Smishing er et nettfiskingsangrep utført over tekstmeldinger på mobil, også kjent som SMS-nettfisking.
Som en variant av nettfisking lures ofre til å gi sensitiv informasjon til en skjult angriper. SMS-nettfisking kan hjelpes av skadelig programvare eller svindelnettsteder. Det skjer på mange mobiltekstmeldingsplattformer, inkludert ikke-SMS-kanaler som databaserte mobilmeldingsapper.
Som definisjonen av smishing antyder kombinerer begrepet "SMS" (short message services, bedre kjent som tekstmelding) og "phishing." For å definere smishing ytterligere kategoriseres det som en type sosial manipulasjonsangrep som avhenger av å utnytte mennesketillit heller enn tekniske utnyttelser.
Når nettkriminelle "fisker" sender de falske e-poster som prøver å lure mottakeren til å klikke på en ondsinnet lenke. Smishing bruker rett og slett tekstmeldinger i stedet for e-post.
Disse nettkriminelle er ute etter å stjele personopplysningene dine, som de da kan bruke til å begå svindel eller andre nettforbrytelser. Dette inkluderer normalt å stjele penger - vanligvis dine, men noen ganger også selskapets penger.
Nettkriminelle bruker ofte en av to metoder for å stjele disse dataene:
Smishingtekstmeldinger gir seg ofte ut for å være fra banken din, og ber deg om personlig eller finansiell informasjon som kontonummeret eller minibanknummeret ditt. Å oppgi informasjonen er nesten det samme som å gi tyvene nøklene til banksaldoen din.
Etter hvert som flere og flere personer bruker sine personlige smarttelefoner til jobb (en trend kalt BYOD, eller "bring din egen enhet") blir smishing en forretningstrussel og en forbrukertrussel. Så det bør ikke være noen overraskelse at smishing har blitt den fremste formen for ondsinnede tekstmeldinger.
Nettkriminalitet rettet mot mobilenheter er i vekst, akkurat som mobilenhetsbruk. I tillegg til at teksting er den mest vanlige bruken av smarttelefoner, er det et par andre faktorer som gjør dette til en spesielt lumsk sikkerhetstrussel. For å forklare la oss avdekke hvordan smishing-angrep virker.
Bedrag og svindel er kjernekomponentene i ethvert SMS-nettfiskingsangrep. Etter hvert som angriperen påtar seg en identitet som du kan stole på, har du større sannsynlighet for å gi etter for forespørslene deres.
Sosiale manipulasjonsprinsipper lar smishingangripere manipulere et offers beslutningstaking. De fremste faktorene for dette bedraget er tredelt:
Ved hjelp av disse metodene skriver angripere meldinger som får en mottaker til å handle.
Normalt vil angripere at mottakeren skal åpne en URL-lenke i tekstmeldingen, hvor de da føres til et nettfiskingsverktøy som ber dem om å avsløre sin personlige informasjon. Dette nettfiskingsverktøyet kommer ofte i form av et nettsted eller en app som også har en falsk identitet.
Mål velges på mange måter, men er vanligvis basert på deres tilknytning til en organisasjon eller et regionalt sted. Ansatte eller kunder i en spesifikk institusjon, mobilnettverkabonnenter, universitetsstudenter og til og med beboere i et gitt område kan være mål.
En angripers forkledning er vanligvis relatert til institusjon de ønsker å få tilgang til. Men det kan like gjerne være en maske som vil hjelpe dem med å skaffe seg din identitet eller finansielle informasjon.
Ved hjelp av en metode kjent som spoofing kan en angriper skjule sitt ekte telefonnummer bak en felle. Smishingangripere kan også bruke "engangstelefoner" — billige, forbetalte telefoner til engangsbruk — for å ytterligere skjule opphavet til angrepet. Angripere er kjent for å bruke e-post til teksttejenster som andre måter å skjule numrene sine.
Trinn for trinn vil en angriper utføre angripet sitt i et par nøkkelfaser:
En angripers smishingplan er vellykket når de har brukt din private informasjon til å begå tyveriet de hadde som mål. Dette målet kan inkludere men er ikke begrenset til å stjele direkte fra en bankkonto, begå identitetssvindel for å åpne kredittkort ulovlig eller lekke private bedriftsdata.
