Ataki błyskawiczne obejmują szkodliwe wiadomości tekstowe, w wyniku których osoby fizyczne i firmy tracą pieniądze i dane.
Cyberprzestępcy wykorzystują skłonność użytkowników do ufania wiadomościom tekstowym, wykorzystując strach lub podekscytowanie do manipulowania nimi i kradzieży danych w mgnieniu oka, nawet nie zdając sobie z tego sprawy.
Wyobraź sobie taką sytuację – przewijasz wiadomości i nagle otrzymujesz wiadomość z informacją, że wygrałeś główną nagrodę. Wydaje się to zbyt piękne, aby mogło być prawdziwe, a jednocześnie dziwnie przekonujące.
Kusi Cię, aby kliknąć link podany w tym tekście. Gdy już to zrobisz, następuje szok związany z wyczerpaniem konta bankowego lub kradzieżą tożsamości, a wszystko to z powodu pozornie nieszkodliwego SMS-a.
Witamy w świecie zawrotnych ataków – rosnące zagrożenie zaskakuje nawet najbardziej bystre osoby.
W rzeczywistości tylko w ciągu pierwszych 6 miesięcy 2021 r. zdumiewające ataki wywołały zawroty głowy Wzrost o 700%. na całym świecie.
Dlatego pilna potrzeba obrony przed tymi taktykami manipulacyjnymi nigdy nie była bardziej nagląca.
W tym artykule zagłębię się w to, czym są ataki miażdżące, ich rodzaje i jak można się przed nimi chronić.
Zacznijmy!
Spis treści:
Co to jest smishing?
Smishing, skrót od „SMS phishing”, to cyberzagrożenie, które żeruje na Twoim zaufaniu, strachu, ekscytacji i koncie bankowym za pośrednictwem szkodliwych wiadomości tekstowych, które wydają się uzasadnione. Ale w rzeczywistości tak nie jest.
Teksty te kuszą ludzi do klikania szkodliwych linków lub udostępniania poufnych informacji.
Celem ataków smishingowych jest kradzież danych osobowych, pieniędzy, a nawet tożsamości w celu oszukańczych działań.
W przypadku tego typu cyberataku ofiara otrzymuje wiadomość tekstową z informacją, że wygrała jakąś nagrodę lub może potrzebować pilnej aktualizacji informacji o swoim koncie. Może zawierać złośliwy link. Tekst poprosi Cię o kliknięcie tego linku w celu wykonania następnego kroku, np. odebrania nagrody lub wprowadzenia zmian na koncie.
Uważaj więc, są to sztuczki stosowane przez cyberprzestępców w celu oszukiwania ludzi i przeprowadzania ataków.
W 2021 i 2022 r. oszałamiająca 76% organizacji Jak podaje Statista, świat stanął w obliczu pewnego rodzaju niszczycielskiego ataku. Ta niepokojąca prawda podkreśla powszechny charakter tego zagrożenia.
Zachowanie bezpieczeństwa zaczyna się od zachowania ostrożności. Nie klikaj linków ani nie podawaj swoich danych osobowych, jeśli nie masz pewności, że wiadomość jest autentyczna. Sprawdź, kto wysłał wiadomość i uważaj na błędy lub dziwne prośby. Pamiętaj, że prawdziwe firmy, takie jak banki, nie będą prosić Cię o podanie haseł ani poufnych danych w wiadomościach tekstowych.
Zwiększone wykorzystanie urządzeń mobilnych i smishing: czy jest to niepokojące?
Ponieważ urządzenia mobilne stały się integralną częścią życia każdego człowieka, prawdopodobieństwo wystąpienia ataków typu „sishing” jest większe. Jest to niewątpliwie bardzo niepokojące dla każdego, niezależnie od tego, czy jesteś osobą fizyczną, czy firmą.
Wraz ze wzrostem wykorzystania urządzeń mobilnych cyberprzestępcy odkryli lukratywną okazję do wykorzystania informacji i pieniędzy. W 2021 roku ok 87,8 miliarda niechcianych SMS-ów będących spamem zostały wysłane na numery telefonów w samych Stanach Zjednoczonych. Spowodowało to, że ludzie stracili łącznie ponad 10 miliardów dolarów.
