Smishing ja vishing ovat erilaisia phishing-hyökkäyksiä, joissa uhreja yritetään houkutella tekstiviestillä ja äänipuheluilla. Molemmat perustuvat samoihin emotionaalisiin vetoomuksiin, joita käytetään perinteisissä phishing-huijauksissa, ja niiden tarkoituksena on saada sinut ryhtymään kiireellisiin toimiin. Erona on toimitustapa.
”Kybervarkaat voivat soveltaa manipulointitekniikoita moniin viestintämuotoihin, koska taustalla olevat periaatteet pysyvät samoina”, selittää KnowBe4:n toimitusjohtaja Stu Sjouwerman. ”Houkuttele uhrit syötillä ja pyydystä heidät sitten koukuilla.”
Mitä on smishing?
Smishingin määritelmä:
Smishing-viestit sisältävät tyypillisesti sähköpostihuijausten tapaan uhkauksen tai houkutuksen klikata linkkiä tai soittaa numeroon ja luovuttaa arkaluonteisia tietoja. Joskus ne saattavat kehottaa asentamaan jonkin tietoturvaohjelmiston, joka osoittautuu haittaohjelmaksi.
Smishing-esimerkki: Tyypillinen smishing-tekstiviesti voi kuulua esimerkiksi näin: ”ABC-pankkitilisi on keskeytetty. Voit avata tilisi napauttamalla tästä: https://bit.ly/2LPLdaU” ja annettu linkki lataa haittaohjelman puhelimeesi. Huijarit ovat myös taitavia mukautumaan käyttämäänsä välineeseen, joten saatat saada tekstiviestin, jossa lukee: ”Onko tämä todella kuva sinusta?”. https://bit.ly/2LPLdaU”, ja jos napautat linkkiä saadaksesi sen selville, lataat jälleen kerran haittaohjelman.
Mitä on vishing?
Vishingin määritelmä: Vishing (voice phishing) on eräänlainen phishing-hyökkäys, joka toteutetaan puhelimitse ja joka kohdistuu usein VoIP-palvelujen (Voice over IP), kuten Skypen, käyttäjiin.
Huijareiden on helppo väärentää soittajan tunnus, jolloin he voivat näyttää soittavansa paikallisesta suuntanumerosta tai jopa tuntemastasi organisaatiosta. Jos et vastaa, he jättävät vastaajaviestin, jossa he pyytävät sinua soittamaan takaisin. Joskus tällaiset huijaukset käyttävät vastaajapalvelua tai jopa puhelinkeskusta, joka ei ole tietoinen rikoksesta.
Jälleen kerran tavoitteena on saada luottokorttitietoja, syntymäaikoja, tilien kirjautumisia tai joskus vain kerätä puhelinnumeroita yhteystiedoistasi. Jos vastaat ja soitat takaisin, saatat saada automaattisen viestin, jossa kehotetaan luovuttamaan tietoja, eivätkä monet ihmiset kyseenalaista tätä, koska he hyväksyvät automatisoidut puhelinjärjestelmät nykyään osana jokapäiväistä elämää.
Miten ehkäistä smishing- ja vishing-pyynnöt
Olemme nykyään hieman varuillamme sähköpostin kohdalla, koska olemme tottuneet saamaan roskapostia, ja huijaukset ovat yleisiä, mutta tekstiviestit ja puhelut voivat tuntua monista ihmisistä yhä laillisemmilta. Kun teemme yhä enemmän ostoksia, pankkiasioita ja muita toimintoja verkossa puhelimiemme kautta, huijareiden mahdollisuudet lisääntyvät. Välttääksesi joutumasta uhriksi sinun on pysähdyttävä ja ajateltava.
”Terve järki on yleinen paras käytäntö, ja sen pitäisi olla yksilön ensimmäinen puolustuslinja verkko- tai puhelinpetoksia vastaan”, sanoo Sjouwerman.
Vaikka neuvot siitä, miten välttää joutumasta kalasteluhuijausten koukkuun, on kirjoitettu sähköpostihuijauksia silmällä pitäen, ne soveltuvat yhtä hyvin näihin uusiin kalastelun muotoihin. Lähtökohtaisesti kenenkään luottaminen ei ole hyvä lähtökohta. Älä koskaan naputtele tai napsauta viesteissä olevia linkkejä, etsi numerot ja verkkosivujen osoitteet ja syötä ne itse. Älä anna mitään tietoja soittajalle, ellet ole varma, että soittaja on laillinen – voit aina soittaa takaisin.
Parempi varoa kuin katua, joten ole aina varovainen. Mikään organisaatio ei moiti sinua siitä, että katkaiset puhelun ja soitat sitten suoraan heille (tarkistettuasi numeron itse) varmistaaksesi, että he todella ovat sitä, keitä väittävät olevansa.
Päivitä tietoisuuskoulutuksesi
Varuillaan oleminen on vankka neuvo yksityishenkilöille jokapäiväisessä elämässä, mutta todellisuus on se, että ihmiset työpaikoilla ovat usein varomattomia. He saattavat olla hajamielisiä, paineen alla ja innokkaita jatkamaan työtään, ja huijaukset voivat olla pirullisen ovelia. Entä jos tekstiviesti näyttää tulevan toimitusjohtajalta tai puhelu henkilöstöhallinnosta? Oikeanlaisella koulutuksella ja selkeillä käytännöillä voit kovettaa työntekijöitäsi ja tehostaa puolustustasi.
Jokaiseen yritykseen pitäisi kuulua jonkinlainen pakollinen, säännöllinen tietoturvatietoisuuden koulutusohjelma. Se voi sisältää yleiseen turvallisuuteen liittyviä parhaita käytäntöjä, mutta siinä voidaan myös määritellä käytäntöjä, kuten se, keneen ottaa yhteyttä, jos jotain epäilyttävää ilmenee, tai säännöt siitä, miten tiettyjä arkaluonteisia viestejä käsitellään, mikä tekee huijausyrityksistä paljon helpommin havaittavia.
Jos joudutte jonkinlaisen phishing-hyökkäyksen kohteeksi, tehkää muutoksia sen varmistamiseksi, ettei sellaista enää koskaan tapahdu – sen pitäisi myös olla osa tietoturvakoulutustanne.
Vähemmistö smishing- ja vishing-hyökkäyksistä jätetään ilmoittamatta, ja tämä on tietoverkkorikollisilla helppo nakki. Vaikka saatat olla tarpeeksi fiksu sivuuttaaksesi viimeisimmän epäilyttävän tekstiviestin tai puhelun, ehkä Marge kirjanpidosta tai Dave henkilöstöhallinnosta joutuu sen uhriksi. Jos sinulla on käytössäsi järjestelmä, jonka avulla ihmiset voivat ilmoittaa näistä hyökkäysyrityksistä, ja mahdollisesti jopa pieni palkkio siitä, se antaa sinulle mahdollisuuden varoittaa muita.
Kun tietojenkalastelijat kehittyvät jatkuvasti ja löytävät uusia hyökkäysväyliä, meidän on oltava valppaita ja päivitettävä jatkuvasti strategioitamme niiden torjumiseksi.