Smishing

Smishing to rodzaj ataku cybernetycznego, który ma miejsce za pośrednictwem usług wiadomości krótkich (SMS) — wiadomości tekstowych. Może opierać się na socjotechnice, złośliwych załącznikach i fałszywych stronach internetowych, aby oszukać ludzi.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO


Także dla Windows, iOS, Android, Chromebook i For Business

Czym jest smishing? 

Termin "smishing" może brzmieć głupio, ale znaczenie smishing jest mniej zabawne niż się wydaje. Atak smishing to rodzajataku phishingowego , który wykorzystuje wiadomości tekstowe jako wektor ataku. Może polegać na inżynierii społecznej, złośliwych załącznikach i fałszywych stronach internetowych w celu wyłudzenia informacji.

Oszustwo smishing może być łatwe do przeprowadzenia, trudne do wyśledzenia i niebezpieczne w skutkach. Udany atak smishing może potencjalnie ujawnić hasła, zdjęcia, filmy i inne poufne dane oszustowi, a także działać jako wektor infekcji dla złośliwego oprogramowania zrzucanego na smartfon.

Każdy z miliardów użytkowników smartfonów na całym świecie jest potencjalnym celem smishing . W samych Stanach Zjednoczonych Federalna Komisja Handlu odnotowała prawie 400 000 skarg dotyczących oszustw związanych z niechcianymi SMS-ami, w tym ataki smishing w 2021 roku. W tym samym roku konsumenci zgłosili organom regulacyjnym stratę w wysokości ponad 80 milionów dolarów.

Ten przewodnik pomoże ci uniknąć ataków smishingowych i nauczy cię, jak zapobiegać smishingowi. Czytaj dalej, aby uzyskać bardziej szczegółowe informacje na temat poniższych zagadnień:

  • Smishing Definicja: czym jest atak smishing w cyberbezpieczeństwie?
  • Przykłady smishingu
  • Smishing a phishing
  • Co można zrobić w przypadku ataku na stronę smishing
  • Jak chronić się przed smishing

Smishing definicja i wyjaśnienie

Oto krótka definicja smishing : smishing to rodzaj ataku cyberbezpieczeństwa, który ma miejsce za pośrednictwem usług krótkich wiadomości tekstowych (SMS), znanych również jako wysyłanie wiadomości tekstowych. Niektórzy eksperci mogą również zdefiniować smishing jako atak na dowolny rodzaj wiadomości tekstowej, a nie tylko natywne mobilne systemy przesyłania wiadomości tekstowych, takie jak wiadomości na platformach mediów społecznościowych.

Prostszy sposób na zdefiniowanie smishingu to nazwanie go phishingiem przez SMS. Prowadzi to do pytania:czym jest phishing? Phishing to sytuacja, gdy złośliwy aktor podszywa się pod zaufaną instytucję, aby oszukać cel na popełnienie błędu w zakresie zabezpieczeń, na przykład dzieląc się poufnymi informacjami, zazwyczaj poprzez e-mail. Wiadomość phishingowa, znana również jako smishing, to phishing przez SMS.

Co to jest atak smishingowy?

Atak smishingowy to sytuacja, gdy złośliwy aktor używa złośliwych wiadomości tekstowych, aby złamać zabezpieczenia celu. Celem ataku smishingowego jest zazwyczaj zdobycie następujących poufnych informacji do kradzieży tożsamości lub przestępstw finansowych:

  • Nazwy
  • Adresy
  • Nazwy użytkowników
  • Hasła
  • Numery kart kredytowych
  • Kody kart kredytowych
  • Dane bankowe

Atak tekstowy typu phishing może być również wysoce ukierunkowany. Gdy sprawca zagrożenia zna numer telefonu ofiary, może zaprojektować atrakcyjny atak. Na przykład, jeśli oszust celuje w numer telefonu komórkowego dyrektora finansowego, może przeprowadzić atak smishing , który wydaje się pochodzić od potencjalnego kontaktu biznesowego.

Możesz przeczytać o phishing vs spear phishing vs whaling, aby dowiedzieć się o różnych typach ataków socjotechnicznych, które wykorzystują wiadomości tekstowe jako wektor zagrożeń.

Jak działa smishing? 

Podobnie jak phishing, smishing wprowadza nas w błąd, sprawiając, że wierzymy, iż fałszywe wiadomości są prawdziwe, abyśmy mogli się z nimi kontaktować bez obaw. Ataki smishingowe działają, wykorzystując niektóre lub wszystkie z następujących cech:

  • Kontekst: Wiadomości smishingowe używają kontekstu, aby wyglądać wiarygodnie. SMS-y smishingowe mogą wyglądać, jakby pochodziły z banku, twojego ulubionego sklepu lub rządu. Na przykład, oszustwa smishingowe związane z IRS, które kradną dane osobowe i finansowe, zyskują na popularności, ponieważ skutecznie wykorzystują kontekst, aby zdobyć zaufanie ofiary.
  • Wybór celu: Smishing ofiary mogą być wybierane na podstawie danych demograficznych i lokalnych powiązań. Na przykład, gang wyłudzaczy może wysyłać fałszywe wiadomości tekstowe z instytucji finansowej, która jest popularna w określonym numerze kierunkowym, na numery lokalne. Alternatywnie, mogą wysyłać wiadomości phishingowe z uniwersytetu do studentów po uzyskaniu dostępu do numerów telefonów.
  • Socjotechnika: Atak socjotechniczny manipuluje emocjami ofiary, takimi jak strach, miłość, pożądanie, chciwość, złość lub współczucie, aby zamglić ich osąd. Na przykład, oszukańcza wiadomość udająca, że pochodzi od ukochanej osoby, może sfabrykować sytuację awaryjną i nakłonić ofiarę do przesłania przelewu pieniężnego.
  • Złośliwe załączniki: Wiadomość phishingowa może zawierać złośliwy załącznik, który wygląda jak obraz, wideo lub dokument, ale w rzeczywistości jest wirusem, adware, spyware, trojanem lub ransomware.
  • Złośliwe linki: AtakiSmishing często wykorzystują złośliwe linki, złośliwe oprogramowanie lub fałszywe strony internetowe.

Smishing działa również w oparciu o prostotę wiadomości tekstowych. Wiadomości phishingowe można wykryć, zwracając uwagę na błędy gramatyczne, ortograficzne, formatowanie obrazów, dziwne adresy e-mail i inne nieprawidłowości. Wiadomości tekstowe są zwykle krótsze i nie zawierają grafik, takich jak logo firmy.

Na przykład, typowa wiadomość tekstowa z banku może mieć kilka zdań i zawierać link do sklepu lub strony finansowej. W przeciwieństwie do oficjalnego e-maila, taką wiadomość jest łatwo sfalszować.

Hakerzy są mniej skłonni do popełniania błędów gramatycznych podczas pisania jednego lub dwóch zdań w ataku smishing . Nie muszą też martwić się o replikowanie logo, aby teksty phishingowe wyglądały na autentyczne. Mogą również korzystać z technik fałszowania identyfikatora dzwoniącego i telefonów z palnikiem, aby zatrzeć ślady.

Smishing przykłady: Różne rodzaje ataków smishing 

  1. Wygrałeś konkurs lub nagrodę i musisz ją odebrać.
  2. Ktoś przesłał Ci prezent lub kupon, który musisz aktywować.
  3. Twoja instytucja finansowa musi potwierdzić twoje dane.
  4. Oczekujący przelew na twoje konto wymaga autoryzacji.
  5. Drogi zakup, który zrobiłeś, wymaga weryfikacji.
  6. Na twoim telefonie wykryto wirusa.
  7. Twoje konto zostało zablokowane z powodu podejrzanej aktywności lub nietypowych prób logowania.

Smishing vs phishing: Jaka jest różnica między smishing a phishingiem? 

smishing-vs-phishing

Smishing i phishing mogą brzmieć podobnie, ale nie są dokładnie tym samym. Jaka jest zatem różnica między phishingiem a smishingem? Największą różnicą w porównaniu smishing vs phishing jest to, że smishing wykorzystuje SMS jako medium ataku, podczas gdy phishing to ogólny termin na każdy e-mail, stronę internetową, wiadomość tekstową lub wiadomość głosową, która korzysta z oszustwa w celu ataku na cel. Innymi słowy, smishing jest rodzajem phishingu, który występuje za pośrednictwem wiadomości tekstowej. Celem obu ataków jest zbieranie twoich danych osobowych do działalności przestępczej. To jest element wspólny obu metod.

Co zrobić w przypadku ataku na stronę smishing ? 

