Разрушителните атаки включват вредни текстови съобщения, които карат физически лица и фирми да губят пари и данни.
Кибер нападателите се възползват от склонността на потребителите да се доверяват на текстовите съобщения, като използват страх или вълнение, за да ги манипулират и компрометират данни в миг на око, без дори да го осъзнавате.
Представете си това – превъртате съобщенията си и изведнъж получавате текст, в който се твърди, че сте спечелили голяма награда. Изглежда твърде хубаво, за да е истина, но все пак странно убедително.
Изкушавате се да кликнете върху връзката, дадена в този текст. След като сте готови, следва шокът да откриете, че банковата ви сметка е източена или самоличността ви е открадната, всичко това от на пръв поглед безвреден текст.
Добре дошли в света на осмиващите атаки – нарастваща заплаха хваща неподготвени дори най-разумните хора.
В действителност, само през първите 6 месеца на 2021 г., атаките със зашеметяващи атаки станаха невероятни 700% увеличение в световен мащаб.
Следователно спешността да се защитите срещу тези манипулативни тактики никога не е била по-належаща.
В тази статия ще разгледам по-подробно какво представляват smishing атаките, техните видове и как можете да се предпазите от тях.
Да започваме!
Съдържание
Какво е Smishing?
Smishing, съкратено от „SMS фишинг“, е кибер заплаха, която атакува вашето доверие, страх, вълнение и банкова сметка чрез вредни текстови съобщения, които изглеждат легитимни. Но в действителност не са.
Тези текстове изкушават хората да кликват върху вредни връзки или да споделят поверителна информация.
Целта зад smishing атаките е да откраднат вашата лична информация, пари или дори самоличността ви за измамни дейности.
При този тип кибератака жертвата получава текст, който показва, че е спечелила някаква награда или може да се наложи спешно да актуализира информацията за акаунта си. Може да включва злонамерена връзка. Текстът ще ви подкани да щракнете върху тази връзка, за да извършите следващата стъпка, като например да се възползвате от наградата или да направите промени в акаунта си.
Така че внимавайте, това са трикове, които киберпрестъпниците използват, за да заблудят хората и да извършат атаки.
През 2021 г. и 2022 г., зашеметяващо 76% от организациите в световен мащаб се сблъска с някаква оскърбителна атака, както съобщава Statista. Тази обезпокоителна истина подчертава широко разпространения характер на тази заплаха.
Да останеш в безопасност започва с това да бъдеш внимателен. Не кликвайте върху връзки и не давайте личната си информация, освен ако не сте сигурни, че съобщението е истинско. Вижте кой е изпратил съобщението и внимавайте за грешки или странни заявки. Не забравяйте, че истинските компании като банките няма да искат вашите пароли или чувствителни данни в текстови съобщения.
Повишено използване на мобилни устройства и Smishing: Притеснително ли е?
Тъй като мобилните устройства са станали неразделна част от живота на всеки, вероятността от извършване на smishing атаки е по-голяма. Това несъмнено е много тревожно за всеки, независимо дали сте физическо лице или бизнес.
С увеличаването на използването на мобилни устройства киберпрестъпниците откриха изгодна възможност да експлоатират информация и пари. През 2021 г. около 87,8 милиарда нежелани спам текстове бяха изпратени само до телефонни номера в САЩ. Това накара хората да загубят повече от 10 милиарда долара общо.
Днес телефоните са се превърнали в основни инструменти за задачи като банкиране и общуване. Въпреки това, това продължаващо разчитане също излага хората на манипулативни стратегии, които киберпрестъпниците използват. Тези нападатели изпращат убедителни съобщения, които изкушават хората да предприемат импулсивни действия, без да се замислят.
Последствията от смях може да са шокиращи, което да доведе до източване на банкови сметки и откраднати данни и самоличност. Ето защо е изключително важно да разберете, че smishing е не само раздразнение, но и сериозна заплаха за вашата финансова сигурност и лична поверителност.
Разбираемо е, че не можете да спрете да използвате телефона си, тъй като той е от съществено значение както в личния, така и в професионалния ви живот. Но можете да останете информирани и предпазливи. Като разбирате рисковете и оставате бдителни, можете да се предпазите от измамните лапи на измамни атаки.
