Смишинг - это разновидность фишинга с использованием SМS сообщений. Его еще называют SМS-фишинг. Как и в случае с фишингом, мошенники маскируются под легитимные организации и обманом вынуждают своих жертв раскрыть конфиденциальную информацию. Для SМS-фишинга мошенники используют вредоносные программы или поддельные веб-сайты. При этом может быть задействована как служба SMS, так и другие сервисы, например мессенджеры для мобильных устройств, которые позволяют обмениваться данными.
Что такое смишинг? Термин «смишинг» возник в результате комбинации двух слов: SMS (Short Message Services - служба коротких сообщений) и фишинг. В смишинг-атаке используются не технические уязвимости, а методы социальной инженерии с расчетом на человеческую доверчивость.
Фишеры рассылают по электронной почте мошеннические письма, чтобы заманить жертву и вынудить ее перейти по вредоносной ссылке. Смишеры вместо электронной почты используют для этого SМS-сообщения. В обоих случаях задача злоумышленников - похитить персональные данные своей жертвы, чтобы затем использовать их в мошеннических схемах и в других преступных целях. Обычно такие атаки приводят еще и к краже
денег - чаще всего личных, но иногда и денег компании.
Для кражи данных киберпреступники обычно используют следующие средства.
Вредоносное ПО. Смишинговое сообщение может содержать ссылку, с
помощью которой на телефон загружается и устанавливается вредоносная программа. Такой SМS-зловред может маскироваться под легитимное приложение, но если пользователь вводит свою конфиденциальную информацию, вредоносное ПО отправляет эти данные киберпреступникам.
Вредоносный веб-сайт. Ссылка в смишинговом сообщении может вести на поддельную веб-страницу, где пользователю предлагается ввести свои персональные данные. Киберпреступники специально делают вредоносные страницы максимально похожими на популярные веб-сайты, чтобы легче было похищать конфиденциальную информацию пользователей.
Часто смишинговые сообщения приходят якобы от имени вашего банка и содержат просьбу предоставить персональную или финансовую информацию: например, реквизиты счета или РIN-код. Если вы предоставляете такую информацию - вы фактически вручаете грабителям ключ к вашему банковскому аккаунту.
Люди все чаще используют личные смартфоны для работы. Эта тенденция получила название BYOD (Bring Уour Own Device). Поэтому смишинг становится угрозой не только для частных лиц, но и для бизнеса в целом. Неудивительно, что среди всех способов вредоносного использования SMS смишинг вырвался на лидирующие позиции.
Количество мобильных устройств растет, растет и число связанных с ними киберпреступлений. Помимо того что мобильные телефоны чаще всего используются именно для отправки сообщений, есть еще несколько факторов, которые делают смишинг особенно коварной угрозой. Давайте рассмотрим подробнее, как происходит смишинговая атака.
Как происходит смишинг?
В основе смишинга лежит обман и мошенничество. Люди легче попадаются на уловки мошенника, если он выдает себя за кого-то, кому они склонны доверять.
Мошенники используют методы социальной инженерии, чтобы манипулировать жертвой и влиять на принятие ею решений. Есть три фактора, которые способствуют их успеху.
Доверие. Выдавая себя за известное лицо или организацию, киберпреступник усыпляет бдительность своей жертвы. Поскольку люди в целом воспринимают SMS как канал для личных сообщений, они, как правило, не опасаются угрозы.
Контекст. Чтобы маскировка была убедительнее, злоумышленники используют сценарии, которые могут быть близки людям. Сообщение может быть персонализированным, чтобы человек не заподозрил спам.
Эмоции. Нагнетая эмоции, злоумышленники могут отключить способность своей жертвы рассуждать разумно и подтолкнуть ее к немедленному действию.
Мошенники учитывают эти факторы и составляют такие сообщения, которые побуждают людей к действию.
Как правило, в сообщении содержится ссылка на фишинговую страницу
или приложение, маскирующееся под легитимное. Там человеку предлагают ввести свои персональные данные.
Мошенники выбирают жертву по многим причинам, чаще всего по
признаку принадлежности к конкретной организации или по территориальному признаку. Мишенью могут стать сотрудники или клиенты конкретного учреждения, абоненты мобильного оператора, студенты какого либо университета и даже жители определенного района.
