Smishing i vishing to rodzaje ataków phishingowych, które próbują zwabić ofiary za pośrednictwem wiadomości SMS i połączeń głosowych. Oba opierają się na tych samych odwołaniach emocjonalnych stosowanych w tradycyjnych oszustwach phishingowych i mają na celu skłonienie użytkownika do podjęcia natychmiastowego działania. Różnica polega na sposobie ich dostarczenia.
„Cyberzłodzieje mogą stosować techniki manipulacji w wielu formach komunikacji, ponieważ podstawowe zasady pozostają niezmienne” – wyjaśnia Stu Sjouwerman, dyrektor generalny firmy KnowBe4. „Zwabiaj ofiary przynętą, a następnie łap je na haczyki.”
Co to jest smishing?
Definicja smishingu: Smishing (SMS phishing) to rodzaj ataku phishingowego przeprowadzanego przy użyciu wiadomości SMS (Short Message Services) w telefonach komórkowych.
Tak jak w przypadku oszustw phishingowych z wykorzystaniem poczty elektronicznej, wiadomości smishingowe zazwyczaj zawierają groźbę lub zachętę do kliknięcia odsyłacza lub zadzwonienia pod określony numer i przekazania poufnych informacji. Czasami mogą sugerować zainstalowanie oprogramowania zabezpieczającego, które okazuje się być złośliwym oprogramowaniem.
Przykład smishingu: Typowa wiadomość tekstowa typu smishing może mówić coś w stylu: „Twoje konto w ABC Banku zostało zawieszone. Aby odblokować swoje konto, naciśnij tutaj: https://bit.ly/2LPLdaU”, a podany link spowoduje pobranie złośliwego oprogramowania na Twój telefon. Oszuści potrafią również dostosować się do medium, którego używają, więc możesz otrzymać wiadomość tekstową o treści „Czy to naprawdę twoje zdjęcie? https://bit.ly/2LPLdaU”, a jeśli dotkniesz tego łącza, aby się dowiedzieć, po raz kolejny pobierzesz złośliwe oprogramowanie.
Co to jest vishing?
Definicja vishingu: Vishing (voice phishing) to rodzaj ataku phishingowego, który jest przeprowadzany przez telefon i często jest skierowany na użytkowników usług Voice over IP (VoIP), takich jak Skype.
Oszustom łatwo jest sfałszować identyfikator rozmówcy, dzięki czemu mogą sprawiać wrażenie, że dzwonią z lokalnego numeru kierunkowego lub nawet z organizacji, którą znasz. Jeśli nie odbierzesz, zostawiają wiadomość na poczcie głosowej z prośbą o oddzwonienie. Czasami tego rodzaju oszustwa wykorzystują automatyczną sekretarkę lub nawet centrum telefoniczne, które nie jest świadome popełnianego przestępstwa.
Po raz kolejny celem jest uzyskanie danych karty kredytowej, dat urodzenia, loginów do konta, a czasami po prostu zebranie numerów telefonów z Twoich kontaktów. Jeśli odpowiesz i oddzwonisz, może pojawić się automatyczna wiadomość z prośbą o przekazanie danych, a wiele osób nie będzie tego kwestionować, ponieważ akceptują zautomatyzowane systemy telefoniczne jako część codziennego życia.
Jak zapobiegać smishingowi i vishingowi
Jesteśmy teraz bardziej czujni w przypadku poczty elektronicznej, ponieważ jesteśmy przyzwyczajeni do otrzymywania spamu, a oszustwa są powszechne, ale wiadomości tekstowe i połączenia mogą nadal czuć się bardziej uzasadnione dla wielu osób. Ponieważ coraz więcej zakupów, bankowości i innych czynności wykonujemy online za pośrednictwem naszych telefonów, możliwości dla oszustów mnożą się. Aby nie stać się ofiarą, trzeba się zatrzymać i pomyśleć.
„Zdrowy rozsądek jest ogólnie najlepszą praktyką i powinien być pierwszą linią obrony jednostki przed oszustwami internetowymi lub telefonicznymi” – mówi Sjouwerman.
Choć porady dotyczące tego, jak uniknąć wpadnięcia w sidła oszustw phishingowych, zostały napisane z myślą o oszustwach e-mailowych, odnoszą się one równie dobrze do tych nowych form phishingu. Przede wszystkim, nie należy nikomu ufać. Nigdy nie klikaj linków w wiadomościach, sprawdzaj numery i adresy stron internetowych i wprowadzaj je samodzielnie. Nie podawaj żadnych informacji rozmówcy, jeśli nie masz pewności, że jest to osoba uprawniona – zawsze możesz do niej oddzwonić.
Lepiej być bezpiecznym niż żałować, więc zawsze zachowuj ostrożność. Żadna organizacja nie zgani Cię za to, że się rozłączyłeś, a następnie zadzwoniłeś do nich bezpośrednio (po sprawdzeniu numeru), aby upewnić się, że naprawdę są tym, za kogo się podają.
Uaktualnij swoje szkolenie w zakresie świadomości
Choć zachowanie czujności jest solidną radą dla osób w codziennym życiu, rzeczywistość jest taka, że ludzie w miejscu pracy są często nieostrożni. Mogą być rozproszeni, pod presją i chętni do pracy, a oszustwa mogą być diabelnie sprytne. Co zrobić, jeśli SMS wydaje się pochodzić od dyrektora generalnego lub połączenie telefoniczne wydaje się być od kogoś z działu kadr? Możesz wzmocnić swoich pracowników i zwiększyć swoją obronę dzięki odpowiedniemu szkoleniu i jasnej polityce.
Każda firma powinna mieć jakiś rodzaj obowiązkowego, regularnego programu szkolenia w zakresie świadomości bezpieczeństwa. Może on obejmować najlepsze praktyki dotyczące ogólnego bezpieczeństwa, ale również określać zasady, takie jak to, z kim należy się kontaktować w przypadku czegoś podejrzanego lub zasady postępowania z niektórymi poufnymi informacjami, które sprawiają, że próby oszustwa są o wiele łatwiejsze do wykrycia.
Jeśli ucierpisz z powodu jakiejkolwiek formy ataku phishingowego, wprowadź zmiany, aby upewnić się, że nigdy się to nie powtórzy – powinno to również wpłynąć na Twoje szkolenia w zakresie bezpieczeństwa.
Większość ataków smishingowych i vishingowych pozostaje niezgłoszona, a to gra w ręce cyberprzestępców. Chociaż możesz być na tyle sprytny, aby zignorować ostatni podejrzany SMS lub połączenie, być może Marge z działu księgowości lub Dave z działu kadr padną ofiarą. Jeśli masz system umożliwiający ludziom zgłaszanie takich prób ataków, a być może nawet niewielką nagrodę za ich przeprowadzenie, to daje Ci to możliwość ostrzeżenia innych.
As phishing continues to evolve and find new attack vectors, we must be vigilant and constantly update our strategies to combat it.