СМС фишинг - как не попасться на старую уловку в новом году
С началом нового года появились новые способы социальной инженерии. На самом деле всё новое, это хорошо забытое старое, беспокоит всё возрастающая частота применения этих инструментов.
СМС фишинг — одна из тех техник, которые не относятся к новым, но в этом году будет пользоваться повышенным вниманием со стороны хакеров, поэтому мы будем следить за трендом.
Для тех, кто не знаком с термином смс фишинг объясним, что это обычный фишинг, в котором для доставки сообщения-приманки вместо обычно используемой электронной почты используется смс-канал мобильного телефона жертвы.
Как происходит атака?
Обычно атака происходит следующим образом. Жертва получает SMS сообщение якобы от проверенного источника или контакта в котором сообщается о том, что с аккаунтом жертвы какие-то проблемы и для решения этих проблем необходима некоторая информация, причём срочно!
Второй вариант это когда сообщение содержит описание чего-то потенциально интересного для жертвы, например «Фотки с НГ корпоратива 2018 по ссылке».
Так как сообщение пришло от доверенного источника пользователь обычно кликает по ссылке не сомневаясь. По ссылке его ждёт перенаправление на сайт, который выглядит в точности как сайт сервиса, от имени которого было получено смс. На этом сайте пользователя просят ввести некоторые персональные данные или данные для доступа. Основная цель хакеров — сбор платёжных данных или установка вредоносного ПО на мобильный телефон.
Способ не новый, но становится всё более популярным. Почему?
Во-первых, пользователи и службы электронной почты всё лучше разбираются в фишинге и уровень доверия к почте постоянно падает, а уровень настороженности растёт благодаря большому количеству информации об этой угрозе, корпоративных тренингах, новых технологиях распознавания и предупреждения. В смс-фишинге пока довольно просто пробить защитный пользовательский барьер и поймать жертву на крючок.
Во-вторых, всё большее количество компании разрешает использование личных телефонов и планшетов на работе. А это значит, что получив доступ к личному устройству хакеры могут через него получить доступ в корпоративную сеть компании.
В-третьих, за последние несколько лет произошло несколько масштабных утечек личных данных в которых присутствовали номера телефонов дополненные ФИО и другими личными данными. Преступникам доступна эта информация и они ей пользуются.
Uber объявил в конце 2016 года, что у них произошла утечка данных о примерно 57 миллионах пользователей и водителей. Среди утекшей в сеть информации были имен, email адреса и телефоны пользователей Uber по всему миру.
E-Sports Entertainment Association (ESEA) в конце 2016 года также сообщило о краже 1.5 миллионов имён и фамилий игроков, также в украденных данных были email адреса и телефоны.
Как реагировать? Что можно предпринять?
Конечные пользователи могут предпринять те же действия, которые они предприняли относительно фишинговых сообщений на электронную почту: нужно обращать внимание на неожиданные сообщения, которые побуждают совершить определённые действия (нажать на ссылку или позвонить по телефону).
Бизнес должен предупредить своих работников и клиентов об этой опасности и провести обучающие мероприятия, а также дополнить свою политику безопасности соответствующими правилами.
В начале 2018 года двух нижегородцев осудили за рассылку подобных сообщений и последующую кражу денег