In lumea noastra in care totul se desfasoara in mare viteza ne bazam pe dispozitivele mobile pentru aproape tot ceea ce facem. Platim facturi, comunicam prin email, folosim servicii bancare online, facem cumparaturi online, etc. si este greu sa gasim ceva care sa nu fie conectat la telefonul mobil. Desi lucrurile devin mai simple si mai rapide de realizat online pericolul atacurilor cibernetice a crescut. Infractorii cibernetici devin tot mai puternici si mai ingeniosi – unul dintre atacurile care au crescut ca frecventa este smishing-ul.
Ce este Smishing-ul?
Smishing-ul este combinatia dintre „SMS text messages” si „phishing” ceea ce inseamna ca este un atac de tip phishing care se efectueaza prin intermediul mesajelor text pe care le primiti pe dispozitivele dvs. mobile. Mesajele au in general un continut atragator, incercand sa va convinga sa dati click pe un anumit link.
Dand click pe linkul respectiv veti fi directionat catre un website real, unde vi se va solicita sa introduceti informatii sensibile cum ar fi ID-ul de utilizator, parola sau detalii bancare. Daca dati curs solicitarilor de acest tip veti deveni o victima a criminalilor cibernetici care va vor folosi datele pentru a comite fraude legate de identitate, vor sustrage bani din contul dvs. bancar sau pentru a efectua alte activitati rau intentionate.
O inselatorie de tip phishing (phishing scam) este o forma de atac cibernetic care va vizeaza pe dvs. sau afacerea dvs., trimitandu-va linkuri sau mesaje rau intentionate prin email, mesaje text SMS sau apeluri telefonice. Daca veti da click pe link sau furnizati informatii confidentiale prin orice cale, veti deveni o victima a acestor atacuri.
Tipuri de atacuri Smishing
Inselatoriile phishing prin SMS sunt efectuate in numeroase moduri. Iata cateva dintre cele mai comune metode de smishing pe care le folosesc criminalii cibernetici in zilele noastre:
- Mesaje text de la institutii financiare, banci sau companii de asigurari care anunta ca exista o problema cu contul dvs. care trebuie rezolvata rapid
- Mesaje text care va informeaza ca ati castigat un premiu important, un bilet de loterie sau oferte cu diverse reduceri
- Mesaje text de la organizatii online care va solicita sa va verificati metodele de plata
- Mesaje din partea diferitelor organizatii caritabile, pentru a face donatii
- SMS de la autoritati pentru a afla detalii
Atacuri Smishing: Cum functioneaza?
Atacurile smishing nu sunt ceva complicat fiind chiar usor de intreprins. Atacatorii folosesc cateva instrumente deloc complicate si ii vizeaza pe detinatorii de device-uri mobile trimitand mesaje text. Uneori, escrocii primesc detalii despre victimele lor inainte de a lansa un atac (social engineering scam).
Iata o descriere detaliata al modului in care se desfasoara atacurile de phishing prin SMS:
1. In primul rand, primiti un mesaj text de la infractorii cibernetici. Atacatorii folosesc numere de telefon falsificate pentru a se asigura ca SMS-urile creeaza impresia expedierii de la o entitate existenta – banca, etc.
De exemplu, daca escrocii au trimis un mesaj ca venind din partea unei banci atunci foarte probabil va vor pune intrebari legate de contul dvs. bancar. Daca fraudatorii detin mai multe detalii despre dvs., atunci ei vor cere informatii mai specifice despre dvs. pentru a va face sa credeti ca mesajul text provine de la un site web real sau o aplicatie pe care o utilizati.
2. Continutul mesajelor text este diferit de la caz la caz. Dar scopul tuturor mesajelor este de a crea un sentiment de urgenta pentru a va face sa luati masuri rapide.
3. Al treilea pas va determina soarta (!!). Daca ignorati mesajul text atunci acesta este sfarsitul acestei inselatorii. Dar, daca dati click pe link veti fi directionat catre un site cu aspect legitim, dar care in realitate este un site fals care imita originalul. La accesarea site-ului, fie vi se va cere sa furnizati informatii confidentiale, fie sa descarcati software pentru a finaliza procesul.
- Atacatorii va vor cere sa furnizati informatii confidentiale precum ID-ul de utilizator, datele de conectare la serviciu, detaliile bancare, detaliile cardului bancar, etc.
- Site-ul web va va cere sa descarcati un program pe telefonul mobil care ofata instalat le va oferi atacatorilor acces la dispozitivul dvs. Acestia vor putea sa va monitorizeze toate miscarile si va vor fura informatiile despre cont, bani etc.
Semne de identificare ale Smishing-ului
Desi continutul tehnicilor de phishing SMS variaza in fiecare scenariu, exista totusi unele asemanari care includ:
Inselatoriile smishing par sa provina din surse credibile
Mesajele par sa vina din contul sau de la numarul de telefon al unui coleg sau prieten dar formularea este neobisnuita – de exemplu: „Cardul dvs. bancar a expirat, faceti click pe link pentru a-l reactiva acum”.
Contin linkuri catre site-uri web
Scopul mesajelor text care sunt parte a unui atac smishing este de a castiga increderea oamenilor prin mesaje si de a finaliza activitati rau intentionate.
Uneori puteti fi convins sa descarcati un anumit software pe dispozitiv. Acest program permite atacatorilor sa va acceseze / controleze mobilul / computerul.
