Смишинг — это форма фишинга, при которой мобильные устройства используются как платформа для атак. Киберпреступник совершает атаку, чтобы получить персональные данные, например номера кредитных карт. Для проведения смишинговой атаки используются СМС- сообщения, отсюда и название (СМС + фишинг).
При смишинговых атаках используются СМС или другие сервисы для пересылки текстовых сообщений. Эта форма атаки становится все более популярной из-за того, что люди больше доверяют сообщениям, полученным по телефону, чем в электронных письмах.
У многих фишинговые атаки не ассоциируются с СМС, хотя на самом деле злоумышленникам гораздо проще получить телефонный номер, чем адрес электронной почты. Существует конечное число вариантов телефонных номеров — например, в России все телефонные номера состоят из 10 цифр, как и в США.
А адрес электронной почты может быть любой (разумной) длины. Кроме того, адрес электронной почты состоит из букв, цифр и некоторых допустимых символов (например, #, ! и %). Поэтому намного проще случайно подобрать нужных 10 цифр, чтобы атаковать жертву, чем вычислить адрес электронной почты.
Мошенники могут просто рассылать свои сообщения, используя разные комбинации из нужного количества цифр. Они могут без проблем перебирать все комбинации цифр. Согласно отчетам исследовательской компании Gartner, люди читают 98% полученных текстовых сообщений и отвечают на 45%. В то время как — согласно Gartner — на электронные письма отвечают всего 6%.
Злоумышленники высылают текстовые сообщения, чтобы достичь множества различных целей. Например, выдавая себя за работника вашего банка, завладеть вашими персональными данными. Они могут убедить вас нажать на ссылку в текстовом сообщении, чтобы перейти на веб-страницу банка и проверить подозрительное списание с вашего счета. Также злоумышленники могут попросить позвонить по указанному номеру, чтобы связаться с поддержкой по поводу потенциальной проблемы — подозрительных переводов денежных средств или возможной компрометации учетной записи.
Для получения чувствительных данных мошенники могут попытаться вызвать у вас сочувствие. Например, вам попросят помочь людям, пострадавшим от стихийного бедствия. Злоумышленники просят нажать на указанную ссылку и ввести информацию о кредитной карте, адрес и прочее. После того, как преступник получит номер вашей кредитной карты, он даже может снимать деньги с вашей кредитной карты ежемесячно, чтобы не насторожить вас.
Другой пример смишинга — сообщение якобы от вашего провайдера, предлагающее скидку на услугу или обновление телефонного тарифа. В СМС вас просят нажать на ссылку, чтобы принять предложение. Вы попадете на поддельную веб-страницу, которая выглядит как сайт вашего провайдера, там вас попросят подтвердить номер кредитной карты, адрес и, возможно, другую персональную информацию. Если что-то звучит слишком хорошо, чтобы быть правдой, скорее всего, это обман.
Фишинг с использованием программ обмена мгновенными сообщениями, таких как Facebook Messenger или WhatsApp, строго говоря, не относится к смишингу, но тесно с ним связан. Мошенники используют тот факт, что пользователи все спокойнее открывают сообщения от незнакомцев и отвечают на них через социальные сети.
Как и в классическом фишинге, целью атаки является получение паролей, номеров кредитных карт и прочих персональных данных. Чтобы получить эту информацию, злоумышленник может предложить вам сделку или что-нибудь ценное. Часто в такие предложения включена ссылка.
Сообщение от незнакомца, который просит указать персональные данные, заставляет заподозрить фишинговую схему с использованием служб обмена мгновенными сообщениями, но беда в том, что часто атаки могут исходить от имени знакомых или людей, с которыми вы уже входили в контакт. Это происходит, когда учетная запись контакта в социальной сети была взломана или подделана.