Смішинг-атаки: як SMS-фішинг працює та як його зупинити

Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.

Ви вже тягнетесь до посилання, ще не дочитавши.

Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.

Я спостерігав, як обізнані з безпеки люди, які ніколи б не натиснули посилання в email, без вагань натискали підозрілі SMS. Психологія різна:

Текстові повідомлення відчуваються особистими. Email приходить від компаній. Текст приходить від людей, яких ви знаєте. Коли текст надходить, ваш мозок за замовчуванням довіряє.

Немає часу подумати. Email лежить у скриньці, поки ви не готові. Текстове сповіщення вимагає негайної уваги. Ви відповідаєте інстинктивно, а не аналітично.

Ви не бачите, куди ведуть посилання. На екрані телефону URL обрізаються. Той підозрілий домен? Прихований за ”…” дрібним шрифтом. Це та ж URL-маскування, що працює в email, але гірше на мобільному.

Ваш телефон не має захисту. У вашого email є спам-фільтри, виявлення фішингу, сканування вкладень. У вашого SMS-додатку? Нічого.

“Увага ПриватБанк: Виявлено незвичну активність на вашому рахунку. Верифікуйте негайно: privatbank-verify-security.com”

Ці повідомлення експлуатують:

• Довіру до банківських сповіщень безпеки
• Страх фінансових втрат
• Терміновість запобігання шахрайству

“Нова Пошта: Ваша посилка не може бути доставлена. Оновіть параметри доставки: novaposhta-redelivery.net”

Ефективні, тому що:

• Кожен отримує посилки
• Проблеми з доставкою виглядають правдоподібно
• Невеликі “збори за повторну доставку” здаються розумними

“Google: Хтось намагається увійти у ваш обліковий запис. Відповідайте ТАК, якщо це ви, або натисніть тут для захисту вашого облікового запису.”

Ця атака перехоплює легітимні спроби входу, обманюючи користувачів на розкриття кодів автентифікації.

“Підтримка Apple: Ваш iCloud повний і резервне копіювання не працює. Оновіть зараз для запобігання втраті даних: icloud-upgrade-storage.com”

Таргетує страх користувачів втратити фото та дані. Наша вправа з шахрайства техпідтримки розглядає, як розпізнати ці приводи через SMS, телефон та спливаючі вікна.

“ДПС: У вас є невирішене податкове зобов’язання. Уникніть юридичних дій, оплативши негайно: dps-payment-portal.com”

Використовує авторитет та страх перед державними штрафами.

Неочікуваний контакт. Легітимні організації рідко ініціюють конфіденційні комунікації через SMS.

Мова терміновості. “Негайно”, “терміново”, “протягом 24 годин” тиснуть на швидку дію замість уважної оцінки.

Загальні привітання. Ваш банк знає ваше ім’я. “Шановний клієнт” свідчить про шахрайство.

Скорочені або підозрілі URL. Посилання bit.ly або домени, що не відповідають заявленому відправнику.

Запити конфіденційної інформації. Легітимні організації не просять паролі, PIN-коди або повні номери рахунків через текст.

Погана граматика або форматування. Професійні організації мають професійні комунікації.

Зловмисники рідко використовують лише один канал. Смішинг-текст може сказати зателефонувати на номер (що веде до вішингу). Вішинг-дзвінок може посилатися на “підтверджуючий текст”, який вони збираються надіслати. Канали підсилюють один одного. Такий багатоканальний підхід є ознакою атак соціальної інженерії.

Різниця між ними зводиться до того, що робить кожен канал вразливим:

• Email-фішинг дає зловмисникам більше простору для створення переконливих повідомлень, але ми навчились бути підозрілими
• Смішинг експлуатує довіру та терміновість, вбудовані в текстові повідомлення
• Вішинг додає соціальний тиск реального часу, якому майже неможливо чинити опір

Деякі зловмисники комбінують смішинг з техніками barrel-фішингу, надсилаючи нешкідливий перший текст для побудови взаєморозуміння перед наступним шкідливим посиланням.

Якщо ви отримуєте підозрілу комунікацію на одному каналі, очікуйте спроб на інших.

