Ataki z wykorzystaniem SMS-ów, określane jako smishing, stanowią poważne zagrożenie, prowadząc do strat finansowych i wycieku danych zarówno u osób prywatnych, jak i w przedsiębiorstwach.
Cyberprzestępcy wykorzystują ufność użytkowników do wiadomości tekstowych, manipulując emocjami takimi jak strach czy ekscytacja, aby błyskawicznie wykradać dane, często bez świadomości ofiary.
Wyobraź sobie sytuację: przeglądasz wiadomości i nagle pojawia się informacja o wygranej głównej nagrody. Ta wiadomość wydaje się zbyt korzystna, aby mogła być prawdziwa, ale jednocześnie w dziwny sposób przekonująca.
Pojawia się pokusa kliknięcia w dołączony link. Konsekwencje bywają szokujące – wyczyszczone konto bankowe lub kradzież tożsamości, wszystko to w wyniku pozornie niegroźnego SMS-a.
Wkraczamy w świat smishingu – narastającego niebezpieczeństwa, które zaskakuje nawet najbardziej ostrożnych.
Statystyki są alarmujące. Tylko w pierwszych sześciu miesiącach 2021 roku, ataki smishingowe zanotowały wzrost o 700% na całym świecie.
Obrona przed tymi technikami manipulacyjnymi stała się niezwykle istotna.
W tym artykule przeanalizujemy, czym dokładnie jest smishing, jakie formy przybiera oraz jak można się przed nim chronić.
Zaczynajmy!
Czym jest smishing?
Smishing to termin pochodzący od połączenia słów „SMS” i „phishing”. Jest to cyberatak, który wykorzystuje zaufanie, strach, podniecenie oraz bezpośrednio Twoje konto bankowe poprzez fałszywe wiadomości SMS, które pozornie wyglądają na wiarygodne. W rzeczywistości jednak tak nie jest.
Wiadomości te mają za zadanie skłonić odbiorców do klikania w niebezpieczne linki lub ujawnienia poufnych informacji.
Celem smishingu jest kradzież danych osobowych, środków finansowych, a nawet tożsamości, w celu późniejszego wykorzystania w nielegalnych działaniach.
W typowym scenariuszu, ofiara otrzymuje wiadomość tekstową informującą o wygranej nagrodzie lub konieczności pilnej aktualizacji danych konta. Wiadomość często zawiera złośliwy link. Tekst zachęca do kliknięcia w ten link w celu wykonania kolejnego kroku, na przykład odebrania wygranej lub dokonania zmian na koncie.
Należy pamiętać, że są to podstępy stosowane przez cyberprzestępców do oszukiwania i wykorzystywania ludzi.
W latach 2021 i 2022, aż 76% organizacji na całym świecie doświadczyło tego typu ataków, jak podaje Statista. Ta alarmująca statystyka świadczy o powszechności tego zagrożenia.
Bezpieczeństwo zaczyna się od ostrożności. Nie klikaj w linki i nie udostępniaj swoich danych, jeśli nie masz pewności, że wiadomość jest prawdziwa. Sprawdź, kto wysłał wiadomość i zwracaj uwagę na błędy lub podejrzane prośby. Pamiętaj, że legalne firmy, takie jak banki, nigdy nie będą prosić o podawanie haseł lub poufnych danych za pomocą wiadomości SMS.
Wzrost popularności urządzeń mobilnych a smishing: czy jest to powód do obaw?
Wraz z tym, jak telefony komórkowe stały się integralną częścią codziennego życia, wzrosło również ryzyko wystąpienia ataków smishingowych. Jest to z pewnością powód do niepokoju zarówno dla osób prywatnych, jak i firm.
Rosnąca popularność smartfonów otworzyła przed cyberprzestępcami nowe możliwości wyłudzania informacji i środków pieniężnych. W samym 2021 roku wysłano około 87,8 miliarda niechcianych SMS-ów w samych Stanach Zjednoczonych. Spowodowało to straty przekraczające 10 miliardów dolarów.
Smartfony stały się niezbędnymi narzędziami do wykonywania różnorodnych czynności, od bankowości po kontakty towarzyskie. Jednak to stałe poleganie na technologii sprawia, że stajemy się bardziej podatni na manipulacje ze strony cyberprzestępców. Przestępcy wysyłają przekonujące wiadomości, które zachęcają do impulsywnych działań bez chwili zastanowienia.
Konsekwencje smishingu mogą być poważne – od opróżnienia kont bankowych po kradzież danych i tożsamości. Dlatego ważne jest, aby zrozumieć, że smishing to nie tylko irytujący problem, ale poważne zagrożenie dla Twojego bezpieczeństwa finansowego i prywatności.
