Smishing

Smishing to rodzaj ataku cybernetycznego, który ma miejsce za pośrednictwem usług wiadomości krótkich (SMS) — wiadomości tekstowych. Może opierać się na socjotechnice, złośliwych załącznikach i fałszywych stronach internetowych, aby oszukać ludzi.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Czym jest smishing? 

Termin "smishing" może brzmieć głupio, ale smishing znaczenie jest mniej zabawne niż się wydaje. Atak smishing to rodzajataku phishingowego , który wykorzystuje wiadomości tekstowe jako wektor ataku. Może opierać się na inżynierii społecznej, złośliwych załącznikach i fałszywych stronach internetowych w celu wyłudzenia informacji.

Oszustwo typu smishing może być łatwe do przeprowadzenia, trudne do wyśledzenia i niebezpieczne w skutkach. Udany atak smishing może potencjalnie ujawnić hasła, zdjęcia, filmy i inne poufne dane oszustowi, a także działać jako wektor infekcji dla złośliwego oprogramowania zrzucanego na smartfon.

Każdy z miliardów użytkowników smartfonów na całym świecie jest potencjalnym celem smishing . W samych Stanach Zjednoczonych Federalna Komisja Handlu odnotowała w 2021 r. prawie 400 000 skarg dotyczących oszustw związanych z niechcianymi wiadomościami tekstowymi, w tym atakami smishing . W tym samym roku konsumenci zgłosili organom regulacyjnym straty w wysokości ponad 80 milionów dolarów.

Ten przewodnik pomoże ci uniknąć ataków smishingowych i nauczy cię, jak zapobiegać smishingowi. Czytaj dalej, aby uzyskać bardziej szczegółowe informacje na temat poniższych zagadnień:

  • Definicja Smishing : czym jest atak smishing w cyberbezpieczeństwie?
  • Przykłady smishingu
  • Smishing a phishing
  • Co można zrobić w przypadku ataku smishing ?
  • Jak chronić się przed smishing

Definicja i wyjaśnienie Smishing

Oto krótka definicja smishing : smishing to rodzaj ataku cyberbezpieczeństwa, który ma miejsce za pośrednictwem usług krótkich wiadomości tekstowych (SMS), znanych również jako wysyłanie wiadomości tekstowych. Niektórzy eksperci mogą również zdefiniować smishing jako atak za pomocą dowolnego rodzaju wiadomości tekstowej, a nie tylko natywnych mobilnych systemów przesyłania wiadomości tekstowych, takich jak wiadomości na platformach mediów społecznościowych.

Prostszy sposób na zdefiniowanie smishingu to nazwanie go phishingiem przez SMS. Prowadzi to do pytania:czym jest phishing? Phishing to sytuacja, gdy złośliwy aktor podszywa się pod zaufaną instytucję, aby oszukać cel na popełnienie błędu w zakresie zabezpieczeń, na przykład dzieląc się poufnymi informacjami, zazwyczaj poprzez e-mail. Wiadomość phishingowa, znana również jako smishing, to phishing przez SMS.

Co to jest atak smishingowy?

Atak smishing ma miejsce, gdy podmiot stanowiący zagrożenie wykorzystuje złośliwe wiadomości tekstowe do naruszenia cyberbezpieczeństwa celu. Celem ataku smishing jest zazwyczaj uzyskanie następujących poufnych informacji w celu kradzieży tożsamości lub przestępstw finansowych:

  • Nazwy
  • Adresy
  • Nazwy użytkowników
  • Hasła
  • Numery kart kredytowych
  • Kody kart kredytowych
  • Dane bankowe

Atak tekstowy typu phishing może być również wysoce ukierunkowany. Gdy sprawca zagrożenia zna numer telefonu ofiary, może zaprojektować atrakcyjny atak. Na przykład, jeśli oszust celuje w numer telefonu dyrektora finansowego, może przeprowadzić atak smishing , który wydaje się pochodzić od potencjalnego kontaktu biznesowego.

Możesz przeczytać na phishing vs spear phishing vs whaling, aby dowiedzieć się o różnych rodzajach ataków socjotechnicznych, które wykorzystują wiadomości tekstowe jako wektor zagrożenia.

Jak działa smishing? 

