Ataki typu smishing wykorzystują usługę krótkich wiadomości tekstowych potocznie znanych jako SMS. Ta forma ataku staje się coraz bardziej popularna ze względu na fakt, że ludzie częściej ufają wiadomościom przychodzącym za pośrednictwem aplikacji do przesyłania wiadomości na ich telefonie niż wiadomościom dostarczonym za pośrednictwem poczty e-mail.
Chociaż wiele ofiar nie utożsamia oszustw phishingowych z osobistymi wiadomościami tekstowymi, prawda jest taka, że cyberprzestępcom łatwiej jest znaleźć Twój numer telefonu niż adres e-mail. Istnieje skończona liczba opcji z numerami telefonów – w USA numer telefonu ma 10 cyfr.
Porównaj to z adresem e-mail, który nie jest ograniczony rozmiarem, chociaż istnieje rozsądna liczba oczekiwanych znaków. E-maile mogą zawierać cyfry, litery i symbole – na przykład !, # i %. O wiele łatwiej jest połączyć dziesięć losowych cyfr, aby dotrzeć do ofiary, niż połączyć się z osobą za pośrednictwem adresu e-mail.
Haker może po prostu wysyłać wiadomości na dowolną kombinację cyfr, która ma taką samą długość jak numer telefonu. Mogą wypróbować każdą kombinację cyfr bez szkody, bez faulu. Gartner podaje, że użytkownicy czytają 98% wiadomości tekstowych i odpowiadają na 45%. To sprawia, że tekst wiadomości jest bardzo logiczny dla hakerów jako wektor ataku na potencjalną ofiarę, zwłaszcza gdy, jak donosi Gartner, tylko 6% wiadomości e-mail otrzymuje odpowiedzi.
Wyłudzenia w wiadomościach tekstowych
Za pomocą wiadomości tekstowej hakerzy mogą próbować osiągnąć wiele różnych rzeczy. Obejmuje to kradzież Twoich danych osobowych poprzez udawanie przedstawiciela Twojego banku. Mogą próbować nakłonić Cię do kliknięcia linku w wiadomości tekstowej, aby połączyć się ze stroną internetową Twojego banku i zweryfikować ostatnią podejrzaną opłatę. Mogą poprosić Cię o zadzwonienie na numer obsługi klienta, który jest dogodnie zawarty w wiadomości tekstowej, aby porozmawiać z nimi o niedawnym podejrzanym obciążeniu lub przejętym koncie.
Hakerzy próbują również wykorzystywać osoby publiczne do zbierania poufnych informacji. Przykładem są wiadomości dotyczące pomocy w związku z huraganem (tak było w USA) lub u nas w kraju w związku z jakąś katastrofą naturalną, w których aktor lub osoba potocznie znana prosi Cię o darowiznę na cele charytatywne. Haker prosi o kliknięcie dołączonego linku i wprowadzenie danych karty kredytowej, adresu i numeru CVV, owej karty. Gdy haker uzyska numer Twojej karty kredytowej, przestępca może nawet co miesiąc obciążać Twoją kartę kredytową lub co bardziej prawdopodobne, wykorzystać z niej środki jednorazowo (do dziennego limitu transakcji kartowych), aż do momentu, gdy ofiara ataku się połapie i zastrzeże swoją kartę w swoim banku.
Wyłudzanie informacji przez telefon komórkowy
Innym przykładem ataku typu „smishing” jest oferta od dostawcy proponująca zniżkę na usługę lub aktualizację telefonu. Wiadomość zachęca do kliknięcia podanego linku, aby aktywować ofertę. Po wejściu na sfałszowaną stronę internetową, która wygląda jak witryna Twojego dostawcy, witryna poprosi o potwierdzenie numeru karty kredytowej, adresu zamieszkania i numeru CVV. Pamiętaj, że jeśli brzmi to zbyt pięknie, aby mogło być prawdziwe, prawdopodobnie tak jest, dlatego nie daj się oszukać.
Leave a Reply