Обычно мошенники выступают от имени той организации, которая и является целью атаки. Но это не обязательно - они могут принять любую личину, которая поможет им заполучить ваши идентификационные данные или финансовую информацию.
С помощью метода, который извес;ген как спуфинг, злоумышленники подменяют свой настоящий телефонный номер фальшивым. Они также могут использовать одноразовые номера телефонов с дешевым предоплаченным тарифом, чтобы скрыть настоящий источник атаки. Известно, что для атак мошенники используют услугу отправки SМS-сообщений с электронной почты - это тоже помогает скрыть номера их телефонов.
Смишинговая атака имеет три основных фазы:
рассылка наживки в виде SМS-сообщения;
получение от жертвы ее личных данных мошенническим путем;
реализация преступного замысла с использованием полученных данных.
Смишинг удался, если злоумышленники смогли использовать личные данные жертвы для достижения запланированной цели. Такой целью может быть в том числе кража денег с банковского счета, незаконное открытие кредитных карт с помощью п
Как распространяется смишинговая атака
Мы уже упоминали о том, что для смишинговых атак используются как служба SMS, так и мессенджеры для мобильных устройств. Фишинговые SМS-атаки коварны, их часто не замечают и не останавливают, потому что люди ошибочно предполагают, что SМS-сообщения безопасны.
Большинство из нас знает о рисках, связанных с мошенническими электронными письмами. Мы научились с подозрением относиться к безличным письмам, в которых написано: «Привет! Нажми на эту ссылку». Если письмо не содержит оригинальной информации, адресованной нам лично, - мы понимаем, что это явный признак почтового спама.
Но когда у нас в руках мобильный телефон, мы теряем бдительность. Многие считают, что смартфоны более защищены, чем компьютеры. Но безопасность смартфонов имеет границы, и она не всегда предусматривает прямую защиту от смишинга.
Для того чтобы замысел мошенников смог осуществиться, достаточно всего лишь нашей доверчивости и нашего неумения сориентироваться в
ситуации. Поэтому любое мобильное устройство с возможностью передачи сообщений может стать мишенью для смишеров.
Устройства Android занимают большую часть рынка мобильных устройств, поэтому они - идеальная мишень для вредоносных сообщений. Но и устройства iOS имеют те же шансы подвергнуться риску. Apple iOS имеет хорошую репутацию в плане безопасности, но ни одна мобильная операционная система сама по себе не может защитить от фишинговых атак. Ложное чувство защищенности делает пользователей особенно уязвимыми, независимо от того, какой мобильной платформой они пользуются.
Еще один фактор риска связан с тем, что люди часто пользуются смартфонами на бегу, когда спешат или отвлекаются на что-либо другое. Это значит, что их легче захватить врасплох и заставить сделать необдуманный шаг в ответ на сообщение с запросом банковской информации.
Типы смишинговых атак
Во всех смишинговых атаках используются схожие методы, но их форма может существенно различаться. Мошенники могут выступать под самыми разными личинами и использовать различные сценарии, чтобы разнообразить свои атаки.
Поэтому составить полный перечень таких невозможно, ведь мошенники постоянно изобретают
атак практически новые схемы. Мы
рассмотрим несколько типичных сценариев и с их помощью выявим закономерности, которые помогут распознать смишинг и не стать его жертвой.
Примеры смишинга
Поскольку SМS-сообщениями пользуются практически все владельцы мобильных телефонов, смишинговые атаки регистрируются по всему миру. Вот несколько примеров таких атак.
Ранний доступ к Apple iPhone 12 - схема «подтверждение заказа или подарок»
Эта смишинговая кампания началась в сентябре 2020 года. Приманкой выступал iPhone 12: чтобы получить его бесплатно, предлагалось сообщить данные кредитной карты.
Эта схема строилась по сценарию с подарком и подтверждением заказа. Человеку приходило SМS-сообщение, в котором говорилось, что некий заказ доставлен по ошибочному адресу. Ссылка в сообщении вела на фишинговый инструмент, который маскировался под чат-бот Apple. Чат-бот предлагал человеку бесплатно протестировать iPhone 12 в рамках программы раннего доступа. Но для оплаты доставки устройства необходимо было ввести данные кредитной карты.