Obecnie telefony stały się niezbędnymi narzędziami do zadań takich jak bankowość i kontakty towarzyskie. Jednak to ciągłe poleganie naraża również ludzi na strategie manipulacyjne stosowane przez cyberprzestępców. Napastnicy wysyłają przekonujące wiadomości, które kuszą ludzi do podejmowania impulsywnych działań bez zastanowienia.
Konsekwencje smishingu mogą być szokujące i skutkować opróżnieniem kont bankowych oraz kradzieżą danych i tożsamości. Dlatego tak ważne jest, aby zrozumieć, że smishing to nie tylko irytacja, ale także poważne zagrożenie dla Twojego bezpieczeństwa finansowego i prywatności.
Zrozumiałe jest, że nie możesz przestać używać telefonu, ponieważ jest on niezbędny zarówno w życiu osobistym, jak i zawodowym. Możesz jednak pozostać na bieżąco i zachować ostrożność. Rozumiejąc ryzyko i zachowując czujność, możesz zabezpieczyć się przed zwodniczymi szponami zabójczych ataków.
Rodzaje ataków miażdżących
Zdobycie wiedzy na temat różnych rodzajów ataków smishingowych wyposaży Cię w wiedzę niezbędną do rozpoznawania tych złośliwych taktyk i unikania ich.
Przyjrzyjmy się więc różnym rodzajom ataków powalających.
Phishing Smishing
Ta tradycyjna forma smishingu nakłania Cię do kliknięcia szkodliwych linków przekierowujących do fałszywych witryn internetowych. Witryny te mogą wyglądać identycznie jak witryny legalne, np. witryna Twojego banku. W tym miejscu zostaniesz poproszony o podanie poufnych danych, które osoba atakująca następnie przechwyci i wykorzysta do przeprowadzenia ataku.
Vishing Smishing
Jest to bardziej spersonalizowane podejście. Oszuści wykorzystują połączenia głosowe obok wiadomości tekstowych. Mogą zostawiać wiadomości głosowe lub wysyłać SMS-y ostrzegające o przejętych kontach lub oszukańczych działaniach, prosząc o zadzwonienie pod numer lub kliknięcie łącza. Gdy to zrobisz, pobierają od Ciebie dane osobowe.
Rozmowa nagród
Myśl o nagłej wygranej może wprawić każdego w ekscytację. Cyberprzestępcy wykorzystują to, wysyłając wiadomości zawierające np. gratulacje z okazji zdobycia nagrody. Ale tak naprawdę nie brałeś udziału w żadnym takim konkursie.
W przypadku tego typu ataku atakujący poprosi o podanie danych osobowych lub „niewielką opłatę” w celu odebrania nagrody. Następnie nigdzie ich nie można znaleźć, ponieważ w końcu uciekną z Twoimi pieniędzmi i danymi.
Finansowe Smashowanie
Wiadomości te często imitują legalne instytucje finansowe i informują o podejrzanych działaniach na Twoim koncie, które wymagają natychmiastowej uwagi. W obawie przed tym możesz kliknąć podany link i nieświadomie udostępnić swoje konto.
Pilne działanie Smishing
Wykorzystując poczucie pilności, komunikaty te ostrzegają o sytuacji, w której liczy się czas i która wymaga natychmiastowego działania. Niezależnie od tego, czy aktualizujesz konto, potwierdzasz zakup, czy weryfikujesz transakcję, te wiadomości mają na celu skłonienie Cię do szybkiego i bezmyślnego działania.
Aplikacja Smishing
Atakujący mogą wysłać Ci wiadomość rzekomo pochodzącą z popularnego sklepu z aplikacjami, z prośbą o pobranie aktualizacji lub nowej aplikacji. Link prowadzi jednak do fałszywej witryny pobierającej złośliwe oprogramowanie na Twoje urządzenie.
Uśmiech Przyjaźni
Ta szczególnie zwodnicza technika polega na tym, że cyberprzestępcy podają się za przyjaciół lub członków rodziny. Mogą poprosić Cię o pomoc finansową lub poufne informacje, wykorzystując Twoje zaufanie do relacji.
