что некий заказ доставлен по ошибочному адресу. Ссылка в сообщении вела на фишинговый инструмент, который маскировался под чат-бот Apple. Чат-бот предлагал человеку бесплатно протестировать iPhone 12 в рамках программы раннего доступа. Но для оплаты доставки устройства необходимо было ввести данные кредитной карты.
Это еще одна реализация сценария с подарком и подтверждением заказа. В сентябре 2020 года появилась информация о рассылке мошеннических SMS от имени почтовых служб FedEx и USPS. Целью этой смишинговой атаки была кража учетных данных к различным аккаунтам или реквизитов банковских карт.
В SMS сообщалось о невостребованной или ошибочно доставленной посылке и содержалась ссылка на фишинговый веб-инструмент. Этот инструмент имитировал сайт FedEx или USPS, где посетителям предлагали пройти опрос в обмен на подарок. Сценарии мошенников могли различаться, однако целью большинства из них было похищение логинов и паролей к таким сервисам, как Google.
В апреле 2020 года американское Better Business Bureau зафиксировало массовую рассылку мошеннических SMS от имени государственных органов США. В этих сообщениях людям предлагалось сдать обязательный тест на COVID-19, перейдя по вложенной ссылке.
Разумеется, многие сразу же распознали ловушку, поскольку онлайн-теста на COVID-19 не существует. Тем не менее подобные сценарии могут появляться регулярно, поскольку страх людей перед эпидемией делает их легкой добычей для мошенников.
Радует то, что возможных последствий подобных атак легко избежать. Для этого нужно просто ничего не делать. Такие атаки могут причинить вам вред, только если вы проглотите наживку.
При этом не надо забывать, что SMS-сообщения – это легальное средство связи с вами, которое используют многие предприятия торговли и учреждения. Поэтому не все сообщения нужно игнорировать, но всегда следует быть начеку.
Вот несколько полезных вещей, которые нужно держать в голове, чтобы защититься от подобных атак.
Помните, что и почтовый фишинг, и смишинг основаны на обмане: мошенникам нужно одурачить жертву, чтобы она сама помогла им, перейдя по ссылке или раскрыв конфиденциальную информацию. Поэтому самый простой способ защититься от подобных атак – вообще ничего не делать. Если вы не отвечаете на вредоносное SMS-сообщение, мошенники бессильны что-либо сделать.
Смишинговые атаки довольно хитроумны и, возможно, сами того не подозревая, вы уже стали их жертвой. Поэтому нужно иметь план для восстановления после такой атаки.
Вот список действий, которые помогут уменьшить ущерб от успешной смишинговой атаки.
Каждое из этих действий крайне важно для защиты после смишинговой атаки. Если вы сообщите об атаке в соответствующие органы, это не только поможет вам преодолеть ее последствия, но и позволит другим людям не стать жертвами мошенников.
Полезные ссылки: