Smishing și vishing sunt tipuri de atacuri de phishing care încearcă să ademenească victimele prin intermediul mesajelor SMS și al apelurilor vocale. Ambele se bazează pe aceleași apeluri emoționale folosite în escrocheriile tradiționale de phishing și sunt concepute pentru a vă determina să acționați urgent. Diferența constă în metoda de livrare.
„Hoții cibernetici pot aplica tehnici de manipulare la multe forme de comunicare, deoarece principiile de bază rămân constante”, explică liderul de conștientizare a securității Stu Sjouwerman, CEO al KnowBe4. „Atrageți victimele cu momeală și apoi prindeți-le cu cârlige.”
Ce este smishing?
Definirea smishing: Smishing (SMS phishing) este un tip de atac de phishing efectuat prin intermediul SMS (Short Message Services) pe telefoanele mobile.
La fel ca escrocheriile de phishing prin e-mail, mesajele de smishing includ, de obicei, o amenințare sau o ispită de a face clic pe un link sau de a suna la un număr și de a preda informații sensibile. Uneori vă pot sugera să instalați un software de securitate, care se dovedește a fi malware.
Exemplu de smishing: Un mesaj text tipic de smishing ar putea spune ceva de genul: „Contul dumneavoastră ABC Bank a fost suspendat. Pentru a vă debloca contul, apăsați aici: https://bit.ly/2LPLdaU”, iar link-ul furnizat va descărca programe malware pe telefonul dumneavoastră. De asemenea, escrocii sunt pricepuți să se adapteze la mediul pe care îl folosesc, astfel încât s-ar putea să primiți un mesaj text care să spună: „Aceasta este într-adevăr o poză cu dumneavoastră? https://bit.ly/2LPLdaU” și dacă apăsați pe acel link pentru a afla, din nou descărcați malware.
Ce este vishing?
Definirea vishing: Vishing (voice phishing) este un tip de atac de phishing care se desfășoară prin telefon și vizează adesea utilizatorii de servicii Voice over IP (VoIP) precum Skype.
Este ușor pentru escroci să falsifice identitatea apelantului, astfel încât să pară că sună de la un prefix local sau chiar de la o organizație pe care o cunoașteți. Dacă nu răspundeți, atunci vă vor lăsa un mesaj vocal în care vă vor cere să sunați din nou. Uneori, aceste tipuri de escrocherii vor folosi un serviciu de răspuns sau chiar un centru de apeluri care nu este conștient de infracțiunea săvârșită.
Încă o dată, scopul este de a obține detalii despre cardul de credit, date de naștere, intrări în conturi sau, uneori, doar de a recolta numere de telefon din contactele dumneavoastră. Dacă răspundeți și sunați înapoi, este posibil să apară un mesaj automat care să vă solicite să predați datele și mulți oameni nu vor pune la îndoială acest lucru, deoarece acceptă sistemele telefonice automate ca parte a vieții de zi cu zi acum.
Cum să preveniți smishing și vishing
În zilele noastre suntem în gardă un pic mai mult cu e-mailul, deoarece suntem obișnuiți să primim spam și escrocheriile sunt frecvente, dar mesajele text și apelurile pot părea încă mai legitime pentru mulți oameni. Pe măsură ce facem mai multe cumpărături, operațiuni bancare și alte activități online prin intermediul telefoanelor noastre, oportunitățile pentru escroci se înmulțesc. Pentru a evita să deveniți o victimă trebuie să vă opriți și să vă gândiți.
„Bunul simț este cea mai bună practică generală și ar trebui să fie prima linie de apărare a unei persoane împotriva fraudei online sau telefonice”, spune Sjouwerman.
Deși sfaturile despre cum să evitați să fiți agățați de escrocheriile de phishing au fost scrise cu gândul la escrocheriile prin e-mail, ele se aplică la fel de bine și la aceste noi forme de phishing. La bază, a nu avea încredere în nimeni este un bun punct de plecare. Niciodată nu apăsați și nu faceți clic pe linkurile din mesaje, căutați numere și adrese de site-uri web și introduceți-le singuri. Nu dați nicio informație unui apelant decât dacă sunteți sigur că este legitim – puteți oricând să îl sunați înapoi.
Este mai bine să fii în siguranță decât să-ți pară rău, așa că întotdeauna greșește de partea precauției. Nicio organizație nu vă va reproșa că ați închis și apoi i-ați sunat direct (după ce ați verificat dumneavoastră însuși numărul) pentru a vă asigura că sunt într-adevăr cine spun că sunt.
Actualizați-vă pregătirea de conștientizare
În timp ce a rămâne în gardă este un sfat solid pentru persoanele din viața de zi cu zi, realitatea este că oamenii de la locul de muncă sunt adesea neglijenți. Aceștia pot fi distrași, sub presiune și dornici să își facă treaba, iar escrocheriile pot fi diabolic de inteligente. Ce se întâmplă dacă SMS-ul pare să vină de la directorul general sau dacă apelul pare să vină de la cineva de la resurse umane? Puteți să vă întăriți angajații și să vă sporiți apărarea cu o instruire corectă și politici clare.
Care companie ar trebui să aibă un fel de program de instruire obligatorie și periodică de conștientizare a securității. Acesta poate include cele mai bune practici pentru siguranța generală, dar și să definească politici, cum ar fi cine trebuie contactat în cazul în care se întâmplă ceva suspect sau reguli privind modul în care vor fi tratate anumite comunicări sensibile, care fac ca tentativele de înșelăciune să fie mult mai ușor de depistat.
Dacă suferiți orice formă de atac de phishing, faceți schimbări pentru a vă asigura că nu se va mai întâmpla niciodată – acest lucru ar trebui, de asemenea, să influențeze formarea dumneavoastră în domeniul securității.
Majoritatea atacurilor de smishing și vishing nu sunt raportate, iar acest lucru face jocul infractorilor cibernetici. Deși puteți fi suficient de inteligent pentru a ignora cel mai recent SMS sau apel suspect, poate că Marge de la contabilitate sau Dave de la resurse umane vor cădea victimă. Dacă aveți un sistem pentru ca oamenii să raporteze aceste tentative de atac și, eventual, chiar și o mică recompensă pentru a face acest lucru, atunci vă oferă posibilitatea de a-i avertiza pe ceilalți.
Cum phishing-ul continuă să evolueze și să găsească noi vectori de atac, trebuie să fim vigilenți și să ne actualizăm continuu strategiile pentru a-l combate.
.