Podróżowanie
Wykorzystując chęć wędrowania, oszuści mogą wysyłać SMS-y z informacjami o ekskluzywnych ofertach turystycznych lub potwierdzeniach rezerwacji wycieczek, których nigdy nie planowałeś. Kliknięcie linku może prowadzić do kradzieży danych lub instalacji złośliwego oprogramowania.
Dobroczynność Smishing
Cyberprzestępcy żerują na Twojej dobrej woli, wysyłając wiadomości od fałszywych organizacji charytatywnych w czasie katastrofy lub potrzeby. Proszą o datki, ale pieniądze nigdy nie trafiają do potrzebujących.
Alarm bezpieczeństwa Smishing
Wiadomości te wykorzystują obawy dotyczące naruszeń bezpieczeństwa i informują, że Twoje konto zostało przejęte. Namawiają Cię do podjęcia natychmiastowych działań lub udostępnienia atakującym poufnych informacji, takich jak hasła jednorazowe. A gdy to zrobisz, opróżnią Twoje konta bankowe lub uzyskają nieautoryzowany dostęp w celu przeprowadzenia pełnego ataku.
Prawdziwe przykłady ataków miażdżących i ich konsekwencje
Przyjrzyjmy się prawdziwym przykładom takich ataków i ich strasznym konsekwencjom.
# 1. „Kompromis z konta bankowego”
Wyobraź sobie, że otrzymujesz wiadomość tekstową z numeru, który prawdopodobnie należy do Twojego banku, informującą Cię o nieautoryzowanej aktywności na Twoim koncie. Wiadomość zawiera pilną prośbę o kliknięcie linku w celu weryfikacji danych.
Niczego niepodejrzewająca ofiara klika ten link i wprowadza swoje dane osobowe. Wkrótce napastnicy uzyskują dostęp do ich kont bankowych. Efektem było opróżnienie konta bankowego i zawirowania finansowe.
Sprawa: Powalający atak na Uniwersytet Deakin to głośny incydent na australijskim Uniwersytecie Deakin, który naraził na ryzyko tożsamość i dane prawie 47 000 obecnych i byłych studentów. Do naruszenia doszło po ujawnieniu danych uwierzytelniających jednego pracownika, co umożliwiło nieupoważnionej osobie dostęp do usługi masowego przesyłania wiadomości SMS wykorzystywanej przez uniwersytet do komunikacji ze studentami.
#2. Oszustwo „Darmowa karta podarunkowa”.
Ofiary otrzymują wiadomości informujące, że wygrały kartę podarunkową lub nagrodę. Aby otrzymać nagrodę lub kartę podarunkową, wystarczy podać swoje dane osobowe lub uiścić niewielką opłatę za przesyłkę. Gdy odbiorca przekaże im informacje lub uiści opłatę, osoba atakująca znika, oszukując ofiarę i naruszając jej dane osobowe.
Sprawa: Podszywanie się pod agencję rządową to prawdziwy przykład oszustwa związanego z kartami podarunkowymi. Do osób prywatnych dzwoniły telefony od oszustów podających się za pracowników agencji rządowych, takich jak Administracja Ubezpieczeń Społecznych.
Liczba tych oszustw odnotowała znaczny wzrost w 2021 r. – według Federalnej Komisji Handlu (FTC) prawie 40 000 konsumentów zgłosiło stratę w wysokości 148 mln dolarów w ciągu pierwszych dziewięciu miesięcy roku. Średnia kwota strat w wyniku takich oszustw w 2018 r. wyniosła 700 dolarów i wzrosła do 1000 dolarów w 2021 r. Stwierdzono, że osoby starsze, zwłaszcza te w wieku 50 lat i starsze, były bardziej podatne na te oszustwa.
#3. Sztuczka „fałszywej aktualizacji aplikacji”.
Możesz otrzymać wiadomość tekstową z prośbą o natychmiastową aktualizację popularnej aplikacji. Zachowaj ostrożność, jeśli tak się stanie.
Link podany w tekście prowadzi do fałszywej aplikacji zainfekowanej złośliwym oprogramowaniem. Jeśli zainstalujesz tę złośliwą aplikację, Twoje dane osobowe, w tym dane bankowe, mogą zostać skradzione. Co więcej, Twoje urządzenie może zostać przejęte, co umożliwi hakerom przejęcie nad nim kontroli. W rezultacie Twoje urządzenie może zostać przejęte, a Twoje dane mogą zostać skradzione.
Sprawa: W raporcie ZDNet pt. Atak złośliwego oprogramowania trojana na Androida odkryto, że udawała aktualizację systemu. Użytkownicy otrzymali wiadomość wzywającą ich do aktualizacji systemu. Jednak po pobraniu i zainstalowaniu tej „aktualizacji” działała ona jak trojan zdalnego dostępu, dając atakującym pełną kontrolę nad urządzeniem ofiary.
Umożliwiło im to przechwytywanie szerokiego zakresu danych, w tym wiadomości, zdjęć, a nawet danych GPS. Szkodnik był wyrafinowany i potrafił nawet nagrywać rozmowy telefoniczne, co czyni go jedną z najbardziej inwazyjnych odmian szkodliwego oprogramowania dla Androida.
#4. Zagrożenie „IRS”.
Ludzie otrzymywali SMS-y z Urzędu Skarbowego (IRS) nalegające na natychmiastową płatność za zaległy podatek lub ostrzeżenie o konsekwencjach prawnych. Obawiając się tego, ofiary stosują się do tego, udostępniając swoje informacje finansowe lub dokonując żądanej płatności. Rezultatem są straty finansowe i odsłonięta tożsamość.
Sprawa: We wrześniu 2022 r. Urząd Skarbowy (IRS) ostrzegł o gwałtownym wzroście Oszustwa tekstowe IRS. Oszukańcze SMS-y często wabiły ofiary prośbami o fałszywą ulgę w związku z pandemią, ulgi podatkowe lub pomoc w założeniu konta internetowego IRS.
Godnym uwagi incydentem był podatnik, który otrzymał wiadomość z informacją, że ma zaległe podatki i musiał kliknąć podany link, aby uregulować swoje należności. Po kliknięciu zostali przekierowani na stronę phishingową, która próbowała przechwycić ich dane osobowe i bankowe.
#5. Oszustwo „Potwierdzenie podróży”.
Ofiary otrzymały SMS-a, który miał być potwierdzeniem podróży, której nie zarezerwowały. Z ciekawości klikają link, aby anulować rezerwację, nieświadomie pobierając złośliwe oprogramowanie na swoje urządzenie.
Szkodnik może kraść dane osobowe, dane logowania, a nawet rejestrować naciśnięcia klawiszy. Naruszyło to prywatność i spowodowało potencjalne straty finansowe.
Sprawa: Według doniesień Mevonnie Ferguson, mieszkanka hrabstwa Kent w Wielkiej Brytanii, była ofiarą Prawdziwe oszustwo związane z rezerwacją lotu. Została oszukana przez oszusta podającego się za biuro podróży Infinity Global Travel. Sprzedano jej coś, co wyglądało na legalny bilet British Airways z Londynu do Kingston na Jamajce.
Po sprawdzeniu rezerwacji na stronie internetowej BA za pomocą numeru potwierdzenia, wydawała się ona ważna. Jednak około dwa tygodnie po zakupie i zaledwie kilka dni przed jej wyjazdem rezerwacja zniknęła ze strony BA. Po skontaktowaniu się z linią lotniczą dowiedziała się, że nie zarezerwowano żadnego lotu na jej nazwisko. Oszust wykorzystał różnicę między rezerwacją „potwierdzoną” a „biletową”, sprawiając wrażenie ważnej rezerwacji, podczas gdy w rzeczywistości była to jedynie tymczasowa blokada.
#6. „Oszustwo romantyczne”
Źródło: Łańcuch Crystalblock
W niektórych scenariuszach cyberprzestępcy budują więź emocjonalną z ofiarami za pośrednictwem SMS-ów, udając, że są zainteresowani romantycznym związkiem. Kiedy już uda im się zdobyć zaufanie, manipulują ofiarami, aby udostępniły im informacje osobiste i finansowe. Może to spowodować ból serca, zdradę i ruinę finansową.
Sprawa: Cyberprzestępca podszył się pod generała Paula Nakasone, dyrektora Agencji Bezpieczeństwa Narodowego i szefa amerykańskiego dowództwa cybernetycznego, próbując zwabić kobiety w oszustwo romantyczne. Oszust inicjował fałszywe rozmowy e-mailowe z kobietami na platformach mediów społecznościowych, podając tożsamość generała. W jednym przypadku oszust twierdził, że stacjonuje w Syrii i zasypywał kobietę wiadomościami religijnymi, namawiając ją do komunikowania się za pośrednictwem Google Hangouts.
Środki zapobiegawcze przeciwko atakom smishingowym
Konsekwencje ataków smishingowych są nie tylko finansowe – mogą nadszarpnąć zaufanie, naruszyć prywatność i pozostawić ofiary w postaci emocjonalnych blizn.
Przyjrzyjmy się przede wszystkim skutecznym sposobom zapobiegania atakom powalającym.
# 1. Świadomość i szkolenie
W dzisiejszym połączonym krajobrazie cyfrowym istotne jest, aby Twoja organizacja wyposażyła swoich pracowników w wiedzę niezbędną do ochrony wrażliwych informacji.
Według raportu ID Agent, firmy borykają się z problemami średni koszt 15 000 dolarów od zabójczych ataków. Skutki finansowe podkreślają pilną potrzebę edukowania zespołu.
Aby wzmocnić swoją obronę przed ukrytymi zagrożeniami cybernetycznymi, nadaj priorytet kompleksowym szkoleniom dotyczącym ataków i szerzenia świadomości w całej organizacji. Pomoże to każdemu przygotować się na te złośliwe ataki i inteligentnie na nie zareagować.
Co więcej, udział w regularnych warsztatach zapewniających wgląd w ataki typu „smishing” umożliwi Twoim pracownikom rozróżnienie między wiarygodnymi wiadomościami a potencjalnymi oszustwami. Wyposażając ich w możliwość identyfikowania podejrzanych linków, pilnych żądań lub nieoczekiwanych żądań, Twoi pracownicy stają się zastraszającą barierą przed tymi złośliwymi próbami.
#2. Weryfikacja tożsamości nadawcy
Zachowanie czujności to pierwsza linia obrony w świecie, w którym fałszywe wiadomości mogą bezproblemowo przedostać się do Twojej skrzynki odbiorczej. Gdy otrzymasz wiadomość wzywającą do natychmiastowego działania lub proszącą o poufne dane, poświęć chwilę na sprawdzenie danych uwierzytelniających nadawcy.
Dokładnie sprawdź numer lub adres e-mail nadawcy, upewniając się, że jest zgodny z oficjalnymi danymi kontaktowymi rzekomej instytucji. Uprawnione podmioty nie będą uciekać się do wiadomości tekstowych w celu uzyskania poufnych informacji.
Potwierdzając tożsamość nadawcy, znacznie zmniejszasz prawdopodobieństwo, że staniesz się celem ataków sishingowych.
#3. Zachowaj ostrożność w przypadku wiadomości tekstowych
Rozszerzenie ostrożnego podejścia z wiadomości e-mail na wiadomości tekstowe jest niezbędne w celu ochrony zasobów cyfrowych. Cyberprzestępcy często wykorzystują wygodę i znajomość wiadomości tekstowych, aby manipulować swoimi celami.
Dlatego do każdej wiadomości tekstowej podchodź ostrożnie, tak samo jak do e-maili od osób, których nie znasz. Unikaj natychmiastowego klikania łączy lub pobierania treści, jeśli nadawca nie jest Ci znany. Przyjrzyj się bliżej wiadomościom, aby sprawdzić, czy nie brzmią dziwnie lub nie zawierają nieoczekiwanych pytań.
#4. Zabezpieczanie urządzeń mobilnych
W epoce cyfrowej, gdzie nasze urządzenia mobilne przechowują mnóstwo danych osobowych i poufnych, priorytetowe znaczenie ma ich bezpieczeństwo.
Dobrym sposobem na walkę z atakami smishingowymi jest wdrożenie zaawansowanych funkcji bezpieczeństwa, takich jak zamki biometryczne wykorzystujące odciski palców, rozpoznawanie twarzy itp. Stanowią one dodatkową warstwę ochrony i zwiększają ogólną ochronę danych.
Aby zapewnić optymalne bezpieczeństwo, istotne jest również bycie na bieżąco z najnowszymi poprawkami i aktualizacjami zabezpieczeń. Regularnie aktualizując swoje urządzenia mobilne, tworzysz silną ochronę przed potencjalnymi zagrożeniami cybernetycznymi. To proaktywne rozwiązanie chroni Cię przed lukami, które mogą wykorzystać złośliwe osoby. Zainwestuj także w urządzenia zabezpieczające, aby stworzyć solidną barierę przed niszczycielskimi zagrożeniami.
#5. Skorzystaj z uwierzytelniania wieloskładnikowego
Aby wzmocnić dane cyfrowe, wdrożenie uwierzytelniania wieloskładnikowego (MFA) jest skuteczną strategią. Oprócz zabezpieczeń opartych na hasłach MFA wymaga dodatkowej warstwy weryfikacji. Zwykle wiąże się to z wysłaniem kodu do innego urządzenia lub zeskanowaniem linii papilarnych.
Stosując tę skomplikowaną strukturę bezpieczeństwa, możesz zwiększyć złożoność potencjalnych atakujących próbujących włamać się na Twoje konta. Będzie działać jak tarcza ochronna, która uchroni Cię przed zwodniczymi próbami.
#6. Używaj silnych haseł
Twój telefon, komputery i inne urządzenia przechowują wiele Twoich prywatnych informacji. Łatwym, ale skutecznym sposobem zapewnienia bezpieczeństwa danych jest użycie silnego hasła dla każdego urządzenia.
Utwórz silne hasło składające się z liter, cyfr, symboli oraz wielkich i małych liter. Utrudnia to hakerom odgadnięcie Twojego hasła. Pomaga to udaremnić potencjalnych atakujących i zwiększa ogólne bezpieczeństwo cyfrowe.
#7. Zgłaszaj ataki miażdżące
Jako świadoma i odpowiedzialna osoba Twoja rola w walce z cyberprzestępcami jest kluczowa. Zgłaszając zdarzenia odpowiednim władzom, pomagasz policji i innym osobom w łapaniu przestępców odpowiedzialnych za te ataki.
Ponadto niezwykle istotne jest informowanie znajomych, rodziny i współpracowników o takich zdarzeniach. Wspólne działanie pozwala nam zapobiegać rozpowszechnianiu się szkodliwych komunikatów i zapewniać wszystkim większe bezpieczeństwo.
#8. Korzystaj z aplikacji do szyfrowania wiadomości
Jeśli chcesz udostępnić poufne informacje, mądrą decyzją jest korzystanie z aplikacji do szyfrowania wiadomości. Aplikacje te wykorzystują zaawansowane techniki przekształcania wiadomości na zaszyfrowany język, który może zrozumieć tylko zamierzony odbiorca. To chroni Twoje wiadomości.
Niezależnie od tego, czy mówisz o transakcji pieniężnej, czy o danych osobowych, aplikacje do szyfrowania wiadomości zapewniają dodatkowy poziom prywatności. Umożliwi to odblokowanie i przeczytanie wiadomości tylko właściwej osobie. Ponadto powiedzenie znajomym i rodzinie, aby korzystali z tych aplikacji, pomoże wszystkim zachować bezpieczeństwo podczas rozmów online.
Ostatnie słowa
Oszuści wykorzystują wiadomości tekstowe, aby oszukać osoby w celu ujawnienia danych osobowych lub kliknięcia niebezpiecznych linków. Dlatego właśnie dziś kluczowe znaczenie ma zachowanie czujności przed zabójczymi atakami.
Aby stworzyć silną ochronę, przeszkol swój zespół, zweryfikuj dane nadawcy, zachowaj ostrożność w przypadku SMS-ów, zabezpiecz swoje urządzenia i zastosuj silne środki bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe i solidne hasła.
Ponadto zgłaszaj podejrzane SMS-y i korzystaj z aplikacji do szyfrowania wiadomości, aby zwiększyć bezpieczeństwo. Twoje wysiłki mogą znacząco zmienić sytuację, przyczyniając się do stworzenia bezpieczniejszego cyfrowego świata dla wszystkich.
Następnie sprawdź typowe oszustwa WhatsApp i dowiedz się, jak się na nie przygotować.