Smishing, cep telefonlarını saldırı platformu olarak kullanan bir kimlik avı biçimidir. Saldırgan, sosyal sigorta ve/veya kredi kartı numaraları dahil olmak üzere kişisel bilgileri toplamak amacıyla saldırıyı gerçekleştirir. Smishing, metin mesajları veya SMS yoluyla gerçekleştirilir ve saldırıya “SMiShing” adı verilir.
Smishing saldırıları, yaygın olarak metin mesajları olarak bilinen kısa mesaj hizmetiyani SMS’leri kullanır. İnsanların telefonlarındaki bir mesajlaşma uygulaması aracılığıyla gelen bir mesaja, e-posta yoluyla gönderilen bir mesajdan daha fazla güvenme olasılığı nedeniyle, bu saldırı biçimi giderek daha popüler hale geldi.
Çoğu kurban kimlik avı dolandırıcılığını kişisel kısa mesajlarla eşit tutmasa da, gerçek şu ki tehdit aktörlerinin telefon numaranızı bulması e-posta adresinizden daha kolay. Telefon numaralarıyla ilgili sınırlı sayıda seçenek vardır, Birçok ülkede bir telefon numarası 10 hanelidir.
Bunu, makul sayıda beklenen karakter olmasına rağmen, boyutla sınırlı olmayan bir e-posta adresiyle karşılaştırın. E-posta adresleri sayılar, harfler ve simgeler (!, #, %, vb.) içerebilir. Bir kurbana ulaşmak için rastgele on rakamı bir araya getirmek, bir kişiye bir e-posta adresi aracılığıyla bağlanmaktan çok daha kolaydır.
Bilgisayar korsanı, telefon numaralarımızla aynı uzunluktaki herhangi bir rakam kombinasyonuna mesaj gönderebilir. Herhangi bir rakam kombinasyonunu rahatça deneyebilirler. Gartner’ın araştırmalarına göre kısa mesajların %98'i okunurken %45'i yanıtlanıyor. Bu, özellikle Gartner belirtildiği gibi, e-postaların yalnızca %6'sı yanıt aldığında, metni bilgisayar korsanlarının bir saldırı vektörü olarak kullanmasını anlamlı kılar.
Bir kısa mesajla, bilgisayar korsanları birçok farklı şeyi başarmaya çalışabilir. Buna bankanızın temsilcisiymiş gibi davranarak kişisel bilgilerinizin çalınması da dahildir. Bankaya bağlanmak ve yakın zamanda yapılmış bir şüpheli ödemeyi doğrulamak için kısa mesajdaki bir bağlantıya tıklamanızı sağlamaya çalışabilirler. Yakın zamanda yapılmış şüpheli bir işlemi konuşmak için kısa mesajda yer alan numarayı aramanızı isteyebilirler.
Bilgisayar korsanları ayrıca hassas bilgileri toplamak için sempatik yöntemler denemeye çalışır. Bir örnek, tehdit aktörünün sizden hayır amaçlı bir bağış istediği durumlarda deprem yardımı ile ilgili mesajları içerir. Bilgisayar korsanı, verilen bağlantıya tıklamanızı ve kredi kartı bilgilerinizi, adresinizi ve genellikle sosyal sigorta numaranızı girmenizi ister. Bilgisayar korsanı kredi kartı numaranızı aldığında, sizi endişelendirmemek için kredi kartınızdan aylık olarak ücret alabilir.
Smishing saldırısının başka bir örneği, servis sağlayıcınızın bir hizmeti üst düzeye çıkarmak için indirim önermesidir. Mesaj, anlaşmayı etkinleştirmek için sağlanan bağlantıya tıklamanızı ister. Sağlayıcınızın web sitesine benzeyen sahte web sayfasında, sizden kredi kartı numaranızı, adresinizi ve muhtemelen sosyal sigorta numaranızı doğrulamanız istenir. Unutmayın, bir şey ne kadar gerçek olamayacak kadar iyiyse o kadar gerçek değildir.
Facebook Messenger veya WhatsApp gibi ücretsiz anlık mesajlaşma yazılımlarını kullanan kimlik avı, teknik olarak smishing kapsamına girmez, ancak yakından ilişkilidir. Bilgisayar korsanı, kullanıcıların sosyal medya platformları aracılığıyla yabancılardan gelen mesajları açarak ve bunlara yanıt vererek artan konfor düzeyinden yararlanır.
Gerçek bir kimlik avı planı gibi, saldırının amacı, parolalar ve/veya kredi kartı numaraları dahil olmak üzere kişisel verileri tehdit aktörüne vermenizdir. Bu tür bilgileri elde etmek için saldırgan size bir anlaşma veya değerli bir şey teklif edebilir. Bu tür tekliflerde genellikle tıklanabilir bir bağlantı bulunur.
Bilgi arayan bir yabancıdan gelen bir mesaj genellikle olası bir anlık mesajlaşma kimlik avı planının iyi bir göstergesi olsa da, bu saldırılar tanıdığınız ve halihazırda bağlantıda olduğunuz kişilerden geliyormuş gibi görünebilir. Bu genellikle bir sosyal medya kullanıcısının hesabı saldırıya uğradığında veya sahtecilik yapıldığında olur.