Смишинг: лучшие советы по борьбе с SMS-фишингом

Термин smishing состоит из слов «SMS» и «фишинг». По аналогии с фишингом, киберпреступники выдают себя за представителей заслуживающей доверия компании или организации. Однако вместо электронных писем злоумышленники используют при SMS-фишинге SMS (Short Message Service) — другими словами, текстовые сообщения — для того, чтобы убедить жертву раскрыть информацию о счетах или неосознанно установить вредоносные программы и трояны.

Несмотря на то, что определение smishing может показаться незначительным риском, распознать фишинговое SMS может быть непросто. Киберпреступники намеренно играют на эмоциях жертвы, чтобы заставить ее принять нерациональное решение. В нашем руководстве мы объясним, как действуют мошенники, покажем, как обычно выглядит SMS-фишинг и как проверить подлинность текстовых сообщений.

Мошенники разработали различные методы работы, чтобы заполучить данные пользователей смартфонов. Однако основная модель обычно одинакова: мошенник выдает себя за представителя компании или знакомого и рассказывает историю, цель которой — убедить жертву раскрыть свои личные данные или загрузить вредоносное программное обеспечение. Этот элемент необходим для успешного smishing и называется социальной инженерией. Злоумышленник пытается установить доверительные отношения, чтобы эмоционально заманить жертву в ловушку. У жертвы должно возникнуть ощущение, что сейчас самое время бросить осторожность на ветер и следовать инструкциям мошенника.

В следующих разделах мы представим наиболее характерные компоненты и типы содержимого фишинговых SMS, чтобы показать, как работают мошеннические текстовые сообщения и на что нужно обращать внимание, чтобы проверить подлинность текстового сообщения.

Классическим примером фишингового SMS является короткое текстовое сообщение, написанное таким образом, что можно предположить, что его написал друг. Сообщение должно вызвать любопытство. Оно может попросить получателя нажать на ссылку, содержащуюся в SMS. Нажав на ссылку, человек невольно запускает автоматическую загрузку в фоновом режиме своей операционной системы, что дает злоумышленнику доступ к его смартфону. Профессиональные злоумышленники овладели искусством скрывать такие загрузки, и пользователи их совершенно не замечают. В результате их личные данные будут переданы без их ведома.

Тактика фишинга по электронной почте направляет людей на веб-сайт, содержащий форму, которую необходимо заполнить. Смишинг действует аналогичным образом: Преступники отправляют текст со ссылкой, которая в свою очередь перенаправляет получателя на форму. Когда они вводят свои личные данные, они отправляются непосредственно мошеннику. Эта техника smishing популярна среди преступников, пытающихся получить информацию о банковском счете или кредитной карте пользователя. SMS обычно указывает на (фальшивую) проблему безопасности, которая якобы требует, чтобы получатель немедленно ввел свои данные для устранения проблемы.

При использовании spear smishing атака направлена на конкретного человека. Для этого злоумышленники оценивают профиль жертвы, например, в социальных сетях, и на этой основе разрабатывают специальные фишинговые текстовые сообщения, содержащие персональные данные и, таким образом, идеально подходящие жертве. Как и в случае с spear phishing, где используются персонализированные электронные письма, этот метод позволяет злоумышленнику создать более высокую степень доверия.

SMS-фишинг также используется для перенаправления жертв на якобы горячую линию компании. Текст предписывает получателю связаться с горячей линией поддержки клиентов по указанному номеру. Как только мошенник окажется на линии, он попытается выудить у звонящего информацию. Преимущество для мошенника здесь заключается в повышении доверия к нему. Многие люди с оправданным недоверием относятся к необходимости вводить личные данные в онлайн-форму. Непрямой путь через телефонную горячую линию обеспечивает респектабельность. Аналогичным образом действует вишинг, или голосовой фишинг, когда преступники пытаются получить конфиденциальные данные через инициированные голосовые звонки по IP-телефонии.

Методы SMS-фишинга всегда фокусируются на актуальной проблеме или событии, требующем немедленного действия или внимания со стороны жертвы. Именно поэтому никогда не следует реагировать на текстовое сообщение импульсивно, а тщательно проверять его содержание. Мы собрали наиболее важные критерии, которые помогут отличить настоящее SMS от фишингового. Главным вопросом всегда должен быть: Насколько заслуживает доверия отправитель и содержание SMS?

Совет 1: Проверьте SMS на наличие орфографических и грамматических ошибок. Киберпреступники часто работают на международном уровне и используют инструменты перевода. Это будет заметно в любых полученных текстовых сообщениях.

Совет 2: Проверьте номер телефона отправителя, чтобы убедиться, что он действительно принадлежит предполагаемой компании. Помните, однако, что реальный номер телефона не означает, что сообщение заслуживает доверия. Злоумышленники могут использовать подделку, чтобы сделать телефонные номера похожими на настоящие.

Совет 3: Спросите себя, в каких случаях использование SMS является подходящим средством коммуникации. Если, например, ваш банковский счет был взломан, финансовое учреждение вряд ли станет отправлять вам SMS. Аналогично, вероятность получения SMS-уведомления о выигрыше в конкурсе близка к нулю.

Совет 4: Никогда не сообщайте финансовую или платежную информацию через веб-форму, полученную по SMS. Аналогично, никогда не переходите по ссылкам от неизвестных отправителей или тех, кому вы не доверяете. С недоверием относитесь к текстовым сообщениям, в которых говорится о срочности.

Совет 5: Установите на свой смартфон антивирусную программу и регулярно обновляйте ее. Хотя антивирусные программы не могут гарантировать, что ваш смартфон не будет заражен вредоносными программами, они обеспечивают дополнительный уровень безопасности, без которого не стоит обходиться.