Oczywiście, nie można zrezygnować z korzystania z telefonu, który stał się niezbędny zarówno w życiu prywatnym, jak i zawodowym. Można jednak zachować czujność i być świadomym zagrożeń. Zrozumienie ryzyka i zachowanie ostrożności pozwoli Ci obronić się przed podstępnymi działaniami cyberprzestępców.
Rodzaje ataków smishingowych
Znajomość różnych typów ataków smishingowych pomoże Ci w rozpoznawaniu złośliwych taktyk i unikaniu ich.
Przyjrzyjmy się zatem różnym formom smishingu.
Phishing Smishing
Ten tradycyjny rodzaj smishingu ma na celu nakłonienie Cię do kliknięcia w złośliwe linki, które przekierowują na fałszywe strony internetowe. Strony te mogą wyglądać identycznie jak autentyczne witryny, na przykład Twojego banku. Na fałszywej stronie zostaniesz poproszony o podanie wrażliwych danych, które zostaną przechwycone przez atakującego i wykorzystane w niecnych celach.
Vishing Smishing
Jest to bardziej spersonalizowana forma ataku. Oszuści wykorzystują połączenia głosowe w połączeniu z wiadomościami SMS. Mogą zostawiać wiadomości głosowe lub wysyłać SMS-y ostrzegające o nieautoryzowanym dostępie do konta lub o oszustwie, nakłaniając do oddzwonienia pod numer lub kliknięcia w link. Po wykonaniu tych czynności, oszuści wyłudzają dane osobowe.
Smishing z nagrodą
Perspektywa nagłej wygranej potrafi wzbudzić euforię. Cyberprzestępcy wykorzystują to, wysyłając wiadomości gratulacyjne o wygranej. W rzeczywistości nie brałeś udziału w żadnym konkursie.
W tego typu ataku napastnik żąda danych osobowych lub „niewielkiej opłaty” w celu odebrania nagrody. Po przekazaniu danych lub środków, oszust znika z pieniędzmi i informacjami ofiary.
Finansowy Smishing
Te wiadomości często podszywają się pod legalne instytucje finansowe i informują o podejrzanych aktywnościach na Twoim koncie, które wymagają natychmiastowej interwencji. W obawie o swoje finanse, ofiary mogą kliknąć w link i nieświadomie udostępnić dane konta.
Smishing z pilnym działaniem
Ten rodzaj smishingu wykorzystuje presję czasu, ostrzegając o sytuacji wymagającej natychmiastowej reakcji. Bez względu na to, czy dotyczy to aktualizacji konta, potwierdzenia zakupu, czy weryfikacji transakcji, te wiadomości mają na celu sprowokowanie szybkiego i bezrefleksyjnego działania.
Smishing aplikacji
Atakujący mogą wysłać wiadomość, która rzekomo pochodzi z popularnego sklepu z aplikacjami, nakłaniając Cię do pobrania aktualizacji lub nowej aplikacji. Link prowadzi jednak do fałszywej strony, na której pobierasz złośliwe oprogramowanie.
Smishing na przyjaźni
Ta szczególnie podstępna technika polega na tym, że cyberprzestępcy podszywają się pod Twoich przyjaciół lub członków rodziny. Wykorzystując Twoje zaufanie, mogą prosić o wsparcie finansowe lub ujawnienie poufnych informacji.
Smishing turystyczny
Wykorzystując chęć podróżowania, oszuści wysyłają SMS-y z informacjami o ekskluzywnych ofertach turystycznych lub potwierdzeniami rezerwacji, których nie dokonywałeś. Kliknięcie linku może prowadzić do kradzieży danych lub instalacji złośliwego oprogramowania.
Smishing na cele charytatywne
Cyberprzestępcy żerują na Twojej dobroczynności, wysyłając wiadomości od fałszywych organizacji charytatywnych podczas katastrof lub w sytuacjach kryzysowych. Proszą o datki, ale pieniądze nigdy nie trafiają do potrzebujących.
Smishing z alarmem bezpieczeństwa
Wiadomości te wykorzystują obawy związane z bezpieczeństwem, alarmując, że Twoje konto zostało naruszone. Nakłaniają Cię do natychmiastowej reakcji lub udostępnienia napastnikom poufnych informacji, takich jak jednorazowe hasła. Po wykonaniu tych zaleceń, przestępcy mogą opróżnić Twoje konta lub uzyskać nieautoryzowany dostęp w celu przeprowadzenia dalszych ataków.