Zgłoś atak 

Pierwszą rzeczą, jaką powinieneś zrobić, jest zgłoszenie ataku do odpowiedniego organu, podając jak najwięcej szczegółów. Na przykład, jeśli jesteś celem ataku IRS smishing , wyślij wiadomość e-mail o ataku na adres phishing@irs.gov z następującymi szczegółami:

  • Zidentyfikuj numer ID dzwoniącego w phishingu.
  • Zrób zrzut ekranu ataku.
  • Kopia wiadomości, jeśli nie możesz zrobić zrzutu ekranu.
  • Data, godzina, strefa czasowa i numer odbiorcy.

Inne organizacje również musiały zareagować na te oszustwa. Na przykład, banki i firmy płatnicze, takie jak PayPal, otworzyły kanały zgłaszania phishingu. Jeśli korzystasz z PayPal, zapoznaj się z rozpoznawaniem phishingowych e-maili PayPal, aby chronić swoje konto. 

Zmień wszystkie hasła 

Jeśli podejrzewasz, że jesteś celem ataku smishingowego, natychmiast zmień wszystkie hasła i kody PIN. Twoje nowe hasło powinno być skomplikowane i unikalne. Możesz przeczytać nasz przewodnik, aby dowiedzieć sięjak stworzyć silne hasło.

Zamroź swoją kartę 

Złośliwa osoba może próbować użyć twojej karty debetowej lub kredytowej po uzyskaniu dostępu do twoich wrażliwych danych. Sugerujemy, aby po zmianie haseł tymczasowo zamrozić wszystkie karty, aby zapobiec oszustwom finansowym. Możesz to zrobić, logując się do konta karty kredytowej lub dzwoniąc do swojej instytucji finansowej.

Poinformuj również wystawcę karty kredytowej o ataku smishing . Może on wyłączyć kartę i wydać nową z innym zestawem cyfr.

Monitoruj dalszą aktywność 

Monitoruj swoje konta pod kątem następujących rodzajów podejrzanej aktywności:

  • Nieznane transakcje na twoim koncie bankowym lub karcie kredytowej.
  • Nietypowe lokalizacje logowania na twoim koncie.
  • Twoje wrażliwe zdjęcia, filmy lub wiadomości tekstowe wyciekają.
  • Przyjaciele otrzymują od ciebie podejrzane wiadomości.
  • Pożyczki zaciągnięte na twoje nazwisko.
  • Zapis na rządowe programy pomocy finansowej

Nawet jeśli nie zauważysz natychmiast podejrzanej aktywności, obserwuj swoje konta w dłuższym okresie po ataku smishingowym. Świetnym sposobem monitorowania swoich kont finansowych pod kątem nieprawidłowości jest sprawdzanie raportów kredytowych.

Federalne prawo pozwala na dostęp do darmowego raportu kredytowego każdego roku z dużego biura informacji kredytowej. To daje trzy darmowe raporty rocznie. A do grudnia 2023 roku każdy w Stanach Zjednoczonych może uzyskać darmowy raport kredytowy co tydzień z wszystkich trzech biur.

Jak zatrzymać teksty smishing 

Po ustaleniu, że tekst jest oszukańczy, możesz go zablokować na telefonie z iOS lub Androidem. Na iPhonie przejdź do strony kontaktowej i stuknij Zablokuj tego dzwoniącego. Na telefonie z Androidem przejdź do strony kontaktowej i stuknij Zablokuj kontakt.

Oba systemy operacyjne oferują również filtry, które pozwalają na blokowanie spamu i innych niepożądanych wiadomości.

Jak filtrować wiadomości na iPhonie:

  1. Przejdź do Ustawienia.
  2. Stuknij Wiadomości.
  3. Przesuń przycisk obok Filtruj nieznanych nadawców.

Jak filtrować wiadomości na Androidzie:

  1. Przejdź do Wiadomości.
  2. Stuknij trzy kropki, aby otworzyć Ustawienia.
  3. Stuknij Blokuj numery i wiadomości.
  4. Aktywuj Ochrona ID dzwoniącego i spamu.

Operator telefonii komórkowej może również oferować narzędzia zapobiegającesmishing :

- Verizon

- AT&T

- T-Mobile

Jak chronić się przed smishing 

Ataki "smishing" mogą być złożone – wykorzystują alarmistyczny język, złośliwe załączniki, niebezpieczne linki oraz oszukańcze strony internetowe, by naruszyć nasze zabezpieczenia.Jak się chronić? Przygotuj się na wielu frontach.

