LesioPM

Rozwój telefonów komórkowych spowodował również wzrost interakcji marketingowych z różnych źródeł. Zapewne każdy otrzymał w tym tygodniu SMS-a kampanią marketingową lub fundraisingową. Czy zauważyliście, że liczba takich wiadomości znacznie wzrosła w ostatnim czasie? To nie przypadek, gdyż nasze zachowania podlegają analizie agencji marketingowych i specjalistów do spraw komunikacji, zaobserwowano, że nie można liczyć na otwarcie przez odbiorcę maila przesłanego pocztą elektroniczną, czy akceptację powiadomień typu "push" z aplikacji, ale z drugiej strony 98% wiadomości SMS jest odczytywana w ciągu kilku sekund od ich otrzymania.

Obraz Elchinator z Pixabay

Nie tylko agencje marketingowe śledzą zachowania ludzkie, wzrost liczby reklamowych wiadomości tekstowych przyciągnął również oszustów szukających łatwego zysku. W ten sposób docieramy do nowego, zabawnego słowa w leksykonie bezpieczeństwa cybernetycznego "smishing".

SMS + Phishing = Smishing

Smishing jest sposobem wykorzystywania wiadomości tekstowych do oszukiwania osób w celu ujawnienia poufnych informacji, odwiedzenia zainfekowanej strony lub pobrania złośliwej aplikacji na smartfon. Te często z pozoru niewinnie wyglądające SMS mogą poprosić o potwierdzenie danych bankowych, zweryfikowanie informacji o koncie lub zapisanie się na biuletyn elektroniczny za pośrednictwem linku dostarczonego przez SMS.

Podobnie jak w przypadku znanego z poczty elektronicznej phishingu, celem oszustów jest spowodowanie, żeby nieświadomy zagrożenia odbiorca wykonał działania (kliknął przesłany link), dzięki czemu wpadnie w ręce cyberprzestępców. Kampanie smishing wykorzystują zamieszanie wywołane przez klęski żywiołowe, podszywają się pod oficjalne SMS z Rządowe Centrum Bezpieczeństwa (RCB) lub próbują żerować na akcjach charytatywnych, zbierając fundusze do własnej kieszeni zamiast dla potrzebujących.

Smishing vs Vishing vs Phishing

Wszystkie te techniki definiują sposoby jakich cyberprzestępcy używają do oszukiwania swoich ofiar, modus operandi jest taki sam, a tylko sposób komunikacji oszusta z ofiarą wyróżnia każdą z nich:

• Phishing jest to każdy rodzaj społecznego ataku informatycznego mającego na celu skłonienie ofiary do dobrowolnego przekazania cennych informacji, udając, że jest to legalne źródło. Najczęstszą formą komunikacji jest poczta elektroniczna, ale może to być również zainfekowana strona internetowa. Zarówno smishing jak i vishing są odmianami tej taktyki.
• Smishing, jak opisano powyżej, używa wiadomości tekstowych SMS do wyodrębnienia poszukiwanych informacji. Poniżej omówiono różne techniki smishing.
• Vishing brzmi obco, ale występuje bardzo często, jest nic innego jak typowa metoda "na wnuczka", czyli oszust dzwoni do ofiary podszywając się pod kogoś bliskiego, żeby wykorzystując naiwność odbiorcy przekonać, że jest jego bliskim, który wpadł w tarapaty i potrzebuje pilnie pomocy finansowej.

Przykłady technik Smishing-u (Smishing Techniques)

Pomysłowość oszustów nie zna granic, poniżej tylko kilka z metod oszustów zaliczanych do smishingu z racji wykorzystania wiadomości tekstowych:

• wysyłanie linku, które uruchamia pobieranie złośliwej aplikacji. Po kliknięciu na przesłany w SMS-ie link następuje automatyczne pobieranie aplikacji na smartfonach, często dzieje się to w tle, w sposób niewidoczny dla odbiorcy. W kampaniach smishingowych, te aplikacje są często przeznaczone do śledzenia uderzeń klawiszy, kradzieży tożsamości, ale również umożliwiając przejecie pełnej kontroli smartfona przez hakerów, lub zaszyfrować pliki na smartfonie w celu wymuszenia okupu;
• łączenie się z formularzami przechwytywania informacji. W ten sam sposób wiele kampanii phishingowych ma na celu skierowanie ofiar do podrobionych formularzy online, gdzie nieświadoma ofiara sama wprowadzi swoje dane wrażliwe, które następnie mogą zostać wykorzystane przez przestępców;
• spersonalizowane wiadomości tekstowe z przynętą. Oszuści to nie tylko rozsyłający tysiące SMSów Sebiki, wsród nich zdarzają się bardzie zaangażowani smisherzy, którzy mogą śledzić aktywność użytkownika w mediach społecznościowych w celu zwabienia go za pomocą wysoce spersonalizowanych wiadomości tekstowych z przynętą. Cel końcowy jest taki sam jak w przypadku każdego ataku phishingowego, ale ważne jest, aby wiedzieć, że oszuści czasami dysponują częścią Twoich danych osobowych, żeby uwierzytelnić się bardziej w Twoich oczach, żeby uśpić Twoją czujność;
• odesłanie do pomocy technicznej. Ponownie, technika ta jest odmianą klasycznego oszustwa technicznego lub może być uważana za "vishing przez smishing". Wiadomość SMS poinstruuje odbiorcę, aby skontaktował się z działem obsługi klienta za pośrednictwem numeru, który jest podany w tej wiadomości. Klient dzwoni na podany numer, który jest obsługiwany przez oszustów, a wiadomo ile i jakich informacji wymagają od nas czasami operatorzy infolinii, przeświadczeni, że rozmawiamy z BOK własnego banku możemy nieświadomie podać oszustom wiele danych, łącznie z numerami kart itp.

Jak zapobiegać oszustwom?

Technologia otwiera przed nami wiele możliwości, sprawiła, że smartfon jest naszym centrum dowodzenia światem, z dostępem do konta bankowego, danych wrażliwych, i pełną świadomość tego mają również cyberprzestępcy, którzy wymyślają i doskonalą swoje metody okradania nieuważnych ofiar.

• podobnie jak w przypadku wiadomości e-mail, przeczytaj na spokojnie wiadomość, jeżeli się spieszysz, nie klikaj w żadne linki, zostaw go na później, żeby w komfortowych warunkach móc go przeczytać, sprawdź, czy nie ma błędów ortograficznych i gramatycznych, często oszuści są obcokrajowcami i używają translatorów do tłumaczenia na polski. Odwiedź stronę internetową nadawcy zamiast podawać informacje w wiadomości, oraz sprawdź na stronie internetowej numer telefonu czy pasuje do tego podanego na stronie. Można też wpisać w wyszukiwarkę numer telefonu, jest obecnie wiele serwisów, w których użytkownicy dzielą się uwagami o podejrzanych numerach telefonów (przydaje się również w eliminacji telemarketerów);
• nigdy nie podawaj informacji finansowych lub płatniczych na stronach innych niż zaufana strona internetowa;
• nie klikaj na linki od nieznanych nadawców lub tych, którym nie ufasz;
• bądź szczególnie ostrożny wobec tekstów "działaj szybko", "zarejestruj się teraz" lub innych natarczywych i zbyt dobrych, by być prawdziwymi ofertami;
• zawsze wpisuj adresy internetowe w przeglądarce, a nie klikaj w przesłane w wiadomościach linki;
• zainstaluj kompatybilny z telefonami komórkowymi sprawdzony program antywirusowy na swoim smartfonie, nawet w Google Play roi się od fałszywych programów antywirusowych, które sprawią więcej szkody niż pożytku.

Dzięki zastosowaniu się do tych kilku rad, na pewno utrudnicie działanie cyberprzestępcom, a być może również uniknięcie zostania ich ofiarą.