Crearea sentimentului de urgenta
Aceasta este o tactica eficienta utilizata de infractorii cibernetici care folosesc SMS-uri. Acestia se joaca cu emotiile dvs. (frica, lacomie), creand un sentiment de urgenta. Adesea, acestia folosesc mesaje pe care pur si simplu nu le puteti ignora, de ex. „A fost incasata o suma din contul dvs.”.
Atacuri dublate
Raufacatorii combina atacurile prin email cu cele prin SMS. Ei pot solicita numarul de telefon prin email si ulterior sa utilizeze acel numar de telefon pentru a trimite solicitari cu continut financiar.
Utilizarea numerelor de telefon falsificate
Spoofing-ul nu are legatura doar cu e-mailurile. Hackerii folosesc tehnici de falsificare si pentru apeluri vocale sau mesaje SMS. Spoofing-ul ii ajuta pe atacatori sa trimita mesaje anonime oamenilor, facandu-i sa creada ca provin de la o entitate de incredere.
Atacuri smishing: De ce sunt atat de periculoase?
Fraudele prin mesaje text SMS pot provoca daune dvs. si companiei dvs. Acestea sunt una dintre tehnicile populare de atac utilizate de hackeri deoarece:
- Fraudele prin SMS sunt una dintre cele mai simple si mai ieftine modalitati de a pacali utilizatorii online sau de device-uri mobile.
- Dispozitivele mobile nu va informeaza despre mesajele spam, deoarece de obicei nu poarta programe pentru a le detecta. Un singur click pe linkul nepotrivit si puteti pierde toate informatiile.
- Infractorii cibernetici pot dauna companiei dvs. manipulandu-va angajatii prin mesaje text. Acestia pot pretinde ca sunt superiorii dvs. si va pot solicita informatii sensibile despre compania dvs. Sau va pot cere prin mesaje text sa dezvaluiti unele secrete ale firmei dvs.
- Un singur atac smishing poate distruge statutul companiei dvs. in fata clientilor. Clientii dvs. se asteapta sa pastrati informatiile sensibile in siguranta. Iar un atac smishing ii va face sa rupa legaturile cu compania dvs.
Atacurile prin mesagerie sunt periculoase intrucat adeseori creeaza o impresie de familiaritate sau sunt mai personale decat cele prin email. Astfel, creste probabilitatea sa le cadeti victima. In plus, in cazul atacurilor prin mesagerie exista mai putine informatii si indicii care sa semnaleze ca ceva nu este in regula sau sa trezeasca suspiciuni. Atunci cand primiti un mesaj care vi se pare ciudat sau suspect, intrebati-va daca mesajul are sens si de ce v-a fost trimis.
Cum sa va protejati de atacuri smishing
- Daca primiti un mesaj de la un numar necunoscut care are si un link, ignorati acel mesaj.
- Daca deschideti mesajul text provenit de la o persoana necunoscuta, evitati sa dati click pe link, chiar daca acesta pare a fi important pentru dvs.
- Daca din panica sau entuziasm ati facut click pe link nu furnizati informatiile dvs. private (ID de utilizator, parola, detalii bancare) catre acel site web. Banca dvs. sau orice alta autoritate legitima nu va solicita sa furnizati datele dvs. confidentiale prin mesaje text. Daca primiti mesaje de la o institutie oficiala, contactati direct institutia pe un numar oficial.
- Dar daca deja ati furnizat informatiile dvs. sensibile pe acel site atunci nu pierdeti timp si luati masuri rapide. In functie de datele pe care le-ati furnizat, contactati autoritatile in cauza pentru a raporta problema de securitate si a va proteja.
- Blocati numerele care par a fi spam pentru a evita sa sa primiti mesaje de la acelasi numar in viitor.
Cum sa va protejati compania de inselaciuni de tip phishing
Puteti utiliza aproape toate informatiile prezentate mai sus pentru a va proteja afacerea. Iata insa cateva masuri de securitate suplimentare pentru mentine securitatea companiei dvs.:
- Majoritatea atacurilor cibernetice au succes din cauza greselilor umane. Prin urmare, trebuie sa va informati angajatii cu privire la toate tehnicile cibernetice cunoscute. Odata ce se vor familiariza cu toate pericolele existente vor putea sa evite aceste escrocherii.
- Nu toti angajatii dvs. au nevoie de acces la site-uri web, retele, baze de date si alte sisteme importante ale organizatiei dvs. pentru a-si indeplini sarcinile. Implementati o politica de limitare a accesului in compania dvs. care sa le permita angajatilor sa foloseasca doar resursele de care au nevoie pentru a-si finaliza activitatea. Procedand astfel veti reduce la minim riscul expunerii la date a afacerii dvs. in cazul in care unul dintre angajatii dvs. devine victima unui atac smishing.
- Daca primiti informatia ca cineva incearca sa lanseze un atac asupra companiei dvs. atunci nu pastrati acest mesaj numai pentru dvs. – informati toti angajatii si puneti-i in alerta.
Concluzie
Atacuri smishing vor avea loc inca mult timp inainte. Acestea sunt tipuri extrem de periculoase de atacuri cibernetice si este important sa va instruiti angajatii cu privire la efectele lor daunatoare asupra organizatiei dvs. Va puteti proteja pe dvs. si afacerea dvs. de aceste atacuri smishing urmand cu strictete instructiunile de mai sus.
Mai multe informatii despre atacurile smishing si exemple elocvente de astfel de atacuri, puteti gasi aici.