Uważaj na pilne wiadomości 

Wiadomości phishingowe mogą wyglądać na pilne, aby uniemożliwić ci myślenie przed reakcją. Pierwsze, co powinieneś zrobić po otrzymaniu pilnej wiadomości, to wziąć głęboki oddech. Oceń sytuację, zanim odpowiesz. Jest mało prawdopodobne, aby legalny podmiot prosił o twoje wrażliwe informacje lub płatność za pomocą SMS-a. Jeśli masz wątpliwości, znajdź publicznie podany numer tej instytucji na jej oficjalnej stronie internetowej i zadzwoń bezpośrednio.

Potwierdź numery telefonu 

Sprawdź identyfikator rozmówcy. Poszukaj numeru pod identyfikatorem i sprawdź online, czy pasuje do kontekstu rozmowy.

Uwierzytelnianie wieloskładnikowe 

Aktywuj uwierzytelnianie wieloskładnikowe (MFA) na swoich kontach, aby chronić je przed hakerami, którzy mogą mieć dostęp do twoich danych logowania. MFA wymusza dodatkową weryfikację tożsamości użytkownika przy podejrzanej aktywności podczas próby logowania.

Ataki smishing mogą prosić o pilne otwarcie linku, aby skorzystać z fantastycznej oferty lub opłacić podatki do IRS, by uniknąć aresztowania. Te linki mogą prowadzić do złośliwych stron kradnących dane z karty kredytowej lub inne poufne informacje. Najlepiej unikać klikania w linki z wiadomości tekstowych i weryfikować źródło wiadomości.

Nie odpowiadaj na wiadomości od nieznanych numerów 

Filtrowanie połączeń może ci pomóc w ochronie przed smishingiem. Wiadomość z nieznanego numeru może być częścią oszustwa.

Nie przechowuj informacji o kartach kredytowych na telefonie 

Unikaj przechowywania danych karty kredytowej w telefonie w formie formularzy internetowych, plików tekstowych czy zrzutów ekranu. Atak smishing mogący zainstalować Trojana lub spyware na twoim urządzeniu z łatwością ukradnie te informacje. Rozpoznaj znaki złośliwego oprogramowania takiego ataku. Dodatkowo użyj bezpłatnego pobierania antywirusa, aby regularnie skanować system pod kątem wirusów, ransomware, spyware, adware i trojanów.

Zadzwoń do banku przed podjęciem jakiegokolwiek działania na prośbę banku 

To nic niezwykłego, że banki wysyłają SMS-y o ostatnich zakupach i limitach kredytowych. Ale raczej nie proszą o podanie wrażliwych danych do przelewu przez wiadomość tekstową. Zawsze dzwoń do banku, aby potwierdzić każdą prośbę przesłaną SMS-em lub e-mailem.

Unikaj udostępniania informacji o haśle 

Nigdy nie udostępniaj nazw użytkownika i haseł w wiadomościach tekstowych, nawet jeśli ufasz źródłu. Hakerzy mogą uzyskać dostęp do tych informacji w folderze „Wysłane” twojego urządzenia. 

Zainwestuj w rozwiązania antymalware 

Pobierz narzędzie do ochrony cybernetycznej na telefon, aby chronić się przed różnymi typami ataków. Na przykład,Malwarebytes dla Androida chroni użytkowników Androida przed wszystkimi typami złośliwego oprogramowania, a także zapewnia ochronę przed złośliwymi linkami/stronami internetowymi i phishingiem. Podobnie, Malwarebytes dla iOS chroni użytkowników iPhone'ów i iPadów przed złośliwym oprogramowaniem, spamowymi połączeniami, reklamami, oszukańczymi stronami i stronami phishingowymi.

Powstanie smishing 

Jak wspomniano wcześniej, zauważalny jest wzrost phishingu przez SMS. Smishing jest łatwym wektorem ataku dla oszustów przeciw milionom ludzi, którzy używają wiadomości tekstowych do komunikacji.

Przestępstwa smishing mogą prowadzić do różnych problemów związanych z bezpieczeństwem i prywatnością, włącznie z kradzieżą tożsamości. Eksperci twierdzą, że skutki kradzieży tożsamości mogą utrzymywać się przez kilka lat, obejmując straty czasu, pieniędzy, zadłużenie podatkowe, zniszczony kredyt, a nawet rejestr karny.

Proaktywne podejście do cyberbezpieczeństwa może zapobiec atakom smishing. Traktuj podejrzane wiadomości tekstowe z ostrożnością i wyposaż swoje urządzenie w oprogramowanie zabezpieczające, które zmniejsza ryzyko ataku phishingowego.

Powiązane: Czym jest wiadomość RCS?