A smishing és a vishing az adathalász-támadások olyan típusai, amelyek SMS-üzeneteken és hanghívásokon keresztül próbálják becsalogatni az áldozatokat. Mindkettő a hagyományos adathalász-csalásokban alkalmazott érzelmi felhívásokra támaszkodik, és célja, hogy sürgős cselekvésre késztessenek. A különbség a kézbesítési módban rejlik.
“A kibertolvajok a kommunikáció számos formájára alkalmazhatják a manipulációs technikákat, mivel az alapelvek állandóak maradnak” – magyarázza Stu Sjouwerman, a KnowBe4 vezérigazgatója, a biztonságtudatosságért felelős vezető. “Csalival csalogatják az áldozatokat, majd horgokkal fogják meg őket.”
Mi a smishing?
Smishing definíciója:
A smishing (SMS adathalászat) a mobiltelefonokon SMS (Short Message Services) segítségével végrehajtott adathalász támadások egyik típusa.
Az e-mailes adathalász csalásokhoz hasonlóan a smishing üzenetek is jellemzően fenyegetést vagy csábítást tartalmaznak egy linkre való kattintásra vagy egy szám felhívására és érzékeny információk átadására. Néha valamilyen biztonsági szoftver telepítését javasolják, amelyről kiderül, hogy rosszindulatú szoftver.
Smishing példa: Egy tipikus smishing szöveges üzenet a következőket mondhatja: “Az ABC Bank számláját felfüggesztették. A számla feloldásához koppintson ide: https://bit.ly/2LPLdaU”, a megadott link pedig rosszindulatú programot tölt le a telefonjára. A csalók ügyesen alkalmazkodnak az általuk használt médiumhoz is, így előfordulhat, hogy olyan szöveges üzenetet kap, amelyben ez áll: “Ez tényleg egy kép rólad? https://bit.ly/2LPLdaU”, és ha rákattint a linkre, hogy megtudja, ismét rosszindulatú programot tölt le.
Mi a vishing?
Vishing definíció: Vishing (hangalapú adathalászat): A vishing (hangalapú adathalászat) egy olyan típusú adathalász-támadás, amelyet telefonon keresztül hajtanak végre, és gyakran a Voice over IP (VoIP) szolgáltatások (például a Skype) felhasználóit veszi célba.
A csalók könnyen meghamisíthatják a hívószámot, így úgy tűnhet, hogy egy helyi körzetszámról vagy akár egy Ön által ismert szervezettől hívnak. Ha nem veszi fel a telefont, akkor hangpostai üzenetet hagynak, amelyben arra kérik, hogy hívja vissza. Néha az ilyen típusú csalásokhoz olyan üzenetrögzítő szolgálatot vagy akár hívásközpontot is igénybe vesznek, amely nem tud a bűncselekmény elkövetéséről.
Még egyszer a cél a hitelkártyaadatok, születési adatok, fiókbejelentkezések megszerzése, vagy néha csak a telefonszámok begyűjtése a kapcsolataiból. Ha válaszol és visszahív, előfordulhat, hogy egy automatikus üzenet kéri az adatok átadását, és ezt sokan nem kérdőjelezik meg, mert az automatizált telefonrendszereket ma már a mindennapi élet részeként fogadják el.
Hogyan előzze meg a smishing és a vishing
Az e-mailekkel kapcsolatban manapság kicsit jobban vigyázunk, mert megszoktuk, hogy spameket kapunk, és gyakoriak a csalások, de az SMS-ek és a hívások sokak számára még mindig legitimebbnek tűnhetnek. Mivel egyre több vásárlást, banki és egyéb tevékenységet végzünk online a telefonunkon keresztül, a csalók lehetőségei is szaporodnak. Ahhoz, hogy elkerüljük, hogy áldozattá váljunk, meg kell állnunk és gondolkodnunk kell.
“A józan ész az általános legjobb gyakorlat, és az egyén első védelmi vonalának kell lennie az online vagy telefonos csalások ellen” – mondja Sjouwerman.
“Bár az adathalász csalások elkerülésére vonatkozó tanácsokat az e-mailes csalásokra gondolva írták, ugyanúgy érvényesek az adathalászat ezen új formáira is. Alapvetően senkiben sem szabad megbízni, ez egy jó kiindulópont. Soha ne koppintson vagy kattintson az üzenetekben található linkekre, nézzen utána számoknak és webhelycímeknek, és adja meg azokat saját maga. Ne adjon meg semmilyen információt a hívó félnek, hacsak nem biztos benne, hogy az illető legitim – bármikor visszahívhatja őket.
Jobb félni, mint megijedni, ezért mindig az óvatosságot válassza. Egyetlen szervezet sem fogja megdorgálni, ha leteszi a telefont, majd közvetlenül felhívja őket (miután maga is utánanézett a számnak), hogy megbizonyosodjon arról, hogy valóban azok, akiknek mondják magukat.
Frissítse fel tudatossági képzését
Míg a mindennapi életben az óvatosság megőrzése szilárd tanács az egyének számára, a valóság az, hogy a munkahelyi emberek gyakran figyelmetlenek. Zavartak, nyomás alatt lehetnek, és alig várják, hogy folytathassák a munkájukat, a csalások pedig ördögien ravaszak tudnak lenni. Mi van akkor, ha az SMS látszólag a vezérigazgatótól érkezik, vagy a hívás úgy tűnik, hogy a HR-esektől érkezik? Megfelelő képzéssel és világos irányelvekkel megkeményítheti alkalmazottait és megerősítheti védelmét.
Minden vállalatnak rendelkeznie kell valamilyen kötelező, rendszeres biztonságtudatossági képzési programmal. Ez tartalmazhatja az általános biztonságra vonatkozó legjobb gyakorlatokat, de olyan irányelveket is meghatározhat, mint például, hogy kihez kell fordulni, ha valami gyanúsat észlel, vagy milyen szabályok vonatkoznak bizonyos érzékeny kommunikáció kezelésére, amelyek segítségével sokkal könnyebb kiszúrni a megtévesztési kísérleteket.
Ha bármilyen adathalász-támadás éri, változtasson annak érdekében, hogy ez soha többé ne fordulhasson elő – ennek a biztonsági képzésben is tükröződnie kell.
A smishing és vishing támadások többségét nem jelentik, és ez a kiberbűnözők kezére játszik. Lehet, hogy Ön elég okos ahhoz, hogy figyelmen kívül hagyja a legutóbbi gyanús SMS-t vagy hívást, de lehet, hogy Marge a könyvelésről vagy Dave a HR-ről áldozatul esik. Ha van egy olyan rendszer, amely lehetővé teszi, hogy az emberek jelentsék ezeket a támadási kísérleteket, és esetleg még egy kis jutalom is jár érte, akkor ez lehetőséget ad arra, hogy figyelmeztessen másokat.
Amint az adathalászat folyamatosan fejlődik és új támadási vektorokat talál, ébernek kell lennünk, és folyamatosan frissítenünk kell a stratégiáinkat a leküzdésére.