Ніколи не натискайте на посилання в неочікуваних текстах. Переходьте до сервісів безпосередньо, набираючи URL або використовуючи додатки.

Верифікуйте незалежно. Якщо текст стверджує, що від банку, зателефонуйте за номером на картці, а не за номером у повідомленні.

Увімкніть фільтрацію спаму. І iOS, і Android пропонують виявлення SMS-спаму. Увімкніть.

Повідомляйте про смішинг. Пересилайте підозрілі тексти для звітування операторам.

Не відповідайте. Відповідь (навіть щоб сказати “стоп”) підтверджує, що ваш номер активний.

Впровадьте управління мобільними пристроями (MDM) з політиками безпеки на корпоративних пристроях, включаючи виявлення SMS-загроз. Сильна програма навчання мобільної безпеки є основою.

Включіть смішинг-сценарії в навчання з кібербезпеки. Мобільні загрози недостатньо охоплені порівняно з email.

Встановіть чіткі політики, що ваша організація ніколи не запитуватиме облікові дані або конфіденційні дані через SMS.

Спростіть повідомлення працівників про підозрілі тексти команді безпеки.

Включіть SMS-симуляції в програми фішингових симуляцій, де можливо. Інтерактивні вправи з навчання смішингу дають працівникам практику ідентифікації текстових атак до того, як з’являться реальні.

1. Видаліть повідомлення
2. Заблокуйте відправника
3. Повідомте оператору

1. Негайно закрийте сторінку
2. Очистіть дані браузера
3. Моніторте на незвичну активність

1. Негайно змініть пароль на реальному сайті
2. Увімкніть 2FA, якщо ще не активна
3. Зверніться до реального відділу шахрайства організації
4. Моніторте облікові записи на несанкціоновану активність
5. Розгляньте захист від крадіжки ідентичності, якщо була повідомлена особиста інформація

Смішинг-атаки зросли на 700% протягом 2021-2022 років за даними щорічного звіту про загрози SlashNext, оскільки зловмисники розпізнали можливість. Сприяючі фактори:

• Люди все більше здійснюють конфіденційні транзакції на телефонах
• Навчання з безпеки зосереджується на email, тоді як мобільні загрози недостатньо охоплені
• SMS не має інфраструктури автентифікації та фільтрації, яку email розвинув
• Зростаюча залежність від служб доставки та мобільного банкінгу створила нові поверхні атаки

Смішинг-кампанія 2023 року одночасно імітувала USPS, UPS та FedEx:

Шаблон атаки:

1. Текст зі заявою про проблему доставки
2. Посилання на сторінку збору облікових даних, що імітує сайт перевізника
3. Запит “невеликого збору за повторну доставку” ($1,99)
4. Платіжна форма, що збирає повні дані кредитної картки

Масштаб: мільйони текстів, надісланих під час святкового сезону доставки.

Ефективність: вищий рівень успіху, ніж еквівалентний email-фішинг, через час (кожен очікував посилки) та динаміку довіри до мобільних.

Урок: сезонний контекст драматично збільшує ефективність смішингу. Навчання повинно адресувати поточні шаблони атак.

Ми витратили два десятиліття на побудову email-безпеки. Спам-фільтри, виявлення фішингу, навчання користувачів. І це спрацювало. Показники кліків на фішингові листи знизились.

Тому зловмисники перейшли на SMS, де жоден з цих захистів не існує.

Та ж скептичність, яку ви навчились застосовувати до email, повинна поширитись на кожен канал. Той “банківський сповіщення” текст? Зателефонуйте в банк за номером на картці. Те “повідомлення про доставку”? Перевірте відстеження на реальному сайті перевізника.

Це відчувається параноїдним. Але це не так. Це просто те, як ми змушені працювати зараз.

Розвиньте інстинкти, що перехоплюють смішинг до того, як ви натиснете. Спробуйте нашу безкоштовну вправу з смішингу з реалістичним сценарієм SMS-атаки, потренуйтесь виявляти QR-код фішинг або перегляньте наш повний каталог навчання з кібербезпеки з інтерактивними вправами.