SMS-y, których nadawcy podszywają się pod kurierów, serwisy aukcyjne, czy dostawców prądu i gazu to jedna z najczęstszych metod stosowanych przez cyberprzestępców w celu wyłudzenia od swoich ofiar pieniędzy lub wrażliwych danych.

Wzorce fałszywych wiadomości

Jednak pojawia się nadzieja, że liczba wysyłanych przez oszustów SMS-ów spadnie, bowiem od 25 marca operatorzy telekomunikacyjni są zobowiązani blokować smishing, czyli krótkie wiadomości tekstowe, w których nadawca podszywa się pod inny podmiot w celu nakłonienia adresata do określonego zachowania (najczęściej kliknięcie w link prowadzący do spreparowanej przez hakerów strony).

Zgodnie z zapisami ustawy, kluczową rolę w walce z oszustami spełnia NASK CSIRT (Computer Security Incident Response Team – zespół ds. bezpieczeństwa komputerowego i reagowania na incydenty), zarządzający systemem informatycznym przeznaczonym do wymiany informacji o fałszywych wiadomościach pomiędzy policją, UKE oraz przedsiębiorstwami telekomunikacyjnymi.

• Na podstawie danych zebranych w wyniku tej współpracy CSIRT NASK tworzy wzorce fałszywych wiadomości.

• Natomiast przedsiębiorcy telekomunikacyjni blokują SMS-y zgodnie z otrzymanymi wytycznymi.

Uruchomienie systemu do wymiany wzorców fałszywych wiadomości jest dobrym posunięciem, które utrudni życie oszustom. Jednak jak zadziała to w praktyce, przekonamy się dopiero po pewnym czasie.

Napastnicy z pewnością nie złożą broni. Będą sięgać po bardziej wysublimowane metody, a rywalizacja wejdzie na wyższy poziom.

• Poza tym wzorzec powstaje dopiero po zgłoszeniu incydentu. To oznacza ni mniej, ni więcej, że pierwsza fala ataku nie zostanie zatrzymana, czyli będą też ofiary.

To jeszcze nie koniec smishingu

SMS bardzo szybko stał się kluczowym narzędziem komunikacji cyfrowej. Każdy telefon komórkowy może odbierać i wysyłać SMS-y. Wiadomości tekstowe docierają do odbiorcy niemal w czasie rzeczywistym, co jest ważne, zwłaszcza w przypadkach, kiedy trzeba szybko reagować. Poza tym obsługa SMS-ów jest dziecinnie prosta i mogą z nich korzystać osoby nawet będący na bakier z technologią, w tym ludzie starsi i dzieci.

Cyberprzestępcy znają nie tylko zalety SMS-ów, ale również dane dotyczące skuteczności przeprowadzonych akcji.

• Według Constant Contact średni współczynnik klikalności linków zamieszczonych w e-mailach wynosi zaledwie 1,33%,

• natomiast Klaviyo podaje, że w przypadku SMS-ów wskaźnik ten wynosi od 8,9% do 14,5%.

Co ciekawe, Forum Mobile Ekosystem zidentyfikowało aż 14 sposobów oszustw wykorzystujących krótkie wiadomości tekstowe.

Nawet jeśli telekomy zablokują część SMS-ów wysyłanych przez cybergangi, wiele z nich przejdzie przez sito ze względu na swoją specyfikę. Napastnicy nie będą mogli się podszywać pod banki czy urzędy państwowe, aczkolwiek pozostaje im jeszcze kilka innych opcji.

• Wyrafinowane ataki polegają na wykorzystaniu taktyk socjotechniki w celu pozyskania informacji o potencjalnych ofiarach, włączając w to ich miejsce zamieszkania i pracy, oraz z kim nawiązują interakcje w przestrzeni internetowej.

• Zebrane dane pozwalają tworzyć bardzo realistyczne fałszywe wiadomości SMS.

Na przykład SMS od szefa firmy

• Większość pracowników kiedy otrzyma wiadomość tekstową od dyrektora generalnego z prośbą o pilną pomoc, od razu przystąpi do realizacji zadania.

• Czasami oszuści bazują na ludzkiej chciwości, wysyłając SMS-a o wygranej w loterii, zachęcając do odbioru kuponu rabatowego, czy rozpoczęcia wielkiej przygody w kasynie online, ale pod warunkiem wpłacenia depozytu.

• Oszuści chętnie biorą na cel starsze osoby, które mogą być samotne i w związku z tym chętnie odpowiadają na każdą wysłaną wiadomość tekstową.

• Cyberprzestępcy bardzo często podszywają się pod długo niewidzianych członków rodziny, prosząc na przykład o pieniądze, pozwalające wydostać się im z trudnej sytuacji.

Kreatywność internetowych oszustów nie zna granic. Dlatego też nie można wyłącznie polegać na przedsiębiorstwach telekomunikacyjnych, które zablokują tylko część fałszywych SMS-ów.

Poważnym wzmocnieniem linii obrony jest instalacja na smartfonach oprogramowania antywirusowego.

• Szczególnie jest to zalecane w przypadku firm, które pozwalają pracownikom na korzystanie z prywatnych urządzeń podczas wykonywania służbowych obowiązków.

Jednak niezależnie od obowiązujących ustaw, czy różnego rodzaju obostrzeń, najlepszą obroną przed smishingiem jest stosowanie zasady zero zaufania i ignorowanie podejrzanych komunikatów, a zwłaszcza takich, gdzie występują skrócone adresy URL. Oszuści bardzo często w ten sposób próbują zamaskować fałszywe adresy.

Robert Dziemianko, Marketing Manager G DATA

Foto: Freepik