Что такое смишинг? Руководство по фишинговым атакам посредством SMS
Научитесь понимать, обнаруживать и предотвращать смишинговые атаки.
SMS-фишинговые атаки или «смишинг» становятся все более распространенными. Чем лучше вы разберетесь в смишинговых атаках, в том, на что они способны и каковы потенциальные риски, тем легче будет идентифицировать и предотвратить ущерб от них.
В этом кратком руководстве мы расскажем, что такое смишинг, как его обнаружить и как не стать жертвой смишинговой атаки.
Что означает смишинг?
Смишинг (также называемый SMS-фишингом) – это когда злоумышленник отправляет на ваш номер поддельное SMS-сообщение, зачастую содержащее предложение бесплатного продукта или срочное предупреждение в отношении банковской или другой конфиденциальной информации.
Смишинг особенно опасен для тех, кто не понимает основ кибербезопасности, так как текст SMS-сообщений выглядит правдоподобно. Некоторые смишинговые сообщения даже содержат отчасти персональную информацию, чтобы быть еще правдоподобнее.
Как действуют смишинговые атаки?
Смишинговые атаки относят к социальной инженерии, поскольку в них используются психологические манипуляции. В большинстве случаев смишинговые сообщения строятся так, чтобы создать ощущение срочности. Эти сообщения могут включать триггерные фразы или слова, такие как «срочно примите меры» и «ваша учетная запись находится под угрозой; чтобы защитить ее, нажмете здесь» или «в противном случае против вас будут приняты юридические меры». Такие сообщения могут внушать страх и в конечном счете приводить к действиям.
Киберпреступники получают номера телефонов в результате утечки данных в Интернете. Например, когда вы регистрируете веб-аккаунт в интернет-магазине, вы зачастую указывайте свой адрес электронной почты, номер телефона и другую личную информацию. Если киберпреступники взламывают такой интернет-магазин, эта информация часто распространяется или продается в Даркнете. Так ваша личная информация может начать гулять по Интернету.
Вы также могли ввести свой номер телефона в ответ на фишинговое письмо или на каком-либо поддельном сайте, созданном киберпреступниками.
Киберпреступники часто вымогают у жертв смишинговых атак дополнительную личную информацию или даже деньги. Например, довольно широко распространено мошенничество в связи с налоговой отчетностью, и жертвы часто переводят большие деньги киберпреступникам, полагая, что налоговая инспекция привлечет их к ответственности, если они этого не сделают.
Смишинг и вишинг
Смишинг и вишинг похожи тем, что для таких атак требуется телефон, но при вишинге используются голосовые службы вместо SMS-сообщений. Иногда вишинг может быть более эффективным, потому что вы действительно разговариваете с человеком на другом конце провода. Тон разговора может существенно влиять на результат. Если вы думаете, что вас будут преследовать, если вы не ответите, у вас больше шансов выдать информацию, которую хочет получить злоумышленник.
Как распознавать смишинговые атаки
Смишинговые атаки имеют общие признаки, на которые следует обращать внимание.
- "Поздравляем! Вы выиграли!" Это распространенное фишинговое сообщение, заставляющее человека поверить в то, что он выиграли денежный приз. По указанной для обращения ссылке или по номеру телефона обычно сначала запрашивается личная информация. Но если вы не участвовали ни в каком конкурсе, вряд ли вы что-нибудь могли выиграть.
- Сообщение отправлено в необычное время. Большинство предприятий работают где-то между 8:00 и 18:00, поэтому, если вы получили сообщения от «законной» организации поздно ночью или очень рано утром, можно сразу же заподозрить неладное.
- Срочное банковское сообщение. Скорее всего, из вашего банка вам напрямую позвонят в случае каких-либо срочных запросов или ошибок. В этом случае банк обычно проверяет вашу информацию и по телефону. Если вы получили срочное банковское сообщение по SMS, сначала позвоните в свой банк, чтобы проверить, посылали ли они его.
- Орфографические и грамматические ошибки. Солидные организации нанимают редакторов и опытных составителей текстов. Проверьте полученное SMS-сообщение на наличие орфографических или грамматических ошибок; если они там есть, значит с большой вероятностью вы столкнулись с мошенничеством.
- Используйте VPN. VPN – законные сервисы, которые позволяют вам замаскировать свой IP-адрес и не дать посторонним увидеть ваше истинное местоположение и веб-активность даже на вашем телефоне. Это может помочь вам идентифицировать смишинговые сообщения, особенно если вы получаете сообщение, которое ссылается на неправильное местоположение, подделываемое вашим VPN. Тем не менее, некоторые киберпреступники даже пользовались спросом на VPN и отправляли ссылки на «бесплатные» (или со «скидкой») услуги VPN через SMS.
Как не стать жертвой смишинга
- Используйте менеджер паролей, например Keeper, для безопасного хранения паролей для всех своих учетных записей и управления ими. Всегда включайте двухфакторную или многофакторную аутентификацию для предотвращения несанкционированного доступа.
- Никогда не звоните по номеру телефона, указанному в подозрительном сообщении. Если это сообщение пришло якобы из вашего «банка», позвоните по известному вам номеру вашего банка.
- Если у вас есть вопросы, позвоните в компанию прямо с официального сайта. Посмотрите, нет ли признаков того, что сайт не настоящий.
- Не нажимайте на незапрошенные текстовые ссылки. Если вы не ожидали получить сообщение, не переходите по странной ссылке.
- Сообщайте о попытках смишинга на сайте efraudprevention.net, в налоговую службу или свой банк.