Atacurile prin mesaje text malițioase reprezintă un pericol real, putând cauza pierderi financiare și de date semnificative atât pentru indivizi, cât și pentru organizații.
Infractorii cibernetici profită de încrederea naturală a utilizatorilor în mesajele text, folosind emoții puternice precum frica sau entuziasmul pentru a manipula și a compromite datele, adesea fără ca victima să realizeze ce se întâmplă.
Imaginează-ți: navighezi prin mesajele primite și, dintr-o dată, dai peste un text care te anunță că ai câștigat un premiu valoros. Sună prea bine ca să fie adevărat, dar în același timp, te atrage cu o forță ciudată.
Ești tentat să apeși pe link-ul din acel mesaj. Dar odată ce faci asta, te lovește un șoc: contul bancar este gol, sau identitatea ta a fost furată. Totul a pornit de la un mesaj text aparent inofensiv.
Bine ai venit în lumea atacurilor smishing – o amenințare tot mai frecventă, care prinde nepregătiți chiar și utilizatorii cei mai atenți.
De fapt, doar în primele șase luni ale anului 2021, atacurile de tip smishing au înregistrat o creștere alarmantă, majorându-se cu 700% la nivel global.
Astfel, necesitatea de a ne proteja împotriva acestor metode de manipulare a devenit mai importantă ca niciodată.
În acest articol, vom analiza în profunzime ce sunt atacurile smishing, diferitele lor tipuri și cum ne putem feri de ele.
Să începem!
Ce este Smishing?
Smishing, o prescurtare a expresiei „SMS phishing”, reprezintă o formă de infracțiune cibernetică care se bazează pe exploatarea încrederii, a fricii, a entuziasmului și a conturilor bancare ale utilizatorilor prin mesaje text malițioase, deghizate în mesaje legitime. Dar, în realitate, aceste mesaje sunt false.
Aceste texte au ca scop principal atragerea utilizatorilor să acceseze link-uri periculoase sau să divulge informații cu caracter privat.
Scopul final al atacurilor smishing este furtul de date personale, de bani sau chiar de identitate, pentru a fi folosite ulterior în scopuri frauduloase.
În cadrul acestui tip de atac, victima primește un mesaj text care sugerează fie câștigarea unui premiu, fie necesitatea urgentă de a actualiza datele contului. Mesajul poate conține un link periculos. Textul te îndeamnă să apeși pe acel link pentru a continua, fie pentru a revendica premiul, fie pentru a face modificări în contul tău.
Este important să fim conștienți că acestea sunt metodele folosite de infractorii cibernetici pentru a păcăli oamenii și a lansa atacuri.
În anii 2021 și 2022, un procent surprinzător de 76% dintre organizațiile la nivel global s-au confruntat cu cel puțin un atac smishing, conform unui raport Statista. Această statistică îngrijorătoare evidențiază amploarea acestei amenințări.
Siguranța noastră începe cu precauția. Nu accesa link-uri și nu oferi informații personale dacă nu ești absolut sigur de autenticitatea mesajului. Verifică cine a trimis mesajul și fii atent la greșeli de redactare sau solicitări neobișnuite. Nu uita, companiile legitime, cum ar fi băncile, nu îți vor solicita niciodată parole sau detalii sensibile prin mesaje text.
Creșterea utilizării telefoanelor mobile și smishing: motive de îngrijorare?
Pe măsură ce dispozitivele mobile au devenit indispensabile în viața noastră, riscul ca atacurile cibernetice să se intensifice a crescut exponențial. Acest aspect este, fără îndoială, un motiv serios de îngrijorare pentru toți, atât pentru persoanele fizice, cât și pentru companii.
Odată cu creșterea folosirii telefoanelor mobile, infractorii cibernetici au găsit un mediu ideal pentru a exploata date și bani. În 2021, aproximativ 87,8 miliarde de mesaje spam au fost trimise numai pe numerele de telefon din SUA. Din această cauză, oamenii au pierdut peste 10 miliarde de dolari.
În prezent, telefoanele sunt instrumente esențiale pentru sarcini diverse, de la operațiuni bancare la interacțiuni sociale. Această dependență, însă, ne expune la tacticile de manipulare folosite de infractorii cibernetici. Aceștia trimit mesaje convingătoare, care îi atrag pe oameni să acționeze impulsiv, fără să se gândească prea mult.
Consecințele unui atac smishing pot fi devastatoare, ducând la golirea conturilor bancare și la furtul de date personale și identitate. De aceea, este esențial să înțelegem că smishing-ul nu este doar o problemă enervantă, ci o amenințare serioasă la adresa siguranței financiare și a confidențialității noastre.
Este de înțeles că nu putem renunța la folosirea telefonului mobil, deoarece este indispensabil atât în viața personală, cât și în cea profesională. Însă, putem rămâne informați și precauți. Înțelegând riscurile și menținând vigilența, ne putem proteja de capcanele înșelătoare ale atacurilor smishing.
Tipuri de atacuri Smishing
Informarea asupra diferitelor tipuri de atacuri smishing ne oferă cunoștințele necesare pentru a recunoaște și a evita să cădem victime ale acestor tactici malițioase.
Să explorăm, așadar, diferitele categorii de atacuri smishing.
Phishing Smishing
Această metodă clasică de smishing are ca scop atragerea victimelor să acceseze link-uri periculoase, care le direcționează către pagini web false. Aceste pagini pot arăta identic cu cele legitime, cum ar fi site-ul băncii tale. Odată ajunși aici, vi se solicită să introduceți datele confidențiale, pe care atacatorul le captează și le folosește pentru a lansa atacul.
Vishing Smishing
Acesta este o abordare mai personală. Escrocii folosesc apeluri vocale împreună cu mesajele text. Aceștia pot lăsa mesaje vocale sau pot trimite SMS-uri care te avertizează despre conturi compromise sau activități frauduloase, cerându-ți să suni la un anumit număr sau să apeși pe un link. Odată ce faci acest lucru, aceștia obțin informații personale de la tine.
Smishing de tip Premiu
Ideea de a câștiga un premiu surpriză poate entuziasma pe oricine. Infractorii cibernetici profită de acest aspect, trimițând mesaje de genul: „Felicitări, ai câștigat un premiu!” Dar, de fapt, nu te-ai înscris la niciun concurs de acest fel.
În cadrul acestui tip de atac, escrocul îți solicită date personale sau plata unei „mici taxe” pentru a putea primi premiul. Ulterior, el dispare, luând cu el banii și datele tale.
Smishing financiar
Aceste mesaje imită adesea instituțiile financiare legitime, pretinzând că există activități suspecte în contul tău care necesită acțiune imediată. Din cauza acestei temeri, poți accesa link-ul oferit și, fără să-ți dai seama, acorzi acces la contul tău.
Smishing de tip Acțiune Urgentă
Folosind un sentiment de urgență, aceste mesaje te avertizează despre o situație critică, care necesită acțiune imediată. Fie că este vorba de actualizarea contului, confirmarea unei achiziții sau verificarea unei tranzacții, scopul acestor mesaje este să te determine să acționezi rapid, fără a mai sta pe gânduri.
Smishing cu aplicații
Atacatorii te pot contacta printr-un mesaj text, pretinzând că sunt de la un magazin de aplicații popular, solicitându-ți să descarci o actualizare sau o nouă aplicație. În realitate, link-ul te trimite către un site fals, care va descărca programe malware pe dispozitivul tău.
Smishing bazat pe prietenie
Această tehnică deosebit de înșelătoare presupune ca infractorii cibernetici să se dea drept prieteni sau membri ai familiei. Ei te pot ruga să-i ajuți financiar sau să le oferi informații sensibile, abuzând de încrederea ta în relațiile cu ei.
Smishing cu oferte de călătorie
Exploatând dorința de a călători, escrocii pot trimite mesaje despre oferte exclusive de călătorie sau confirmări de rezervare pentru călătorii pe care nu le-ai planificat. Dacă accesezi link-urile, poți fi victima unui furt de date sau poți descărca programe malware.
Smishing cu scop caritabil
Infractorii cibernetici profită de bunătatea ta, trimițând mesaje de la organizații caritabile false în timpul unor dezastre sau situații de urgență. Ei solicită donații, dar banii nu ajung niciodată la cei care au nevoie.
Smishing cu alerte de securitate
Aceste mesaje se bazează pe îngrijorările legate de încălcările de securitate, afirmând că un cont a fost compromis. Te îndeamnă să iei măsuri imediate sau să oferi informații sensibile, cum ar fi coduri OTP, atacatorilor. În momentul în care faci acest lucru, ei îți golesc conturile bancare sau obțin acces neautorizat pentru a iniția un atac amplu.
Exemple reale de atacuri Smishing și consecințele lor
Să analizăm câteva exemple reale ale acestor atacuri și consecințele lor devastatoare.
#1. „Compromiterea contului bancar”
Imaginează-ți că primești un mesaj text de la un număr care pare a fi cel al băncii tale. Mesajul te informează despre o activitate neautorizată în contul tău și îți cere să accesezi un link pentru a-ți verifica datele.
O victimă neștiutoare accesează acel link și introduce informațiile personale. În scurt timp, atacatorii obțin acces la conturile bancare. Rezultatul? Contul este golit, iar victima se confruntă cu grave probleme financiare.
Caz concret: Atacul Smishing de la Universitatea Deakin este un incident major, în cadrul căruia datele a aproape 47.000 de studenți actuali și foști au fost compromise. Atacul a avut loc după ce datele de acces ale unui singur membru al personalului au fost compromise, permițând unei persoane neautorizate să acceseze un serviciu de mesagerie SMS în masă folosit de universitate pentru a comunica cu studenții.
#2. Înșelătoria cu „card cadou gratuit”
Victimele primesc mesaje care le informează că au câștigat un card cadou sau un premiu. Tot ce trebuie să facă este să ofere datele personale sau să plătească o taxă de transport pentru a primi cardul cadou sau premiul. Odată ce destinatarul oferă datele sau achită taxa, atacatorul dispare, păcălind victima și compromițând datele personale ale acesteia.
Caz concret: Uzuparea identității unei agenții guvernamentale este un exemplu real de înșelătorie cu carduri cadou. Persoanele au primit apeluri telefonice de la escroci care se dădeau drept reprezentanți ai unei agenții guvernamentale, cum ar fi Administrația Securității Sociale.
Această înșelătorie a cunoscut o creștere semnificativă în 2021, aproape 40.000 de consumatori raportând o pierdere de 148 de milioane de dolari în primele nouă luni ale anului, conform Comisiei Federale pentru Comerț (FTC). Suma medie pierdută din cauza acestui tip de înșelătorie în 2018 a fost de 700 de dolari, crescând la 1.000 de dolari în 2021. S-a constatat că persoanele în vârstă, în special cele cu vârsta de peste 50 de ani, sunt mai vulnerabile la aceste înșelătorii.
#3. Trucul cu „actualizare falsă a aplicației”
Este posibil să primești un mesaj text prin care ești îndemnat să actualizezi imediat o aplicație populară. Fii foarte atent dacă se întâmplă așa ceva.
Link-ul din mesaj te trimite către o aplicație falsă, infectată cu malware. Dacă instalezi această aplicație malițioasă, informațiile personale, inclusiv datele bancare, pot fi furate. În plus, dispozitivul tău poate fi compromis, permițând hackerilor să-l controleze. În consecință, dispozitivul tău este vulnerabil, iar datele tale sunt în pericol.
Caz concret: Într-un raport al ZDNet, Atacul malware de tip troian pentru Android a fost deghizat într-o actualizare de sistem. Utilizatorii au primit un mesaj prin care erau îndemnați să-și actualizeze sistemul. Totuși, la descărcarea și instalarea acestei „actualizări”, aceasta a acționat ca un troian de acces la distanță, oferind atacatorilor control total asupra dispozitivului victimei.
Acest lucru le-a permis să obțină o gamă largă de date, inclusiv mesaje, fotografii și chiar informații GPS. Malware-ul era sofisticat și putea chiar să înregistreze convorbirile telefonice, fiind una dintre cele mai invazive tulpini de malware Android.
#4. Amenințarea „IRS”
Oamenii au primit mesaje de la Internal Revenue Service (IRS) care insistă asupra plății imediate a taxelor restante, sau avertismente despre consecințe legale. De frică, victimele se supun cerințelor, oferind informații financiare sau făcând plata solicitată. Rezultatul: pierderi financiare și date personale expuse.
Caz concret: În septembrie 2022, Internal Revenue Service (IRS) a avertizat cu privire la o creștere a înșelătoriilor prin SMS de la IRS. Textele false îi ademeneau pe oameni cu pretenții de scutiri COVID, credite fiscale sau asistență pentru crearea unui cont online IRS.
Un incident notabil a implicat un contribuabil care a primit un mesaj care afirma că are datorii la stat și că trebuie să acceseze un link pentru a-și plăti taxele. Odată ce a accesat link-ul, a fost redirecționat către o pagină de phishing, care a încercat să colecteze informațiile personale și datele bancare.
#5. Înșelătoria cu „confirmarea călătoriei”
Victimele primesc un mesaj care pretinde că este o confirmare a călătoriei pentru o călătorie pe care nu au rezervat-o. Din curiozitate, accesează link-ul pentru a anula rezervarea și, fără să-și dea seama, descarcă malware pe dispozitivul lor.
Acest malware poate fura informații personale, date de autentificare și poate chiar înregistra apăsările de taste. Aceasta compromite confidențialitatea și poate cauza pierderi financiare.
Caz concret: Mevonnie Ferguson, o rezidentă din Kent, Marea Britanie, este victima unei înșelătorii cu rezervarea biletelor de avion. Ea a fost păcălită de un escroc care pretindea că este reprezentantul unei agenții de turism numită Infinity Global Travel. I s-a vândut un bilet aparent valid al British Airways, de la Londra la Kingston, Jamaica.
După ce a verificat rezervarea pe site-ul BA, folosind numărul de confirmare, totul părea în regulă. Totuși, la aproximativ două săptămâni după achiziție și cu câteva zile înainte de plecare, rezervarea dispăruse de pe site-ul BA. După ce a contactat compania aeriană, ea a aflat că nu exista nicio rezervare pe numele ei. Escrocul a profitat de diferența dintre o rezervare „confirmată” și una „rezervată”, făcând să pară o rezervare valabilă, când în realitate era doar o reținere temporară.
#6. „Înșelătoria romantică”
Sursă: Crystalblockchain
În anumite situații, infractorii cibernetici construiesc relații emoționale cu victimele prin mesaje, pretinzând că sunt interesați de o relație romantică. Odată ce reușesc să câștige încrederea, manipulează victimele să ofere informații personale și financiare. Acest lucru poate cauza durere, trădare și pierderi financiare.
Caz concret: Un infractor cibernetic s-a dat drept generalul Paul Nakasone, directorul Agenției Naționale de Securitate și șeful Comandamentului Cibernetic al SUA, pentru a atrage femei într-o înșelătorie romantică. Escrocul a inițiat conversații false prin e-mail cu femei pe platforme de socializare, folosind identitatea generalului. Într-un caz, impostorul a pretins că este staționat în Siria și a inundat o femeie cu mesaje religioase, îndemnând-o să comunice prin Google Hangouts.
Măsuri preventive împotriva atacurilor smishing
Consecințele atacurilor smishing depășesc pierderile financiare – ele pot distruge încrederea, compromite confidențialitatea și pot avea efecte negative asupra psihicului.
Să analizăm câteva metode eficiente pentru a preveni atacurile smishing.
#1. Conștientizare și instruire
În peisajul digital interconectat de astăzi, este esențial ca organizația să își instruiască angajații cu cunoștințele necesare pentru a proteja informațiile sensibile.
Conform unui raport ID Agent, companiile se confruntă cu un cost mediu de 15.000 USD ca urmare a atacurilor smishing. Impactul financiar subliniază necesitatea urgentă de a educa angajații.
Pentru a întări apărarea împotriva amenințărilor cibernetice ascunse, acordă prioritate instruirii detaliate despre smishing și promovează conștientizarea în cadrul organizației. Acest lucru îi va ajuta pe toți să fie pregătiți pentru aceste atacuri malițioase și să reacționeze în mod inteligent.
De asemenea, participarea la sesiuni de training regulate, care oferă informații despre atacurile smishing, le permite angajaților să distingă între mesajele legitime și posibilele înșelătorii. Instruindu-i să identifice link-urile suspecte, solicitările urgente sau cererile neașteptate, angajații devin o barieră eficientă împotriva acestor încercări rău intenționate.
#2. Verificarea identității expeditorului
Vigilența este prima linie de apărare într-o lume în care mesajele frauduloase se pot infiltra cu ușurință în căsuța ta de mesaje. Atunci când primești un text care solicită acțiune imediată sau date sensibile, fă un pas înapoi și verifică datele expeditorului.
Verifică încă o dată numărul de telefon sau adresa de e-mail a expeditorului, asigurându-te că acestea corespund cu datele oficiale de contact ale instituției respective. Entitățile legitime nu vor recurge la mesaje text pentru a solicita informații confidențiale.
Prin confirmarea identității expeditorului, reduci semnificativ probabilitatea de a fi victima unui atac smishing.
#3. Prudență față de mesajele text
Extinderea precauției de la e-mailuri la mesajele text este esențială pentru a-ți proteja activele digitale. Infractorii cibernetici folosesc frecvent confortul și familiaritatea mesajelor text pentru a-și manipula victimele.
Așadar, tratează fiecare mesaj text cu prudență, la fel cum ai face-o cu e-mailurile de la persoane necunoscute. Evită să accesezi link-uri sau să descarci conținut dacă expeditorul nu îți este cunoscut. Analizează cu atenție mesajele și vezi dacă sună ciudat sau dacă cer lucruri neașteptate.
#4. Asigurarea securității dispozitivelor mobile
În era digitală în care trăim, în care dispozitivele mobile conțin o multitudine de informații personale și confidențiale, este esențial să acordăm prioritate securității acestora.
O metodă bună pentru a combate atacurile smishing este implementarea unor funcții de securitate avansate, cum ar fi încuietorile biometrice (amprentă, recunoaștere facială etc.). Acestea adaugă un strat suplimentar de apărare și îmbunătățesc protecția generală a datelor.
Pentru o securitate optimă, este esențial să instalezi cele mai recente actualizări de securitate. Actualizarea regulată a dispozitivelor mobile creează o apărare solidă împotriva amenințărilor cibernetice. Această măsură proactivă te protejează de vulnerabilitățile pe care le pot exploata infractorii. De asemenea, investește în instrumente de securitate pentru a crea o barieră robustă împotriva amenințărilor smishing.
#5. Utilizarea autentificării cu mai mulți factori
Pentru a-ți consolida datele digitale, implementarea autentificării cu mai mulți factori (MFA) este o strategie puternică. Pe lângă securitatea bazată pe parolă, MFA necesită un nivel suplimentar de verificare. Acest lucru implică de obicei un cod trimis către un alt dispozitiv sau o scanare a amprentei.
Prin integrarea acestui cadru de securitate complex, crești dificultatea pentru potențialii atacatori care încearcă să-ți compromită conturile. Aceasta acționează ca un scut de protecție împotriva tentativelor de înșelătorie.
#6. Utilizarea unor parole puternice
Telefoanele, computerele și alte dispozitive stochează o mulțime de informații private. O modalitate simplă, dar eficientă de a păstra datele în siguranță este folosirea unei parole puternice pentru fiecare dispozitiv.
Creează o parolă complexă, care combină litere, cifre, simboluri, litere mari și mici. Acest lucru face mai dificilă ghicirea parolei de către hackeri. Această metodă ajută la contracararea potențialelor atacuri smishing și îți îmbunătățește securitatea digitală generală.
#7. Raportarea atacurilor smishing
Ca persoană informată și responsabilă, rolul tău în combaterea infractorilor cibernetici este esențial. Raportând incidentele autorităților competente, contribui la eforturile poliției și ale altora de a-i prinde pe infractorii responsabili de aceste atacuri.
În plus, este important să-ți informezi prietenii, familia și colegii despre aceste incidente. Acționând împreună, putem preveni distribuirea mesajelor malițioase și putem crea un mediu digital mai sigur pentru toți.