Som nevnt tidligere, smishingangrep leveres både gjennom tradisjonelle tekstmeldinger og ikke-tekstmeldingsapper. Men SMS-nettfiskingsangrep sprer seg primært uavbrutt og ubemerket på grunn av sin bedragerske art.
Smishingbedrag forsterket av at brukere har falsk tillit til tekstmeldingssikkerhet.
For det første, er det mange som kjenner til risikoene for e-postsvindel. Du har sannsynligvis lært å være mistenksom til generiske e-poster som sier "Hei-sjekk ut denne lenken." Utelukkelsen av en autentisk personlig melding er ofte et betydelig rødt flagg for e-postspamsvindler.
Når folk er på telefonene sine, er de mindre mistenksomme. Mange antar at smarttelefonene sine er sikrere enn datamaskiner. Men smarttelefonsikkerhet har begrensninger og kan ikke alltid beskytte direkte mot smishing.
Uavhengig av metodene som brukes, krever disse planene til syvende og sist svært lite utover din tillit og en vurderingssvikt for å lykkes. Som følge av dette kan smishing angripe en hvilken som helst mobilenhet med tekstmeldingsfunksjoner.
Selv om Android-enheter er markedets største plattform og et ideelt mål for skadeprogramtekstmeldinger, så er iOS-enheter mål med lik mulighet. Apples iOS-mobilteknologi har et godt sikkerhetsrykte, men det finnes ikke et mobiloperativsystem som i seg selv kan beskytte deg mot nettfiskingsaktige angrep. En falsk følelse av sikkerhet kan gjøre brukere spesielt sårbare, uavhengig av plattformen.
En annen risikofaktor er at du bruker smarttelefonen din på farten, ofte når du er distrahert eller har det travelt. Dette betyr at du har større sannsynlighet for å bli tatt på sengen og svare uten å tenke når du får en melding som ber om bankinformasjonen din eller om å løse inn en kupong.
Hvert smishingangrep bruker lignende metoder, men presentasjonen kan variere betydelig. Angripere kan bruke et bredt omfang av identiteter og lokaler for å holde disse SMS-angrepene oppdaterte.
Dessverre er en omfattende liste over smishingtyper nesten umulig på grunn av den endeløse innovasjonene på disse angrepene. Ved å bruke et par etablerte svindelpremisser kan vi avdekke egenskaper som hjelper deg med å oppdage et smishingangrep før du blir et offer.
Her er noen vanlige premisser for smishingangrep:
COVID-19-smishingsvindler er basert på legitime hjelpeprogrammer utviklet av myndigheter, helse- og finansielle organisasjoner for rekonvalesens fra COVID-19-pandemien.
Angripere har brukt disse systemene til å manipulere ofres helse- og økonomifrykt for å begå svindel. Varseltegn kan inkludere:
Smishingangrep gjennom finansielle tjenester skjules som varsler fra finansielle institusjoner. Nesten alle bruker bank- og kredittkorttjenester, noe som gjør dem utsatt for både generiske og institusjonsspesifikke meldinger. Lån og investering er også vanlige premisser i denne kategorien.
En angriper gir seg ut for å være en bank eller en annen finansinstitusjon for en ideell for å begå økonomisk svindel. Trekk ved en nettfiskingssvindel ved hjelp av finansielle tjenester kan inkludere en presserende forespørsel om å låse opp kontoen din, bli bedt om å verifisere mistenkelig kontoaktivitet, og mer.
Gavesmishing antyder løfte om gratis tjenester eller produkter, ofte fra en forhandler eller et annet selskap med godt omdømme. Dette kan være reklamepakkekonkurranser, shoppingbelønninger eller en rekke ulike typer gratistilbud. Når en angriper øker begeistringen din ved å si ordet "gratis", fungerer denne tjenesten som en overstyring av fornuft for å få deg til å handle raskere. Tegn på dette angrepet kan inkludere tilbud i en tidsbegrenset periode eller et eksklusivt valg for et gratis gavekort.
Bekreftelsessmishing involverer en falsk bekreftelse av et nylig kjøp eller faktura for en tjeneste. En lenke blir kanskje lagt ved for oppfølging for å manipulere nysgjerrigheten din eller få deg til å handle umiddelbart for å utløse frykt for uønskede endringer. Bevis på denne svindelen kan involvere en rekke ordrebekreftelsestekster eller fraværet av et virksomhetsnavn.
