Smishing to rodzaj phishingu skierowanego na telefony komórkowe. Celem przestępcy jest zgromadzenie danych osobowych, takich jak na przykład numer ubezpieczenia społecznego lub numer karty kredytowej. Drogą ataku są wiadomości tekstowe lub SMS i stąd wzięła się nazwa – „SMiShing”.
Ataki smishingowe wykorzystują usługę wysyłania krótkich wiadomości tekstowych, czyli SMS-ów, które powszechnie nazywa się wiadomościami tekstowymi. Ten rodzaj ataku zyskał popularność dzięki temu, że ludzie zwykle chętniej ufają wiadomościom przychodzącym w aplikacji SMS na ich telefonach niż wiadomościom e-mail.
Choć wiele ofiar nie utożsamia phishingu z SMS-ami, to prawda jest taka, że przestępcom łatwiej jest zdobyć czyjś numer telefonu niż jego adres e-mail. Liczba możliwych numerów telefonu jest ograniczona – w USA numer telefoniczny składa się z 10 cyfr.
Natomiast długość adresu e-mail nie ma ograniczeń, chociaż są pewne zdroworozsądkowe wytyczne. Ponadto adres poczty elektronicznej może zawierać cyfry, litery i symbole – !, # i %. O wiele łatwiej jest wygenerować losowy ciąg dziesięciu cyfr, który pozwoli na skontaktowanie się z jakąś osobą niż znalezienie kontaktu za pomocą losowo wygenerowanego adres e-mail.
Haker może po prostu wysyłać wiadomości tekstowe na numery, które są losowymi kombinacjami dziesięciu cyfr. Może to powtarzać do woli z różnymi kombinacjami cyfr bez żadnych szkodliwych konsekwencji. Z badań przeprowadzonych przez Gartner wynika, że 98% wiadomości tekstowych zostaje odczytanych, a 45% z nich doczekuje się odpowiedzi. Nic więc dziwnego, że ten sposób ataku jest atrakcyjny dla hakerów, zwłaszcza gdy weźmie się pod uwagę fakt, że według tych samych badań tylko 6% wiadomości e-mail uzyskuje odpowiedź.
Haker może próbować osiągnąć wiele różnych celów za pomocą wiadomości tekstowych. Może na przykład wykraść dane osobowe, podszywając się pod przedstawiciela banku. Może próbować skłonić kogoś do kliknięcia odnośnika w wiadomości tekstowej w celu połączenia ze stroną WWW banku i zweryfikowania podejrzanej transakcji. Ewentualnie haker może zawrzeć w wiadomości prośbę o kontakt telefoniczny pod podany numer, aby uzyskać więcej informacji o ostatnio wykrytej podejrzanej transakcji lub podejrzeniu włamania na konto.
Ponadto hakerzy stosują sztuczki mające na celu wywołanie współczucia, aby zdobyć wrażliwe informacje. Przykładem są wiadomości na temat pomocy ofiarom huraganu, w których przestępca prosi o datek dobroczynny. Haker prosi o kliknięcie podanego odnośnika i wpisanie danych karty kredytowej, adresu i często także numeru ubezpieczenia społecznego. Kiedy przestępca zdobędzie czyjś numer karty kredytowej, może pobierać z niej środki raz na miesiąc, aby nie budzić podejrzeń.
Innym przykładem ataku smishingowego jest oferta rabatu od operatora sieci komórkowej na usługę lub nowy telefon. Wiadomość zachęca do kliknięcia podanego odnośnika, aby skorzystać z okazji. Kiedy ofiara wejdzie na spreparowaną przez hakera stronę WWW przypominającą stronę operatora, zostaje poproszona o potwierdzenie swojego numeru karty kredytowej, adresu i numeru ubezpieczenia społecznego. Pamiętaj, że jeśli coś brzmi zbyt pięknie, by było możliwe, to właśnie tak jest.
Phishing z wykorzystaniem komunikatora, na przykład Messengera Facebooka lub WhatsApp, nie mieści się ściśle w definicji smishingu, ale jest z nim blisko spokrewniony. Hakerzy wykorzystują to, że użytkownicy coraz odważniej otwierają wiadomości od nieznajomych w mediach społecznościowych i nawet na nie odpowiadają.
Tak jak w przypadku typowego phishingu, celem tego ataku jest skłonienie ofiary do przekazania swoich danych osobowych, w tym haseł i numerów kart kredytowych, przestępcy. Aby uzyskać takie informacje, haker może zaproponować jakąś okazyjną ofertę lub coś cennego. Oferty takie zazwyczaj zawierają łącze, które można kliknąć.
Podczas gdy prośba o jakiekolwiek informacje od nieznajomego jest silnym sygnałem, że mamy do czynienia z phishingiem przez komunikator internetowy, to tego typu wiadomości mogą także wyglądać, jakby były wysyłane przez osoby, które znamy i z którymi jesteśmy połączeni. Często dzieje się tak, gdy przestępcy przejmą lub podrobią konto naszego znajomego z mediów społecznościowych.
Hakerzy będą wysyłać wiadomości tekstowe, które wydają się pochodzić z Twojego banku, ostrzegając Cię o podejrzanej aktywności lub prosząc o weryfikację danych konta. Jeśli ofiara kliknie łącze w ostrzeżeniu, zostanie przekierowana na fałszywą stronę internetową, która ma na celu kradzież jej danych logowania, haseł i informacji finansowych.
W tych oszustwach cyberprzestępcy udają, że są agencjami rządowymi, takimi jak IRS lub lokalne organy ścigania. Mogą twierdzić, że odbiorca jest winien grzywny lub podatki, prosząc o kliknięcie łącza lub podanie danych osobowych, aby uniknąć kar.
Atakujący często podszywają się pod firmy przewozowe, takie jak FedEx lub UPS, informując ofiary o problemach z dostawą paczek. Ofiary są proszone o uiszczenie opłaty lub podanie danych logowania w celu rozwiązania problemu, co prowadzi do kradzieży danych osobowych lub danych do płatności.
Przykładowe oszustwo „nieudana dostawa”.
W tego typu smishingu oszuści stanowią agentów obsługi klienta znanych firm, takich jak Amazon czy Microsoft. Twierdzą, że istnieje problem z kontem ofiary lub oferują fałszywe nagrody, kierując ofiary na strony phishingowe w celu kradzieży danych osobowych lub finansowych.
Hakerzy będą udawać, że przez pomyłkę wysłali Ci SMS-a, który był przeznaczony dla kogoś innego. Gdy zareagujesz, angażują się w rozmowę, powoli budując zaufanie przed próbą nakłonienia Cię do udostępnienia danych osobowych lub wysłania pieniędzy.
To oszustwo polega na próbie nakłonienia użytkownika do kliknięcia linku prowadzącego do niebezpiecznej strony internetowej poprzez twierdzenie, że jego ocena kredytowa spadła.
Przykładowe oszustwo typu „kredyt upadł”.
Poznaj potrzebę wyjścia poza wbudowane zabezpieczenia Microsoft 365 i Google Workspace™ w oparciu o zagrożenia e-mail wykryte w 2023 roku.
Zapoznaj się z najnowszymi trendami phishingu i najlepszymi praktykami w zakresie bezpieczeństwa poczty e-mail, aby zwiększyć bezpieczeństwo poczty e-mail i zmniejszyć ryzyko cybernetyczne.