Przykłady ataków smishingowych i ich konsekwencje
Przyjrzyjmy się rzeczywistym przykładom takich ataków i ich tragicznym następstwom.
# 1. „Naruszenie konta bankowego”
Wyobraź sobie otrzymanie wiadomości tekstowej z numeru, który wygląda na numer Twojego banku. Informuje ona o nieautoryzowanej aktywności na Twoim koncie i zawiera pilną prośbę o kliknięcie w link w celu weryfikacji danych.
Nieświadoma zagrożenia ofiara klika w link i wprowadza swoje dane osobowe. W rezultacie przestępcy uzyskują dostęp do jej kont bankowych, co prowadzi do strat finansowych i poważnych problemów.
Przypadek: Atak smishingowy na Uniwersytet Deakin to głośny incydent, który miał miejsce w Australii. Spowodował on zagrożenie dla danych i tożsamości około 47 000 studentów, zarówno obecnych, jak i byłych. Naruszenie nastąpiło po ujawnieniu danych logowania jednego z pracowników, co umożliwiło nieautoryzowanej osobie dostęp do systemu masowej wysyłki wiadomości SMS, używanego przez uczelnię do komunikacji ze studentami.
#2. Oszustwo z „darmową kartą podarunkową”
Ofiary otrzymują wiadomości informujące o wygranej karcie podarunkowej lub nagrodzie. W celu otrzymania nagrody lub karty podarunkowej, ofiara ma podać swoje dane osobowe lub uiścić niewielką opłatę za przesyłkę. Po przekazaniu informacji lub opłaty, oszust znika, okradając ofiarę i wykorzystując jej dane osobowe.
Przypadek: Oszustwa związane z podszywaniem się pod agencje rządowe stanowią realny przykład wyłudzenia z użyciem kart podarunkowych. Oszuści dzwonili do osób prywatnych, podszywając się pod pracowników agencji rządowych, takich jak Administracja Ubezpieczeń Społecznych.
Ilość tego typu oszustw znacznie wzrosła w 2021 roku. Według Federalnej Komisji Handlu (FTC), prawie 40 000 konsumentów zgłosiło straty na łączną kwotę 148 milionów dolarów w pierwszych dziewięciu miesiącach roku. Średnia kwota straty w wyniku takiego oszustwa wynosiła 700 dolarów w 2018 roku i wzrosła do 1000 dolarów w 2021 roku. Stwierdzono, że osoby starsze, zwłaszcza te w wieku 50 lat i więcej, są bardziej podatne na te oszustwa.
#3. Podstęp z „fałszywą aktualizacją aplikacji”
Możesz otrzymać wiadomość tekstową z prośbą o natychmiastową aktualizację popularnej aplikacji. Zachowaj ostrożność, jeśli tak się stanie.
Link zawarty w wiadomości prowadzi do podrobionej aplikacji, która jest zainfekowana złośliwym oprogramowaniem. Jeśli zainstalujesz tę złośliwą aplikację, Twoje dane osobowe, w tym dane bankowe, mogą zostać skradzione. Co więcej, Twoje urządzenie może zostać przejęte, co umożliwi hakerom przejęcie nad nim kontroli. W rezultacie Twoje urządzenie może zostać opanowane, a Twoje dane mogą zostać skradzione.
Przypadek: Raport ZDNet ujawnił działanie złośliwego oprogramowania trojana na Androida, który udawał aktualizację systemu. Użytkownicy otrzymali wiadomość nakłaniającą do aktualizacji systemu. Jednakże po pobraniu i zainstalowaniu tej „aktualizacji”, działała ona jako trojan zdalnego dostępu, dając atakującym pełną kontrolę nad urządzeniem ofiary.
Umożliwiło to im przechwytywanie wielu danych, w tym wiadomości, zdjęć, a nawet danych GPS. Złośliwe oprogramowanie było bardzo zaawansowane i potrafiło nawet nagrywać rozmowy telefoniczne, co czyni je jedną z najbardziej inwazyjnych odmian złośliwego oprogramowania dla Androida.
#4. Zagrożenie „IRS”
Ofiary otrzymywały wiadomości SMS, które rzekomo pochodziły od Urzędu Skarbowego (IRS) z żądaniem natychmiastowej zapłaty zaległych podatków lub ostrzeżeniem o konsekwencjach prawnych. W obawie o konsekwencje, ofiary podporządkowywały się żądaniom, udostępniając informacje finansowe lub dokonując wpłaty. Konsekwencją były straty finansowe i ujawnienie tożsamości.
Przypadek: We wrześniu 2022 roku Urząd Skarbowy (IRS) ostrzegł o znacznym wzroście liczby oszustw tekstowych. Fałszywe wiadomości SMS często zwabiały ofiary, oferując im fałszywe ulgi związane z pandemią, ulgi podatkowe lub pomoc w założeniu konta online IRS.
W jednym z incydentów, podatnik otrzymał wiadomość informującą o zaległościach podatkowych i konieczności kliknięcia w podany link, aby uregulować swoje zobowiązania. Po kliknięciu, użytkownik został przekierowany na stronę phishingową, która próbowała wyłudzić jego dane osobowe i bankowe.
#5. Oszustwo z „potwierdzeniem podróży”
Ofiary otrzymują SMS-y, które rzekomo są potwierdzeniem podróży, której nie rezerwowały. Z ciekawości klikają w link, aby anulować rezerwację, a tym samym nieświadomie pobierają złośliwe oprogramowanie na swoje urządzenie.
Złośliwe oprogramowanie może kraść dane osobowe, hasła logowania, a nawet rejestrować naciśnięcia klawiszy. Prowadzi to do naruszenia prywatności i potencjalnych strat finansowych.
Przypadek: Według doniesień, Mevonnie Ferguson, mieszkanka hrabstwa Kent w Wielkiej Brytanii, padła ofiarą oszustwa związanego z rezerwacją lotu. Została oszukana przez fałszywe biuro podróży o nazwie Infinity Global Travel. Zakupiła ona rzekomo autentyczny bilet British Airways z Londynu do Kingston na Jamajce.
Po sprawdzeniu rezerwacji na stronie BA przy użyciu numeru potwierdzenia, wszystko wydawało się prawidłowe. Jednakże, około dwa tygodnie po zakupie i zaledwie kilka dni przed planowanym wyjazdem, rezerwacja zniknęła ze strony BA. Po skontaktowaniu się z linią lotniczą, okazało się, że żadna rezerwacja na jej nazwisko nie została dokonana. Oszust wykorzystał różnicę między rezerwacją „potwierdzoną” a „zabiletowaną”, tworząc pozór ważnej rezerwacji, podczas gdy w rzeczywistości była to tylko tymczasowa blokada.
#6. „Oszustwo romantyczne”
Źródło: Crystal Blockchain
W niektórych przypadkach, cyberprzestępcy budują emocjonalną więź z ofiarami za pośrednictwem wiadomości SMS, podszywając się pod osobę zainteresowaną romantyczną relacją. Gdy zdobędą zaufanie, manipulują ofiarami w celu udostępnienia danych osobowych i finansowych. Może to prowadzić do złamanego serca, zdrady i strat finansowych.
Przypadek: Cyberprzestępca podszywał się pod generała Paula Nakasone, dyrektora Agencji Bezpieczeństwa Narodowego i szefa amerykańskiego dowództwa cybernetycznego, aby zwabić kobiety w oszustwie romantycznym. Oszust rozpoczynał fałszywe rozmowy e-mailowe z kobietami na platformach mediów społecznościowych, podszywając się pod generała. W jednym z przypadków, oszust twierdził, że przebywa w Syrii i zasypywał kobietę religijnymi wiadomościami, zachęcając ją do komunikacji za pomocą Google Hangouts.
Środki zapobiegawcze przeciwko atakom smishingowym
Konsekwencje ataków smishingowych są nie tylko finansowe. Mogą również podważyć zaufanie, naruszyć prywatność i pozostawić ofiary z emocjonalnymi bliznami.
Przede wszystkim, przyjrzyjmy się skutecznym sposobom zapobiegania atakom smishingowym.
# 1. Świadomość i szkolenie
W dzisiejszym cyfrowym świecie istotne jest, aby każda organizacja zadbała o przeszkolenie swoich pracowników w zakresie bezpieczeństwa i ochrony wrażliwych informacji.
Według raportu ID Agent, firmy borykają się ze średnim kosztem 15 000 dolarów na skutek ataków smishingowych. Te straty finansowe podkreślają konieczność edukowania pracowników.
W celu wzmocnienia ochrony przed ukrytymi cyberzagrożeniami, należy priorytetowo traktować szkolenia i podnoszenie świadomości w całej organizacji. Pomoże to w przygotowaniu się na tego typu ataki i umożliwi mądrą reakcję.
Ponadto, regularne warsztaty, w których omawiane są ataki smishingowe, pomogą pracownikom odróżnić wiarygodne wiadomości od potencjalnych oszustw. Wyposażenie ich w umiejętność identyfikowania podejrzanych linków, pilnych żądań lub nieoczekiwanych zapytań, sprawi, że staną się ważnym elementem obrony przed tymi złośliwymi próbami.
#2. Weryfikacja tożsamości nadawcy
Zachowanie czujności jest pierwszą linią obrony w świecie, w którym fałszywe wiadomości łatwo docierają do naszej skrzynki odbiorczej. Gdy otrzymasz wiadomość, która nakłania do natychmiastowego działania lub prosi o poufne informacje, poświęć chwilę na zweryfikowanie nadawcy.
Dokładnie sprawdź numer telefonu lub adres e-mail nadawcy, aby upewnić się, że zgadzają się z oficjalnymi danymi kontaktowymi danej instytucji. Uprawnione podmioty nie będą prosić o poufne informacje za pomocą wiadomości SMS.
Poprzez potwierdzanie tożsamości nadawcy, znacząco zmniejszasz ryzyko, że padniesz ofiarą smishingu.
#3. Ostrożność w przypadku wiadomości tekstowych
Rozszerzenie ostrożnego podejścia z wiadomości e-mail na wiadomości SMS jest niezbędne dla ochrony Twoich zasobów cyfrowych. Cyberprzestępcy często wykorzystują wygodę i znajomość wiadomości tekstowych, aby manipulować ofiarami.
Dlatego też, każdą wiadomość tekstową traktuj tak samo ostrożnie, jak e-maile od nieznanych nadawców. Unikaj natychmiastowego klikania w linki lub pobierania treści, jeśli nie znasz nadawcy. Zwracaj uwagę na podejrzane wiadomości i na nieoczekiwane pytania.
#4. Zabezpieczenie urządzeń mobilnych
W erze cyfrowej, gdzie urządzenia mobilne przechowują mnóstwo danych osobowych, ich bezpieczeństwo jest priorytetem.
Dobrym sposobem walki z atakami smishingowymi jest stosowanie zaawansowanych funkcji bezpieczeństwa, takich jak zamki biometryczne (odciski palców, rozpoznawanie twarzy, itp.). Stanowią one dodatkową warstwę ochrony i zwiększają ogólne bezpieczeństwo danych.
Ważne jest również, aby być na bieżąco z najnowszymi poprawkami i aktualizacjami zabezpieczeń. Regularne aktualizowanie urządzeń mobilnych wzmacnia ochronę przed potencjalnymi cyberzagrożeniami. To proaktywne rozwiązanie chroni Cię przed lukami, które mogą być wykorzystane przez złośliwe osoby. Zainwestuj również w oprogramowanie zabezpieczające, aby stworzyć solidną barierę ochronną przed zagrożeniami.
#5. Uwierzytelnianie wieloskładnikowe
W celu wzmocnienia bezpieczeństwa danych cyfrowych, wdrożenie uwierzytelniania wieloskładnikowego (MFA) jest skuteczną strategią. Oprócz zabezpieczeń opartych na haśle, MFA wymaga dodatkowej warstwy weryfikacji. Zazwyczaj wiąże się to z wysłaniem kodu na inne urządzenie lub zeskanowaniem linii papilarnych.
Stosując ten zaawansowany system bezpieczeństwa, możesz zwiększyć poziom trudności dla potencjalnych atakujących, którzy chcą włamać się na Twoje konta. Będzie to działać jak tarcza, która chroni przed oszustwami.
#6. Silne hasła
Twój telefon, komputer i inne urządzenia przechowują wiele Twoich prywatnych danych. Łatwym, ale skutecznym sposobem zapewnienia bezpieczeństwa danych jest używanie silnych haseł dla każdego urządzenia.
Użyj silnego hasła, które składa się z liter, cyfr, symboli oraz wielkich i małych liter. To utrudni hakerom odgadnięcie Twojego hasła. Pomoże to udaremnić potencjalne ataki i zwiększy ogólne bezpieczeństwo cyfrowe.
#7. Zgłaszanie ataków smishingowych
Jako osoba świadoma i odpowiedzialna, Twoja rola w walce z cyberprzestępcami jest kluczowa. Zgłaszając takie zdarzenia odpowiednim władzom, pomagasz policji i innym osobom w ściganiu przestępców odpowiedzialnych za te ataki.
Ponadto niezwykle ważne jest informowanie o takich incydentach znajomych, rodziny i współpracowników. Wspólne działanie pomaga zapobiegać rozprzestrzenianiu się złośliwych wiadomości i zwiększa bezpieczeństwo wszystkich.
#8. Aplikacje szyfrujące wiadomości
<img decoding=”async” class=”wp-image-242110 perfmatters-lazy”
newsblog.pl