Podobnie jak phishing, smishing wprowadza nas w błąd, sprawiając, że wierzymy, iż fałszywe wiadomości są prawdziwe, abyśmy mogli się z nimi kontaktować bez obaw. Ataki smishingowe działają, wykorzystując niektóre lub wszystkie z następujących cech:

  • Kontekst: Wiadomości smishingowe używają kontekstu, aby wyglądać wiarygodnie. SMS-y smishingowe mogą wyglądać, jakby pochodziły z banku, twojego ulubionego sklepu lub rządu. Na przykład, oszustwa smishingowe związane z IRS, które kradną dane osobowe i finansowe, zyskują na popularności, ponieważ skutecznie wykorzystują kontekst, aby zdobyć zaufanie ofiary.
  • Wybór celu: OfiarySmishing mogą być wybierane na podstawie danych demograficznych i lokalnych powiązań. Na przykład, gang wyłudzaczy może wysyłać fałszywe wiadomości tekstowe z instytucji finansowej, która jest popularna w określonym numerze kierunkowym, na numery lokalne. Alternatywnie, mogą wysyłać wiadomości phishingowe z uniwersytetu do studentów po uzyskaniu dostępu do numerów telefonów.
  • Inżynieria społeczna: Atak socjotechniczny manipuluje emocjami celu, takimi jak strach, miłość, pożądanie, chciwość, gniew lub współczucie, aby zaciemnić jego osąd. Na przykład fałszywa wiadomość, która wydaje się pochodzić od ukochanej osoby, może udawać nagły wypadek, aby nakłonić ofiarę do wysłania przelewu pieniężnego.
  • Złośliwe załączniki: Wiadomość phishingowa może zawierać złośliwy załącznik, który wygląda jak zdjęcie, film lub dokument, ale jest wirusem, oprogramowaniem reklamowym, szpiegującym, trojanem lub oprogramowaniem ransomware.
  • Złośliwe linki: AtakiSmishing często wykorzystują złośliwe linki, złośliwe oprogramowanie lub fałszywe strony internetowe.

Smishing działa również w oparciu o prostotę wiadomości tekstowych. Wiadomości ph ishingowe można wykryć, zwracając uwagę na błędy gramatyczne, ortograficzne, formatowanie obrazu, dziwne adresy e-mail i inne nieprawidłowości. Wiadomości tekstowe są zwykle krótsze i nie zawierają grafik, takich jak logo firmy.

Na przykład, typowa wiadomość od banku może składać się z kilku zdań i zawierać link do strony detalicznej lub finansowej. W przeciwieństwie do oficjalnej wiadomości e-mail, taki tekst jest łatwy do podrobienia.

Hackers jest mniej prawdopodobne, że popełnią błędy gramatyczne, pisząc jedno lub dwa zdania w ataku smishing . Nie muszą też martwić się o replikowanie logo, aby teksty phishingowe wyglądały na autentyczne. Mogą również korzystać z technik fałszowania identyfikatora dzwoniącego i telefonów z palnikiem, aby zatrzeć ślady.

Przykłady Smishing : Różne rodzaje ataków smishing 

  1. Wygrałeś konkurs lub nagrodę i musisz ją odebrać.
  2. Ktoś przesłał Ci prezent lub kupon, który musisz aktywować.
  3. Twoja instytucja finansowa musi potwierdzić twoje dane.
  4. Oczekujący przelew na twoje konto wymaga autoryzacji.
  5. Drogi zakup, który zrobiłeś, wymaga weryfikacji.
  6. Na twoim telefonie wykryto wirusa.
  7. Twoje konto zostało zablokowane z powodu podejrzanej aktywności lub nietypowych prób logowania.

Smishing a phishing: Jaka jest różnica między smishing a phishingiem? 

smishing

Smishing i phishing mogą brzmieć podobnie, ale nie są tym samym. Jaka jest więc różnica między phishingiem a smishing? Największą różnicą w porównaniu smishing i phishingu jest to, że smishing wykorzystuje SMS-y jako środek ataku, podczas gdy phishing jest terminem chwytliwym dla każdej wiadomości e-mail, strony internetowej, wiadomości tekstowej lub wiadomości głosowej, która wykorzystuje oszustwo do ataku na cel. Innymi słowy, smishing jest rodzajem ataku phishingowego, który odbywa się za pośrednictwem wiadomości tekstowej. Celem obu ataków jest zebranie danych osobowych użytkownika w celu dokonania oszustwa. To jest to, co obie metody mają ze sobą wspólnego.

Co zrobić w przypadku ataku smishing ? 

Zgłoś atak 

Pierwszą rzeczą, którą powinieneś zrobić, jest zgłoszenie ataku do odpowiedniego organu, podając jak najwięcej szczegółów. Na przykład, jeśli jesteś celem ataku smishing IRS, wyślij wiadomość e-mail o ataku na adres phishing@irs.gov z następującymi szczegółami:

  • Zidentyfikuj numer ID dzwoniącego w phishingu.
  • Zrób zrzut ekranu ataku.
  • Kopia wiadomości, jeśli nie możesz zrobić zrzutu ekranu.
  • Data, godzina, strefa czasowa i numer odbiorcy.

