Smishing este un termen care descrie o metoda de inginerie sociala folosita de atacatori pentru a trimite mesaje de phishing transmise peste o retea mobila sub forma de text – SMS. Desi este vazut ca o tactica relativ noua, smishing-ul are deja ceva ani de vechime si devin o arma din ce in ce mai folosita din arsenalul hackerilor. Cu siguranta ati intalnit acest tip de atac, desi poate nu l-ati recunoscut in prima instanta. Fiind un mesaj primit direct pe telefonul mobil, cel mai drag dispozitiv noua, si nu pe email sau pe retelele de socializare, riscul de a raspunde sau de a deschide URL-uri malitioase este mai mare decat pe laptop-uri, unde ne este mai usor sa facem cateva verificari simple si rapide pentru a vedea daca mesajul este legitim sau nu. Mai mult, Covid-19 a crescut exponential volumul de cumparaturi online, ceea ce incurajeaza atacatorii sa trimita SMS-uri ca si cum ar veni din partea firmelor de curierat. Este greu sa tinem evidenta fiecarei comenzi care trebuie sa ne fie livrata, si usor pentru atacatori sa ne trimita un SMS de phishing ca si cum ar veni din partea livratorului.
SMS-urile de phishing sunt transmise “la vrac” de atacatori catre un numar mare de utilizatori mobili intr-o maniera generala, nevizand o categorie expres de tinte. Multe persoane care nu folosesc serviciile mentionate in mesajul primit il vor ignora, insa un mic procent pot cadea victime, pentru ca poate chiar folosesc respectivul serviciu si acceseaza URL-ul inclus, sau pur si simplu dau click din curiozitate :). Lucru ce se poate dovedi suficient pentru atacatori, acestia reusind sa faca profit financiar din campania de smishing.
Cateva dintre tehnicile folosite de hackeri pentru a ne convinge sa actionam conform instructiunilor din SMS recurg la elemente care tin de facturi intarziate, livrari ratate, notificari din partea bancilor, produse promotionale gratuite, amenzi sau notificari care au un caracter urgent, presant care necesita o actiune imediata. Cele mai multe SMS-uri de smishing incearca sa directioneze victima catre pagini web de login false care impersoaneaza foarte bine site-urile legitime sau catre o pagina de plata care va culege detaliile bancare ale victimei. URL-urile din SMS vor fi prescurtate pentru a ascunde efectiv locatia spre care va fi directionata victima, plus ca pe un telefon mobil este destul de dificil sa vezi intregul URL dupa ce l-ai deschis in browser, ceea ce lucreaza in avantajul atacatorului.
Putem lua cateva masuri pentru a ne proteja de atacurile smishing:
- in primul rand sub nicio forma nu trebuie sa raspundem, nici macar la acele mesaje care ne cer sa dam reply cu “STOP” daca nu vrem sa mai primit notificarile. Acest lucru ne marcheaza numarul de telefon ca activ si ii va permite hacker-ului sa ne hartuiasca pe viitor.
- sa ne pastram calmul si scepticismul si sa procedam cu atentie mai ales in situatiile care cer o actiune imediata din partea noastra precum “ mai ai 2 zile sa iti updatezi parola”, “trebuie sa platesti acum pentru a beneficia de oferta de reduceri”, etc.
- sa verificam numarul de pe care primim sms-ul – numerele care arata ciudat sau cele scurte, din 4 cifre, pot fi un semn ale serviciilor de tip email-to-text folosite de atacatori pentru a-si masca numarul real.
- raporteaza autoritatilor orice tentativa fraudulenta de smishing
- nu divulga parolele conturilor sau codurile de resetare ale parolelor prin sms vreunei entitati terte. Aceste elemente de securitate trebuie folosite numai in cadrul paginii web de login oficiale.
- nu actiona asupra numerelor de telefon sau asupra link-urilor incluse in sms
- in cazul notificarilor de la banca sau de la un comerciant care solicita informatii despre cardul, ia legatura direct cu banca sau cu comerciantul. Institutiile legitime nu iti vor cere niciodata astfel de informatii prin mesaje text.
- foloseste o aplicatie mobila de antimalware descarcata din magazinul oficial de aplicatii
Daca crezi ca ai fost victima unui atac de smishing trebuie sa:
- raportezi atacul institutiilor relevante
- blochezi cardurile pentru a preveni orice tentativa de frauda financiara
- schimbi parolele conturilor care ar fi putut fi compromise
- monitorizezi conturile bancare pentru achizitii pe care nu le recunosti si conturile personale pentru incercari de login din locatii ciudate si pentru orice activitate neobisnuita.
Mihai Dumitrascu, Sr Systems Engineer