Видове smishing атаки
Обучението за различните видове smishing атаки ви дава знанията да разпознавате и избягвате да ставате жертва на тези злонамерени тактики.
И така, нека проучим различните видове smishing атаки.
Фишинг Smishing
Тази традиционна форма на усмивка ви примамва да щракнете върху вредни връзки, които ви насочват към фалшиви уебсайтове. Тези сайтове може да изглеждат идентични с легитимните, като сайта на вашата банка. Тук ще бъдете подканени да въведете вашите чувствителни данни, които атакуващият след това улавя и използва данните, за да разгърне атака.
Вишинг Смишинг
Това е по-персонализиран подход. Измамниците използват гласови повиквания заедно с текстови съобщения. Те могат да оставят гласови съобщения или да изпращат SMS-и, предупреждаващи ви за компрометирани акаунти или измамни дейности, като ви молят да се обадите на номер или да щракнете върху връзка. След като го направите, те извличат лична информация от вас.
Награда Smishing
Мисълта внезапно да спечелите нещо може да развълнува всеки. Киберпрестъпниците се възползват от това, като изпращат съобщения като поздравления за спечелването на награда. Но всъщност не сте участвали в такова състезание.
При този тип smishing атака нападателят ще поиска вашите лични данни или „малка такса“, за да поиска наградата. След това те не се намират никъде, тъй като в крайна сметка ще избягат с вашите пари и данни.
Финансово усмихване
Тези съобщения често имитират легитимни финансови институции, твърдящи подозрителни дейности във вашия акаунт, които се нуждаят от вашето незабавно внимание. Страхувайки се от това, можете да щракнете върху предоставената връзка и несъзнателно да предоставите достъп до вашия акаунт.
Спешно действие Smishing
Като се възползват от чувството за неотложност, тези съобщения предупреждават за чувствителна към времето ситуация, която изисква незабавни действия. Независимо дали актуализирате акаунта си, потвърждавате покупка или потвърждавате транзакция, тези съобщения имат за цел да ви накарат да действате бързо, без да мислите.
Приложение Smishing
Нападателите може да ви изпратят текст, за който твърдят, че е от популярен магазин за приложения, като ви подканват да изтеглите актуализация или ново приложение. Връзката обаче води до фалшив сайт, изтеглящ зловреден софтуер на вашето устройство.
Friendship Smishing
Тази особено измамна техника включва киберпрестъпници, представящи се за приятели или членове на семейството. Те могат да поискат финансова помощ или чувствителна информация от вас, използвайки вашето доверие във вашите взаимоотношения.
Travel Smishing
Като се възползват от страстта към пътешествията, измамниците могат да изпращат текстови съобщения за ексклузивни оферти за пътуване или потвърждения на резервации за пътувания, които никога не сте планирали. Щракването върху връзките може да доведе до кражба на данни или инсталиране на зловреден софтуер.
Charity Smishing
Киберпрестъпниците се възползват от вашата добра воля, като изпращат съобщения от фалшиви благотворителни организации по време на бедствие или нужда. Те искат дарения, но парите никога не отиват при нуждаещите се.
Предупреждение за сигурност Smishing
Тези съобщения използват загриженост за пробиви в сигурността, като заявяват, че вашият акаунт е бил компрометиран. Те ви призовават да предприемете незабавни действия или да споделите чувствителна информация, като OTP, с нападателите. И когато направите това, те изпразват банковите ви сметки или получават неоторизиран достъп, за да извършат пълномащабна атака.
Примери от реалния живот за измамни атаки и техните последствия
Нека да разгледаме примери от реалния живот на тези атаки и техните ужасни последици.
#1. „Компромисът с банковата сметка“
Представете си, че получавате текстово съобщение от номер, който изглежда е вашата банка, което ви информира за неоторизирана дейност по вашата сметка. Съобщението изисква спешно да щракнете върху връзка, за да потвърдите данните си.
Нищо неподозираща жертва кликва върху тази връзка и въвежда личната си информация. Скоро нападателите получават достъп до банковите им сметки. Резултатът беше – опразнена банкова сметка и финансови сътресения.
случай: Усмихваща атака на университета Дикин е нашумял инцидент в австралийския университет Дикин, който излага на риск самоличността и данните на близо 47 000 настоящи и минали студенти. Пробивът се случи, след като идентификационните данни на един член на персонала бяха компрометирани, позволявайки на неупълномощено лице да получи достъп до услуга за групови SMS съобщения, използвана от университета за комуникация със студенти.
#2. Измамата с „безплатна карта за подарък“.
Жертвите получават съобщения, че са спечелили карта за подарък или награда. Всичко, което трябва да направят, е да предоставят своите лични данни или да платят малка такса за доставка, за да получат наградата или подаръчната карта. След като получателят им даде информацията или плати таксата, нападателят изчезва, измамвайки жертвата и компрометирайки личната информация.
случай: Представяне на държавна агенция е реален пример за измама с карта за подарък. Индивиди получиха телефонни обаждания от измамници, които твърдяха, че са от държавна агенция, като например Администрацията за социално осигуряване.
Тази измама отбеляза значителен ръст през 2021 г., като близо 40 000 потребители отчитат загуба от 148 милиона долара през първите девет месеца на годината, според Федералната търговска комисия (FTC). Средната сума, загубена от подобни измами през 2018 г., беше $700, която се увеличи до $1000 през 2021 г. Установено е, че по-възрастните хора, особено тези на 50 и повече години, са по-податливи на тези измами.
#3. Трикът „Фалшива актуализация на приложението“.
Може да получите текстово съобщение, призоваващо незабавно да актуализирате популярно приложение. Бъдете внимателни, ако това се случи.
Предоставената в текста връзка води до фалшиво приложение, заразено със зловреден софтуер. Ако инсталирате това злонамерено приложение, вашата лична информация, включително банкови данни, може да бъде открадната. Освен това вашето устройство може да бъде компрометирано, което позволява на хакерите да го контролират. В резултат на това вашето устройство може да бъде компрометирано и вашите данни може да бъдат откраднати.
Случай: В доклад на ZDNet, Атака на троянски злонамерен софтуер за Android беше открито, че се представя като системна актуализация. Потребителите получиха съобщение, призоваващо ги да актуализират системата си. Въпреки това, при изтеглянето и инсталирането на тази „актуализация“, тя действаше като троян за отдалечен достъп, давайки на атакуващите пълен контрол над устройството на жертвата.
Това им позволи да заснемат широк набор от данни, включително съобщения, снимки и дори GPS данни. Злонамереният софтуер беше усъвършенстван и дори можеше да записва телефонни обаждания, което го прави един от най-инвазивните видове зловреден софтуер за Android.
#4. Заплахата „IRS“.
Хората са получили съобщение от Службата за вътрешни приходи (IRS), настояващо за незабавно плащане за просрочени данъци или предупреждение за правни последици. Страхувайки се от това, жертвите се съобразяват, като споделят финансовата си информация или извършват исканото плащане. Резултатът е финансова загуба и разкрита самоличност.
Случай: През септември 2022 г. Службата за вътрешни приходи (IRS) предупреди за скок в Текстови измами на IRS. Измамническите текстове често примамват жертвите с твърдения за фалшиви облекчения за COVID, данъчни кредити или помощ при създаване на онлайн акаунт в IRS.
Един забележителен инцидент включваше данъкоплатец, който получи съобщение, в което се твърдеше, че дължи дължими данъци и трябваше да щракне върху предоставена връзка, за да изчисти задълженията си. При щракване те бяха пренасочени към фишинг сайт, който се опита да измъкне техните лични и банкови данни.
#5. Измамата „Потвърждение на пътуването“.
Жертвите са получили текстово съобщение, за което се твърди, че е потвърждение за пътуване за пътуване, което не са резервирали. Тъй като са любопитни, те кликват върху връзката, за да отменят резервацията, като несъзнателно изтеглят зловреден софтуер на устройството си.
Зловреден софтуер може да открадне лична информация, идентификационни данни за вход и дори да записва натискания на клавиши. Това компрометира поверителността и причини потенциални финансови загуби.
Случай: Мевони Фъргюсън, жителка на Кент в Обединеното кралство, се съобщава, че е жертва на Истинска измама с резервация на полет. Тя беше измамена от измамник, който твърди, че представлява туристическа агенция на име Infinity Global Travel. Беше й продаден нещо, което изглеждаше като законен билет на British Airways от Лондон до Кингстън, Ямайка.
След като проверих резервацията на уебсайта на BA, използвайки номера за потвърждение, тя изглеждаше валидна. Въпреки това, около две седмици след покупката и само дни преди нейното заминаване, резервацията изчезна от сайта на BA. След като се свърза с авиокомпанията, тя откри, че няма полет, резервиран на нейно име. Измамникът е използвал разликата между „потвърдена“ и „тикетирана“ резервация, правейки я да изглежда като валидна резервация, докато в действителност това е просто временно задържане.
#6. „Романтичната измама“
източник: Кристална блокчейн
В някои сценарии киберпрестъпниците изграждат емоционални връзки с жертвите чрез текстови съобщения, преструвайки се, че се интересуват от романтична връзка. След като успешно установят доверие, те манипулират жертвите да споделят лична и финансова информация. Това може да причини сърдечна болка, предателство и финансов крах.
Случай: Киберпрестъпник се представя за ген. Пол Накасон, директор на Агенцията за национална сигурност и ръководител на Кибер командването на САЩ, в опит да примами жени в романтична измама. Измамникът инициира фалшиви имейл разговори с жени в социалните медийни платформи, използвайки самоличността на генерала. В един случай измамникът твърди, че е разположен в Сирия и залива жена с религиозни съобщения, призовавайки я да комуникира чрез Google Hangouts.
Превантивни мерки срещу smishing атаки
Последствията от измамни атаки са повече от финансови – те могат да разбият доверието, да компрометират поверителността и да оставят жертвите емоционално белязани.
Нека се задълбочим в някои ефективни начини за предотвратяване на smishing атаки от самото начало.
#1. Информираност и обучение
В днешния взаимосвързан цифров пейзаж е от съществено значение вашата организация да въоръжи своята работна сила със знания, за да защити чувствителната информация.
Според доклад на ID Agent бизнесът е изправен пред средна цена от $15 000 от осмиващи атаки. Финансовото въздействие подчертава спешната необходимост от обучение на вашия екип.
За да укрепите защитата си срещу скрити кибер заплахи, дайте приоритет на всеобхватно обучение за smishing и разпространете осведомеността в цялата организация. Това ще помогне на всички да са подготвени за тези злонамерени атаки и да реагират интелигентно на тях.
Освен това, посещаването на редовни семинари, които предоставят представа за smishing атаките, позволява на вашите служители да разграничат легитимните съобщения от потенциалните измами. Като ги оборудвате със способността да идентифицират подозрителни връзки, спешни изисквания или неочаквани искания, вашият персонал се превръща в плашеща бариера срещу тези злонамерени опити.
#2. Проверка на самоличността на подателя
Практикуването на бдителност е вашата първа линия на защита в свят, в който измамническите съобщения могат да се слеят безпроблемно във входящата ви кутия. Когато получите текст, призоваващ за незабавни действия или изискващ поверителни данни, отделете малко време, за да разгледате внимателно идентификационните данни на подателя.
Проверете отново номера или имейл адреса на подателя, като се уверите, че съвпада с официалните данни за контакт на предполагаемата институция. Законните субекти няма да прибягват до текстови съобщения за събиране на чувствителна информация.
Като потвърдите самоличността на подателя, вие значително намалявате вероятността да станете мишена на smishing атаки.
#3. Бъдете внимателни с текстовите съобщения
Разширяването на вашия предпазлив подход от имейли към текстови съобщения е от съществено значение за защитата на вашите цифрови активи. Киберпрестъпниците често се възползват от удобството и познатостта на текстовите съобщения, за да манипулират своите цели.
Така че подхождайте внимателно към всяко текстово съобщение, точно както бихте направили с имейли от хора, които не познавате. Избягвайте веднага да щраквате върху връзки или да изтегляте съдържание, ако подателят не ви е познат. Разгледайте по-отблизо съобщенията, за да видите дали звучат странно или изискват неща неочаквано.
#4. Защита на мобилни устройства
В тази дигитална ера, в която нашите мобилни устройства съдържат изобилие от лична и поверителна информация, е изключително важно да дадем приоритет на тяхната сигурност.
Добра мярка за борба с smishing атаките е чрез прилагане на разширени функции за сигурност като биометрични ключалки, които използват пръстови отпечатъци, разпознаване на лица и т.н. Те добавят допълнителен слой на защита и подобряват цялостната защита на данните.
За да осигурите оптимална сигурност, поддържането на актуална информация с най-новите корекции и актуализации за сигурност също е от решаващо значение. Като актуализирате редовно мобилните си устройства, вие създавате силна защита срещу потенциални киберзаплахи. Тази проактивна мярка ви предпазва от уязвимости, които злонамерени хора могат да използват. Освен това инвестирайте в устройства за сигурност, за да създадете здрава бариера срещу заплахи.
#5. Използвайте многофакторно удостоверяване
За укрепване на вашите цифрови данни внедряването на многофакторно удостоверяване (MFA) е мощна стратегия. В допълнение към защитата, базирана на парола, MFA изисква допълнителен слой на проверка. Това обикновено включва код, изпратен до друго устройство, или сканиране на пръстов отпечатък.
Включвайки тази сложна рамка за сигурност, можете да увеличите сложността на потенциалните нападатели, които се опитват да пробият вашите акаунти. Той ще действа като защитен щит, за да ви предпази от измамни опити.
#6. Използвайте силни пароли
Вашият телефон, компютри и други устройства съдържат голяма част от личната ви информация. Лесен, но ефективен начин за защита на данните е използването на силна парола за всяко устройство.
Създайте силна парола, която комбинира букви, цифри, символи и главни и малки букви. Това прави по-трудно за хакерите да отгатнат паролата ви. Това помага да се осуетят потенциални злонамерени нападатели и укрепва цялостната ви цифрова сигурност.
#7. Докладвайте атаки с измама
Като информиран и отговорен човек, вашата роля в битката срещу киберпрестъпниците е ключова. Като докладвате за инцидентите на съответните органи, вие допринасяте за подпомагане на полицията и други при залавянето на престъпниците, отговорни за тези атаки.
Освен това, информирането на вашите приятели, семейство и колеги за тези инциденти е от решаващо значение. Колективното действие ни позволява да предотвратим разпространението на вредни съобщения и да осигурим по-голяма безопасност за всички.
#8. Използвайте приложения за шифровани съобщения
Ако трябва да споделите чувствителна информация, използването на криптирани приложения за съобщения е мъдро решение. Тези приложения използват усъвършенствани техники за преобразуване на вашите съобщения в криптиран език, който само целевият получател може да разбере. Това защитава вашите съобщения.
Независимо дали говорите за парична транзакция или вашите лични данни, приложенията за шифровани съобщения добавят допълнително ниво на поверителност. Това ще позволи само на правилния човек да отключи и прочете съобщението. Освен това, кажете на приятелите и семейството си да използват тези приложения, помага на всички да останат в безопасност, когато говорят онлайн.
Заключителни думи
Измамниците използват текстови съобщения като средство за измама на хората да разкрият лична информация или да кликнат върху опасни връзки. Ето защо днес е изключително важно да останете нащрек срещу smishing атаки.
За да създадете силна защита, обучете екипа си, проверете данните за подателя, внимавайте с текстовите съобщения, защитете устройствата си и приложете силни мерки за сигурност като многофакторно удостоверяване и надеждни пароли.
Освен това докладвайте за подозрителни текстови съобщения и използвайте криптирани приложения за съобщения, за да подобрите сигурността. Вашите усилия могат да направят значителна разлика, като допринесат за по-безопасен цифров свят за всички.
След това вижте често срещаните измами в WhatsApp и как да сте подготвени за тях.