Inne organizacje również musiały zareagować na te oszustwa. Na przykład, banki i firmy płatnicze, takie jak PayPal, otworzyły kanały zgłaszania phishingu. Jeśli korzystasz z PayPal, zapoznaj się z rozpoznawaniem phishingowych e-maili PayPal, aby chronić swoje konto. 

Zmień wszystkie hasła 

Jeśli podejrzewasz, że jesteś celem ataku smishingowego, natychmiast zmień wszystkie hasła i kody PIN. Twoje nowe hasło powinno być skomplikowane i unikalne. Możesz przeczytać nasz przewodnik, aby dowiedzieć sięjak stworzyć silne hasło.

Zamroź swoją kartę 

Złośliwa osoba może próbować użyć twojej karty debetowej lub kredytowej po uzyskaniu dostępu do twoich wrażliwych danych. Sugerujemy, aby po zmianie haseł tymczasowo zamrozić wszystkie karty, aby zapobiec oszustwom finansowym. Możesz to zrobić, logując się do konta karty kredytowej lub dzwoniąc do swojej instytucji finansowej.

Poinformuj również wystawcę karty kredytowej o ataku smishing . Może on wyłączyć kartę i wydać nową z innym zestawem cyfr.

Monitoruj dalszą aktywność 

Monitoruj swoje konta pod kątem następujących rodzajów podejrzanej aktywności:

  • Nieznane transakcje na twoim koncie bankowym lub karcie kredytowej.
  • Nietypowe lokalizacje logowania na twoim koncie.
  • Twoje wrażliwe zdjęcia, filmy lub wiadomości tekstowe wyciekają.
  • Przyjaciele otrzymują od ciebie podejrzane wiadomości.
  • Pożyczki zaciągnięte na twoje nazwisko.
  • Zapis na rządowe programy pomocy finansowej

Nawet jeśli nie zauważysz natychmiast podejrzanej aktywności, obserwuj swoje konta w dłuższym okresie po ataku smishingowym. Świetnym sposobem monitorowania swoich kont finansowych pod kątem nieprawidłowości jest sprawdzanie raportów kredytowych.

Federalne prawo pozwala na dostęp do darmowego raportu kredytowego każdego roku z dużego biura informacji kredytowej. To daje trzy darmowe raporty rocznie. A do grudnia 2023 roku każdy w Stanach Zjednoczonych może uzyskać darmowy raport kredytowy co tydzień z wszystkich trzech biur.

Jak zatrzymać SMS-y smishing 

Po ustaleniu, że tekst jest fałszywy, można go zablokować na urządzeniu z systemem iOS lub Android telefonie. Na telefonie iPhone przejdź do strony kontaktu i stuknij opcję Zablokuj tego rozmówcę. Na telefonie z systemem Android przejdź do strony kontaktu i stuknij opcję Zablokuj kontakt.

Oba systemy operacyjne oferują również filtry, które umożliwiają blokowanie spamu i innych niechcianych wiadomości.

Jak filtrować wiadomości na iPhonie:

  1. Przejdź do Ustawienia.
  2. Stuknij Wiadomości.
  3. Przesuń przycisk obok Filtruj nieznanych nadawców.

Jak filtrować wiadomości na Androidzie:

  1. Przejdź do Wiadomości.
  2. Stuknij trzy kropki, aby otworzyć Ustawienia.
  3. Stuknij Blokuj numery i wiadomości.
  4. Aktywuj Ochrona ID dzwoniącego i spamu.

Twój operator telefonii komórkowej może również oferować narzędzia smishing :

- Verizon

- AT&T

- T-Mobile

Jak chronić się przed smishing 

Ataki "smishing" mogą być złożone – wykorzystują alarmistyczny język, złośliwe załączniki, niebezpieczne linki oraz oszukańcze strony internetowe, by naruszyć nasze zabezpieczenia.Jak się chronić? Przygotuj się na wielu frontach.

Uważaj na pilne wiadomości 

Wiadomości phishingowe mogą wydawać się pilne, aby uniemożliwić ci jasne myślenie przed zareagowaniem. Pierwszą rzeczą, którą powinieneś zrobić po otrzymaniu pilnej wiadomości, jest wzięcie głębokiego oddechu. Oceń sytuację przed udzieleniem odpowiedzi. Jest mało prawdopodobne, aby legalny podmiot poprosił o podanie poufnych informacji lub dokonanie płatności za pośrednictwem wiadomości tekstowej. Jeśli masz jakiekolwiek wątpliwości, znajdź publicznie wymieniony numer podmiotu na jego oficjalnej stronie internetowej i zadzwoń do niego bezpośrednio.

Potwierdź numery telefonu 

Sprawdź identyfikator rozmówcy. Poszukaj numeru pod identyfikatorem i sprawdź online, czy pasuje do kontekstu rozmowy.

Uwierzytelnianie wieloskładnikowe 

Aktywuj uwierzytelnianie wieloskładnikowe (MFA) na swoich kontach, aby chronić je przed hackers , którzy mogą mieć dostęp do Twoich danych logowania. MFA zmusza użytkowników do uwierzytelnienia swojej tożsamości w inny sposób, gdy podczas próby logowania wystąpi podejrzana aktywność.

Ataki smishing mogą prosić o pilne otwarcie linku, aby skorzystać z fantastycznej oferty lub opłacić podatki do IRS, by uniknąć aresztowania. Te linki mogą prowadzić do złośliwych stron kradnących dane z karty kredytowej lub inne poufne informacje. Najlepiej unikać klikania w linki z wiadomości tekstowych i weryfikować źródło wiadomości.

Nie odpowiadaj na wiadomości od nieznanych numerów 

Filtrowanie połączeń może ci pomóc w ochronie przed smishingiem. Wiadomość z nieznanego numeru może być częścią oszustwa.

Nie przechowuj informacji o kartach kredytowych na telefonie 

Unikaj przechowywania danych karty kredytowej w telefonie w postaci formularzy internetowych, plików tekstowych, a nawet zrzutów ekranu. Atak smishing , który instaluje trojana lub oprogramowanie szpiegujące na urządzeniu, może z łatwością wykraść te informacje. Rozpoznajzłośliwe oprogramowanie oznaki takiego ataku. Ponadto korzystaj zbezpłatnego programuantywirusowego do pobrania ze strony , aby regularnie skanować system w poszukiwaniu wirusów, oprogramowania ransomware, spyware, adware i trojanów.

Zadzwoń do banku przed podjęciem jakiegokolwiek działania na prośbę banku 

To nic niezwykłego, że banki wysyłają SMS-y o ostatnich zakupach i limitach kredytowych. Ale raczej nie proszą o podanie wrażliwych danych do przelewu przez wiadomość tekstową. Zawsze dzwoń do banku, aby potwierdzić każdą prośbę przesłaną SMS-em lub e-mailem.

Unikaj udostępniania informacji o haśle 

Nigdy nie udostępniaj nazw użytkownika i haseł w wiadomościach tekstowych, nawet jeśli ufasz źródłu. Hakerzy mogą uzyskać dostęp do tych informacji w folderze „Wysłane” twojego urządzenia. 

Zainwestuj w rozwiązania antymalware 

Pobierz narzędzie cyberbezpieczeństwa na swój telefon, aby chronić się przed różnymi rodzajami ataków. Na przykład Malwarebytes for Android chroni użytkowników Android przed złośliwym oprogramowaniem. Zapewnia również ochronę przed złośliwymi linkami / stronami internetowymi i phishingiem. Podobnie Malwarebytes dla iOS chroni użytkowników iPhone'a i iPada przed złośliwym oprogramowaniem, spamem, reklamami, witrynami wyłudzającymi informacje i witrynami phishingowymi.

Wzrost popularności smishing 

Jak wspomniano wcześniej, zauważalny jest wzrost phishingu przez SMS. Smishing jest łatwym wektorem ataku dla oszustów przeciw milionom ludzi, którzy używają wiadomości tekstowych do komunikacji.

Przestępstwa smishing mogą prowadzić do różnych problemów związanych z bezpieczeństwem i prywatnością, włącznie z kradzieżą tożsamości. Eksperci twierdzą, że skutki kradzieży tożsamości mogą utrzymywać się przez kilka lat, obejmując straty czasu, pieniędzy, zadłużenie podatkowe, zniszczony kredyt, a nawet rejestr karny.

Proaktywne podejście do cyberbezpieczeństwa może zapobiec atakom typu smishing . Traktuj podejrzane wiadomości tekstowe z ostrożnością i uzbrój swoje urządzenie w oprogramowanie zabezpieczające, które zmniejsza ryzyko ataku phishingowego.

Powiązane: Czym jest wiadomość RCS?