Що таке Смішинг
Смішинг — це фішинг, доставлений текстовим повідомленням. Розберіть, як зловмисники проводять SMS-приводи повз захист, що оберігає пошту, які комплекти індустріалізували атаку і які контролі формують рефлекс «перевір, перш ніж тапнути».
Смішинг — найшвидше зростаюча гілка фішингу
Смішинг — це фішинг, що доставляється текстовим повідомленням. Слово поєднує SMS і phishing, і описує будь-який шахрайський текст, що тисне на жертву, аби та натиснула на посилання, зателефонувала на номер, поділилася одноразовим кодом чи встановила застосунок. Він працює, бо перед телефоном немає secure email gateway, скорочувачі посилань ховають справжню адресу, а люди читають тексти за хвилини, часто відволікаючись і далеко від клавіатури.
Масштаб уже промисловий. Федеральна торгова комісія США (FTC) повідомила про $470 мільйонів втрат від SMS-шахрайства у 2024 році проти $373 мільйонів роком раніше, і фейкові сповіщення про доставку від імені Поштової служби США (USPS) стали найчастіше повідомлюваним текстовим шахрайством. Звіт FBI Internet Crime Report 2024 поставив фішинг і спуфінг на перше місце за кількістю скарг — 193 407, а лише смішинг про несплачені дорожні збори дав 59 271 скаргу за один рік.
Більшість цього обсягу веде до організованих операцій, а не поодиноких шахраїв. Resecurity приписує значну частку китайській групі Smishing Triad, що здає готові смішинг-комплекти через Telegram і чергує приводи між USPS, дорожніми службами й банками. Та сама техніка дотягується до підприємств: кампанія 2022 року, відома як 0ktapus, використала тексти про скид пароля Okta, щоб вразити понад 130 компаній, серед них Twilio і Cloudflare.
Як розгортається смішинг-атака
Збір номерів і націлювання
Зловмисники купують номери телефонів із дампів витоків, у брокерів даних і лід-листів або генерують їх послідовно під відомий код регіону. Кампанії проти підприємств поєднують імʼя і роль із LinkedIn із номером із витоку, тож текст може посилатися на правильного роботодавця, керівника чи інструмент. Споживчі кампанії йдуть широко й дешево, розсилаючи мільйонам номерів привід, що спрацьовує на будь-кому, хто нещодавно замовляв посилку або їхав платною дорогою.
Створення приводу з довіреним брендом
Повідомлення видає себе за курʼєра, банківську лінію протидії шахрайству, дорожню службу, хелпдеск роботодавця чи мобільного оператора. Воно стискає запит до одного-двох речень із дедлайном, бо маленький екран винагороджує стислість і терміновість. Смішинг-комплекти постачаються з готовими шаблонами й локалізованим текстом, тож той самий оператор може зранку гнати привід USPS, а пополудні — привід E-ZPass, не написавши жодного слова.
Маскування посилань і обхід шлюзу
У SMS немає аналога secure email gateway, тож основну роботу виконує посилання. Зловмисники використовують скорочувачі URL, свіжо зареєстровані лукалайк-домени й відкриті редиректори, щоб приховати призначення, і часто ховають сторінку за CAPTCHA, аби автоматичні сканери до неї не дісталися. Деякі кампанії взагалі обходяться без посилання й просять жертву відповісти або зателефонувати на номер, переносячи атаку на канал із ще меншою перевіркою.
Перехоплення облікових даних і кодів
Посилання відкриває оптимізовану під мобільний сторінку, що імітує банк, оператора чи single sign-on. На телефоні адресний рядок короткий і його легко не помітити, тож лукалайк-домен важко зловити. Коли жертва вводить логін і пароль, сторінка просить і одноразовий код, а потім у реальному часі ретранслює обидва зловмиснику. Саме цей adversary-in-the-middle патерн пояснює, чому SMS- чи push-код не зупиняє рішучого смішинг-оператора.
Ескалація і монетизація
Перехоплений споживчий логін перетворюється на вкрадені кошти, відкриті кредитні лінії чи перепродані ідентифікаційні дані. Перехоплений робочий логін стає першим кроком пробою: зловмисник входить у корпоративний identity provider, додає власний пристрій і рухається до пошти, репозиторіїв коду чи клієнтських систем. Багато корпоративних смішинг-кампаній протягом годин переходять до голосового дзвінка, використовуючи текст як зачин, а дзвінок — щоб закрити угоду, як показав пробій Retool 2023 року.
Реальні приклади смішинг-атак
2022 — 0ktapus / Scatter Swine: від SMS до пробою
Група, яку відстежують як 0ktapus і Scatter Swine, провела скоординовану SMS-фішингову кампанію проти понад 130 організацій, серед них Twilio, Cloudflare, MailChimp і DoorDash. Тексти імітували скиди пароля Okta й вели співробітників на лукалайк-портали single sign-on, що захоплювали живі облікові дані й одноразові коди. Cloudflare уникла пробою, бо вимагала апаратні ключі безпеки для кожного співробітника, тоді як Twilio підтвердила доступ зловмисників до внутрішніх інструментів і даних клієнтів. Кампанія довела, що один вчасний текст може бути цілим етапом первинного доступу до підприємства.
2023 — Smishing Triad: викрадення даних під виглядом USPS
Resecurity приписала хвилю текстів від імені USPS китайській групі Smishing Triad — мережі операторів, що будують і здають смішинг-комплекти через Telegram. Тексти стверджували, що посилку не вдалося доставити, і штовхали отримувачів на фейкову сторінку USPS, що збирала імена, адреси й дані платіжних карток. Resecurity відновила понад 108 000 записів жертв з інфраструктури операторів. Випадок показав, як модель fraud-as-a-service дозволяє багатьом низькокваліфікованим акторам проводити кампанії професійного рівня в національному масштабі.
2024–2025 — розширення смішингу на дорожні збори
З кінця 2024 року Smishing Triad перейшла на приводи про несплачені збори від імені E-ZPass та інших дорожніх служб, цілячись у водіїв щонайменше у вісьмох штатах США, а потім поширившись на Велику Британію. Тексти попереджали про невеликий прострочений збір і пеню — суму достатньо малу, щоб багато хто платив без перевірки. FBI Internet Crime Complaint Center зафіксував 59 271 скаргу на дорожній смішинг у 2024 році, а звіти 2025 року показали, що ті самі оператори переналаштовують комплекти на пряме викрадення банківських карток.
Як захиститися від смішингу
Ніколи не дійте за посиланням чи номером усередині тексту
Сприймайте кожен неочікуваний текст як неперевірений. Не тапайте посилання й не телефонуйте на номери, які дає повідомлення. Натомість відкрийте застосунок курʼєра, банку чи дорожньої служби або введіть веб-адресу вручну і перевірте, чи реальне твердження там. Ця єдина звичка зупиняє більшість смішингу, бо атака залежить від того, щоб жертва лишалася в каналі, який контролює зловмисник.
Розгорніть phishing-resistant MFA для співробітників
SMS- і push-коди можуть бути ретрансльовані в реальному часі adversary-in-the-middle комплектами, тож вони не зупиняють атаку з перехопленням облікових даних. Переведіть співробітників, починаючи з IT, фінансів та інженерії, на апаратні ключі FIDO2 або платформенні passkeys, що привʼязують вхід до легітимного домену й не можуть бути завершені проти лукалайк-сторінки. Cloudflare зазначила, що обовʼязкові апаратні ключі зупинили тексти 0ktapus 2022 року на периметрі.
Повідомляйте про смішинг на 7726 і видаляйте
У США, Великій Британії й Канаді пересилання шахрайського тексту на 7726 (SPAM) живить threat intelligence операторів і GSMA, що блокує номери відправників для всіх. Навчіть персонал «повідом-і-видали» і дайте співробітникам внутрішній канал, щоб позначати робочий смішинг, аби команда безпеки могла попередити інших. Reporting rate — провідний індикатор, що корелює зі стійкістю, на мобільному не менше, ніж у пошті.
Увімкніть mobile threat defense на пристрої й у мережі
Агенти mobile threat defense (від постачальників на кшталт Lookout, Zimperium чи мобільного рівня наявного EDR) позначають шкідливі посилання й сторонні застосунки на керованих пристроях. Поєднуйте їх із DNS-фільтрацією, що блокує резолвинг до відомої фішингової інфраструктури, і ввімкніть вбудоване фільтрування спаму й шахрайських текстів в iOS та Android. Ці контролі ловлять посилання навіть тоді, коли текст приводу новий.
Перевіряйте будь-яку зміну платежу чи доступу out-of-band
Вимагайте callback на опублікований внутрішній номер до будь-якої зміни реквізитів, оновлення банківських даних, скиду MFA чи схвалення нового пристрою, незалежно від каналу запиту. Запровадьте code-word для високовартісних фінансових і хелпдеск-запитів, щоб текст плюс наступний дзвінок не могли самотужки замкнути ланцюг. Комбінований патерн «SMS, а потім голос» за пробоєм Retool — саме те, що цей контроль покликаний зупинити.
Проводьте регулярні рольові смішинг-вправи
Загальне щорічне навчання не переноситься на телефон. Рольові вправи, що відображають живу техніку (приводи про збори й доставку для всіх, хелпдеск-тексти про скид MFA для IT, тексти про оплату вендорам для фінансів), підтримують рефлекс «перевір, перш ніж тапнути» актуальним. Вимірюйте reporting rate і time-to-report, а не лише click rate, і оновлюйте сценарії щомісяця слідом за комплектами, коли ті чергують приводи.
Як RansomLeak тренує співробітників розпізнавати смішинг
RansomLeak використовує імерсивні, сценарні вправи замість записаних відео і статичних тестів. Вправа зі смішингу занурює того, хто навчається, у реалістичну текстову нитку — привід про доставку, фейкове сповіщення про шахрайство, повідомлення про дорожній збір — і змушує приймати рішення на екрані у форматі телефона, де адресний рядок короткий, а тиск реальний. Кожен сценарій закінчується миттєвим зворотним звʼязком, що називає пропущені сигнали і крок перевірки, який зупинив би справжню атаку.
Покриття поширюється на всю мобільну й месенджер-поверхню. Вправа з вішингу переносить той самий рефлекс на голосові дзвінки, вправа з callback-фішингу тренує патерн «текст, а потім дзвінок», вправа з фішингу через QR-код покриває image-based приводи, вправа з MFA fatigue покриває push-бомбардування після перехопленого пароля, а вправа із соціальної інженерії у WhatsApp розширює навичку на чат-застосунки. Кожна вправа постачається як SCORM 1.2 і SCORM 2004, тож працює в Cornerstone, Workday Learning, Docebo чи будь-якій LMS, що відповідає стандартам, без додаткової інтеграції.
Програми скоупуються за ролями, а не пошлюються всім підряд. Фронтлайн і польові команди отримують приводи про доставку й збори, IT і хелпдеск отримують тексти про скид MFA й відновлення акаунта, фінанси отримують приводи про оплату вендорам і зміну банківських реквізитів, а керівники — цільовий spear-смішинг. Результат — рефлекс перевірки, що переноситься на SMS, голос, QR і чат, виміряний reporting rate і time-to-report та оновлюваний щомісяця слідом за технікою зловмисників.
Рекомендовані вправи
Сценарні симуляції з каталогу 100+.
Смішинг
Занурює того, хто навчається, у реалістичну текстову нитку з приводами про доставку, збори й шахрайство, формуючи рефлекс «перевір, перш ніж тапнути» на екрані у форматі телефона.
Спробувати вправуВішинг
Переносить той самий рефлекс на голосові дзвінки — канал, до якого смішинг-кампанії ескалюють, коли самого тексту замало, щоб закрити атаку.
Спробувати вправуCallback Phishing
Тренує патерн «текст, а потім дзвінок», де повідомлення не містить посилання й просить набрати номер, обходячи будь-який контроль сканування посилань.
Спробувати вправуФішинг через QR-код
Покриває image-based привід, що веде жертву від друкованого чи екранного коду прямо на мобільну сторінку перехоплення облікових даних.
Спробувати вправуАтака MFA fatigue
Покриває push-бомбардування після перехопленого пароля — крок, який смішинг-комплект запускає після ретрансляції першого коду.
Спробувати вправуSpear Phishing
Формує детектування націлених приводів — підхід на основі розвідки за корпоративним смішингом проти конкретних співробітників.
Спробувати вправуСоціальна інженерія у WhatsApp
Розширює мобільно-месенджерний рефлекс на чат-застосунки, куди смішинг-оператори дедалі частіше переходять після підтвердження номера.
Спробувати вправуКомпрометація ділового листування
Проводить фінансові команди через схему перенаправлення платежів, яку смішинг-текст часто відкриває до того, як гроші рушать.
Спробувати вправуДодаткове читання
Глибші посібники по дотичних темах.
Дотичні терміни глосарія
Швидкі визначення термінів із цього посібника.
Поширені запитання
Що питають security-лідери про цю загрозу.
У чому різниця між смішингом і фішингом?
Фішинг — загальний термін для шахрайсько-повідомленнєвих атак, що видають себе за довірене джерело. Смішинг — це гілка фішингу, доставлена через SMS чи текстове повідомлення, а не через пошту.
Психологія однакова: обидва експлуатують терміновість, авторитет і довіру, щоб підштовхнути жертву до дії, яку вона не зробила б, якби зупинилася. Відрізняється канал, і це важливо. Перед текстами немає secure email gateway, посилання маскують скорочувачі, а маленький екран ховає лукалайк-домен — тому смішинг часто проходить повз людей, які впізнали б той самий трюк у поштовій скриньці.
У чому різниця між смішингом і вішингом?
Смішинг — це фішинг через текстові повідомлення. Вішинг — це фішинг через голосові дзвінки. Обидва переносять атаку з пошти на телефон, де корпоративний захист найтонший, а люди реагують найшвидше.
Ці два часто чергують. Смішинг-текст готує привід, а потім надходить вішинг-дзвінок, щоб його закрити — як у пробої Retool 2023 року, де за текстовим приводом ішов дзвінок із підробленим голосом. Захист телефона означає тренування для обох каналів, а не лише для одного.
Чому смішинг-атаки такі ефективні?
Тексти досягають каналу майже без фільтрації. Для SMS немає secure email gateway, скорочувачі посилань ховають справжнє призначення, а короткий мобільний адресний рядок робить лукалайк-домен важко помітним. До того ж люди читають тексти за хвилини й часто діють відволікаючись.
Смішинг-комплекти теж знизили барʼєр. Оператори на кшталт Smishing Triad здають готові шаблони через Telegram, тож приводи професійного рівня про USPS, збори й банки йдуть у національному масштабі. FTC зафіксувала $470 мільйонів втрат від SMS-шахрайства у 2024 році.
Чи зупиняє MFA смішинг?
SMS-коди й push-запити не зупиняють сучасний смішинг. Adversary-in-the-middle комплекти ретранслюють одноразовий код зловмиснику в реальному часі тієї ж миті, коли жертва вводить його на лукалайк-сторінці, тож другий фактор перехоплюється разом із паролем.
Phishing-resistant MFA такі атаки зупиняє. Апаратні ключі FIDO2 і платформенні passkeys привʼязують вхід до легітимного домену, тож фейкова сторінка не може завершити рукопотискання. Cloudflare зазначила, що обовʼязкові апаратні ключі заблокували смішинг-кампанію 0ktapus 2022 року.
Як повідомити про смішинг-текст?
У США, Великій Британії й Канаді перешліть повідомлення на 7726, що на клавіатурі складає SPAM. Це живить threat intelligence операторів і GSMA, що допомагає блокувати номер відправника для інших людей. Після пересилання видаліть текст і не тапайте посилань і не відповідайте.
Якщо текст цілився у вас на роботі, повідомте також через внутрішній канал безпеки, щоб команда попередила колег і перевірила, чи отримали його інші. Швидке повідомлення — найкорисніше, що може зробити співробітник.
Що робити, якщо я натиснув на смішинг-посилання?
Зупиніться негайно й не вводьте жодних облікових даних, кодів чи платіжних реквізитів, навіть якщо сторінка виглядає справжньою. Закрийте сторінку і, якщо це робочий акаунт, відразу повідомте команду безпеки чи хелпдеск через опублікований канал.
Якщо ви вже ввели дані, команда безпеки змінить пароль, відкличе активні сесії, перевірить нові пристрої, додані до акаунта, і стежитиме за незвичними входами. Швидкість важлива, бо розрив між тапом і повідомленням — це вікно, в якому зловмисник перехоплює сесію.
Першоджерела
Цитовані вище.
- Top Text Scams of 2024 (text-scam losses reached $470M) — US Federal Trade Commission
- 2024 Internet Crime Report — FBI Internet Crime Complaint Center (IC3)
- Smishing Triad Targeted USPS and US Citizens for Data Theft — Resecurity
- Recognize and Report Phishing — CISA
Подивіться RansomLeak в дії
Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.