Kundestøttesmishing-angripere gir seg ut for å være en representant fra et betrodd selskap som skal hjelpe deg med å løse et problem. Høyteknologi- og e-handelsselskaper som Apple, Google og Amazon er effektive forkledninger for angripere i dette premisset.
Vanligvis vil en angriper hevde at det er en feil med kontoen din og gi deg trinn for å løse det. Forespørselen kan være så enkel som å bruke en falsk påloggingsside, mens mer komplekse systemer kan be deg om å oppgi en ekte kontogjenopprettingskode i et forsøk på å tilbakestille passordet ditt. Advarsler om en støttebasert smishingplan inkluderer et problem med fakturering, kontotilgang, uvanlig aktivitet eller å løse din nylige kundeklage.
Med SMS tilgjengelig for nesten alle med en mobiltelefon, har smishingangrep skjedd globalt. Her er noen smishingangrepseksempler å være oppmerksom på.
I september 2020 dukket det opp en smishingkampanje som lurte andre til å oppgi kredittkortinformasjon mot en gratis iPhone 12.
Systemet bruker et ordrebekreftelsespremiss, der tekstmeldingen hevder at en pakkelevering har blitt sendt til en feil adresse. URL-lenken i teksten sender mål til et nettfiskingsverktøy som gir seg ut for å være en Apple-chatbot. Verktøyet veileder offeret gjennom en prosess for å gjøre krav på en gratis iPhone 12 som del av et prøveprogram med tidlig tilgang, men ber uunngåelig om kredittkortinformasjon for å dekke et lite fraktgebyr.
I september 2020 begynte det å sirkulere rapporter om en falsk USPS- og FedEX-pakkeleveringssvindel på SMS. Dette smishingangrepet kan forsøke å stjele kontoinformasjonen din for ulike tjenester eller kredittkortinformasjonen din.
Meldingene startet med en påstand om manglende eller feil pakkelevering og oppgir en lenke til et nettstedsnettfiskeverktøy som gir seg ut for å være en FedEx- eller USPS-spørreundersøkelse med en reklamepakke. Selv om premisset for disse nettfiskingssidene kan variere, har mange blitt identifisert som å forsøke seg på å samle kontopålogginger for tjenester som Google.
I april 2020 mottok Better Business Bureau en økning i rapporter om at personer som ga seg ut for å være fra de amerikanske myndighetene sendte tekstmeldinger der de ba folk om å ta en obligatorisk COVID-19-test via et nettsted med en vedlagt lenke.
Mange har selvsagt umiddelbart oppdaget denne svindelen siden det ikke finnes noen nettest for COVID-19. Men premisset for disse smishingangrepene kan enkelt utvikle seg, ettersom det å spille på pandemifrykt er en effekt metode å gjøre allmennheten til et offer.
De gode nyhetene er at de potensielle ringvirkningene av disse angrepene er lette å beskytte seg mot. Du kan holde deg selv trygg ved å ikke gjøre noe. Angriperne kan bare gjøre skade hvis du tar agnet.
Med det sagt, vær klar over at tekstmeldinger er en legitim måte for mange forhandlere og institusjoner å nå deg. Ikke alle meldinger bør ignoreres, men du bør handle trygt uansett.
Det er et par ting å huske som vil bidra til å beskytte deg mot disse angrepene.
Husk at, som e-postnettfisking, så er smishing en lureforbrytelse — den avhenger av å lure offeret til å samarbeide ved å klikke på en lenke eller oppgi informasjon. Den enkleste beskyttelsen mot disse angrepene er å ikke gjøre noe i det hele tatt. Hvis du ikke svarer, kan ikke en ondsinnet tekst gjøre noe.
Smishing-angrep er smarte og kan allerede ha rammet deg, så du må en kriseplan på plass.
Fatt disse viktige tiltakene for å begrense skaden av et vellykket smishing-forsøk:
Hvert av disse trinnene har betydelig vekt for din beskyttelse etter et smishing-angrep. Men å rapportere et angrep hjelper deg ikke bare med å ordne opp, men det forhindrer andre fra å bli rammet også.
Beslektede koblinger: