Destruktivni napadi putem SMS poruka mogu dovesti do finansijskih gubitaka i kompromitovanja podataka kako za pojedince, tako i za kompanije.
Sajber kriminalci manipulišu ljudskom sklonošću ka poverenju u SMS poruke, koristeći emocije straha ili uzbuđenja da bi ih naveli na otkrivanje osetljivih informacija, često bez njihove svesti o tome.
Zamislite sledeću situaciju: dok pregledate svoje poruke, iznenada dobijate SMS u kojem se navodi da ste dobitnik glavne nagrade. Deluje previše dobro da bi bilo istinito, ali je uprkos tome primamljivo.
Dolazite u iskušenje da kliknete na link koji se nalazi u poruci. Nakon toga sledi šok kada shvatite da je vaš bankovni račun ispražnjen ili da je vaš identitet ukraden, a sve je to poteklo iz naizgled bezopasne SMS poruke.
Dobrodošli u svet ‘smishing’ napada – rastuće pretnje koja hvata čak i najopreznije pojedince nespremnim.
Zapravo, samo u prvih šest meseci 2021. godine, zabeležen je neverovatan porast ovih napada od 700% na globalnom nivou.
Stoga, potreba da se zaštitite od ovih manipulativnih taktika nikada nije bila veća.
U ovom članku, detaljnije ću istražiti ove napade, njihove različite oblike i načine na koje se možete od njih zaštititi.
Krenimo!
Šta je Smishing?
Smishing, skraćenica od „SMS phishing“, predstavlja sajber pretnju koja iskorišćava vaše poverenje, strah, uzbuđenje i bankovni račun putem zlonamernih SMS poruka koje izgledaju legitimno, ali to u stvarnosti nisu.
Ove poruke često navode ljude da kliknu na štetne linkove ili da dele poverljive informacije.
Osnovni cilj smishing napada je krađa vaših ličnih podataka, novca ili identiteta za sprovođenje lažnih aktivnosti.
U ovom tipu sajber napada, žrtva prima SMS poruku u kojoj se tvrdi da je osvojila neku vrstu nagrade ili da hitno mora da ažurira informacije o svom nalogu. Poruka često sadrži zlonamerni link. Od vas će se tražiti da kliknete na taj link kako biste preduzeli sledeći korak, kao što je preuzimanje nagrade ili unošenje izmena na nalog.
Dakle, budite oprezni, ovo su trikovi koje sajber kriminalci koriste kako bi prevarili ljude i izvršili napade.
U periodu od 2021. do 2022. godine, neverovatnih 76% organizacija širom sveta suočilo se sa nekom vrstom smishing napada, prema podacima Statiste. Ova alarmantna činjenica naglašava sveprisutnost ove pretnje.
Bezbednost počinje oprezom. Nemojte kliktati na linkove niti deliti svoje lične podatke ukoliko niste potpuno sigurni da je poruka autentična. Proverite ko je poslao poruku i obratite pažnju na gramatičke greške ili neuobičajene zahteve. Upamtite, legitimne kompanije, poput banaka, nikada neće tražiti vaše lozinke ili osetljive podatke putem SMS poruka.
Povećana upotreba mobilnih uređaja i smishing: Da li je to zabrinjavajuće?
Kako su mobilni uređaji postali neizostavni deo svakodnevnog života, smishing napadi su postali sve češći. Ovo je nesumnjivo veoma zabrinjavajuće za sve, bilo da ste pojedinac ili kompanija.
Sa porastom upotrebe mobilnih uređaja, sajber kriminalci su pronašli unosnu priliku za iskorišćavanje informacija i novca. U 2021. godini, oko 87,8 milijardi neželjenih poruka poslato je samo na telefonske brojeve u SAD. Zbog toga su ljudi izgubili ukupno više od 10 milijardi dolara.
Danas su telefoni postali neophodni alati za obavljanje različitih aktivnosti, od bankarstva do društvenih interakcija. Međutim, ovo stalno oslanjanje na njih takođe izlaže ljude manipulativnim strategijama koje koriste sajber kriminalci. Ovi napadači šalju ubedljive poruke koje navode ljude da reaguju impulsivno, bez razmišljanja.
Posledice smishing napada mogu biti ozbiljne, uključujući ispražnjene bankovne račune, ukradene podatke i identitete. Zbog toga je od presudnog značaja da shvatite da smishing nije samo smetnja, već ozbiljna pretnja vašoj finansijskoj sigurnosti i ličnoj privatnosti.
Razumljivo je da ne možete prestati da koristite svoj telefon, jer je on neophodan i u vašem privatnom i u profesionalnom životu. Međutim, možete ostati informisani i oprezni. Razumevanjem rizika i održavanjem budnosti, možete se zaštititi od zamki smishing napada.
Vrste Smishing Napada
Informisanje o različitim vrstama smishing napada vam daje znanje da prepoznate i izbegnete da postanete žrtva ovih zlonamernih taktika.
Stoga, hajde da istražimo različite tipove ovih napada.
Phishing Smishing
Ovaj tradicionalni oblik prevare vas navodi da kliknete na zlonamerne linkove koji vas preusmeravaju na lažne veb stranice. Ove stranice mogu izgledati identično legitimnim sajtovima, kao što je sajt vaše banke. Na tim sajtovima će se od vas tražiti da unesete svoje osetljive podatke, koje napadač zatim preuzima i koristi za sprovođenje napada.
Vishing Smishing
Ovo je personalizovaniji pristup. Prevaranti koriste govorne pozive pored SMS poruka. Oni mogu ostaviti govornu poštu ili slati SMS-ove sa upozorenjem o kompromitovanim nalozima ili lažnim aktivnostima, tražeći od vas da pozovete određeni broj ili kliknete na link. Kada to učinite, oni izvlače lične podatke od vas.
Prize Smishing
Sama pomisao na iznenadni dobitak može svakoga uzbuditi. Sajber kriminalci to iskorišćavaju tako što šalju poruke u kojima vam čestitaju na osvojenoj nagradi. Međutim, vi zapravo nikada niste učestvovali u takvom nagradnom takmičenju.
U ovoj vrsti napada, napadač će tražiti vaše lične podatke ili ‘malu naknadu’ za preuzimanje nagrade. Nakon toga, oni nestaju, jer su u stvari pobegli sa vašim novcem i podacima.
Financial Smishing
Ove poruke često imitiraju legitimne finansijske institucije, tvrdeći da postoje sumnjive aktivnosti na vašem nalogu, koje zahtevaju vašu hitnu pažnju. Uplašeni ovom mogućnošću, možete kliknuti na dati link i nesvesno omogućiti pristup svom nalogu.
Urgent Action Smishing
Koristeći osećaj hitnosti, ove poruke vas upozoravaju na vremenski osetljivu situaciju koja zahteva momentalnu akciju. Bilo da je reč o ažuriranju vašeg naloga, potvrđivanju kupovine ili verifikovanju transakcije, ove poruke imaju za cilj da vas nateraju da brzo reagujete bez razmišljanja.
App Smishing
Napadači mogu da vam pošalju poruku u kojoj se navodi da je poslata iz popularne prodavnice aplikacija, tražeći od vas da preuzmete ažuriranje ili novu aplikaciju. Međutim, link vodi do lažne stranice, preuzimajući malver na vaš uređaj.
Friendship Smishing
Ova posebno obmanjujuća tehnika uključuje sajber kriminalce koji se predstavljaju kao prijatelji ili članovi porodice. Oni mogu tražiti finansijsku pomoć ili osetljive informacije od vas, iskorišćavajući vaše poverenje.
Travel Smishing
Iskorišćavajući ljudsku želju za putovanjima, prevaranti mogu slati poruke o ekskluzivnim ponudama za putovanja ili potvrde rezervacija za putovanja koje nikada niste planirali. Kliktanje na te linkove može dovesti do krađe podataka ili instalacije malvera.
Charity Smishing
Sajber kriminalci iskorišćavaju vašu dobru volju slanjem poruka sa navodno legitimnih dobrotvornih organizacija tokom katastrofa ili hitnih situacija. Oni traže donacije, ali novac nikada ne ide onima kojima je zaista potreban.
Security Alert Smishing
Ove poruke koriste strah od sigurnosnih propusta, navodeći da je vaš nalog kompromitovan. Oni vas pozivaju da odmah preduzmete akciju ili podelite osetljive podatke, poput jednokratnih lozinki (OTP), sa napadačima. Kada to učinite, oni mogu ispražniti vaše bankovne račune ili dobiti neovlašćen pristup kako bi izvršili daljnje napade.
Primeri smishing napada iz stvarnog života i njihove posledice
Hajde da se udubimo u primere ovih napada iz stvarnog života i njihove katastrofalne posledice.
#1. „Kompromitovanje bankovnog računa“
Zamislite da primite SMS poruku sa broja koji izgleda kao da je od vaše banke, koja vas obaveštava o neovlašćenoj aktivnosti na vašem računu. Poruka hitno zahteva da kliknete na link kako biste potvrdili svoje podatke.
Neoprezna žrtva klikne na ovaj link i unese svoje lične podatke. Ubrzo nakon toga, napadači dobijaju pristup njihovim bankovnim računima. Rezultat je – ispražnjen bankovni račun i finansijski problemi.
Slučaj: Deakin University Smishing Attack je incident visokog profila koji se dogodio na australijskom univerzitetu Deakin, koji je doveo u opasnost identitete i podatke blizu 47.000 sadašnjih i bivših studenata. Do proboja je došlo nakon što su kompromitovani akreditivi jednog člana osoblja, što je neovlašćenoj osobi omogućilo pristup servisu za masovno slanje SMS poruka koji je univerzitet koristio za komunikaciju sa studentima.
#2. Prevara sa „besplatnom poklon karticom“
Žrtve primaju poruke u kojima se navodi da su osvojile poklon karticu ili nagradu. Sve što treba da urade je da daju svoje lične podatke ili da plate malu naknadu za dostavu da bi dobili nagradu ili poklon karticu. Kada primalac da informacije ili plati naknadu, napadač nestaje, prevarivši žrtvu i kompromitujući njihove lične podatke.
Slučaj: Lažno predstavljanje službenika vladine agencije je primer prevare sa poklon karticama iz stvarnog života. Pojedinci su primali telefonske pozive od prevaranta koji su tvrdili da su iz vladine agencije, kao što je Uprava za socijalno osiguranje.
Ova prevara je zabeležila značajan porast u 2021. godini, sa skoro 40.000 potrošača koji su prijavili gubitak od 148 miliona dolara u prvih devet meseci te godine, prema podacima Federalne komisije za trgovinu (FTC). Prosečan iznos izgubljen u takvim prevarama 2018. iznosio je 700 dolara, a 2021. godine porastao je na 1.000 dolara. Utvrđeno je da su stariji pojedinci, posebno oni od 50 i više godina, podložniji ovim prevarama.
#3. Trik sa „lažnim ažuriranjem aplikacije“
Možete primiti SMS poruku koja vas poziva da odmah ažurirate popularnu aplikaciju. Budite oprezni ako se to dogodi.
Link naveden u poruci vodi do lažne aplikacije zaražene malverom. Ako instalirate ovu zlonamernu aplikaciju, vaši lični podaci, uključujući bankovne podatke, mogu biti ukradeni. Štaviše, vaš uređaj može biti kompromitovan, što hakerima omogućava da ga kontrolišu. Kao rezultat toga, vaš uređaj može biti kompromitovan, a vaši podaci ukradeni.
Slučaj: U izveštaju ZDNet-a, Android trojanski malver napad otkriveno je da se prikriva kao sistemsko ažuriranje. Korisnici su primili poruku koja ih poziva da ažuriraju svoj sistem. Međutim, nakon preuzimanja i instaliranja ovog „ažuriranja“, on je delovao kao trojanac za daljinski pristup, dajući napadačima potpunu kontrolu nad uređajem žrtve.
Ovo im je omogućilo da zabeleže širok spektar podataka, uključujući poruke, fotografije, pa čak i GPS podatke. Malver je bio sofisticiran i mogao je čak da snima telefonske pozive, što ga čini jednim od najinvazivnijih tipova Android malvera.
#4. Pretnja „Poreske uprave (IRS)“
Ljudi su dobili SMS poruke od Poreske uprave (IRS) u kojima se insistira na trenutnom plaćanju zaostalih poreza ili se upozorava na pravne posledice. Uplašene ovom mogućnošću, žrtve postupaju po zahtevu, deleći svoje finansijske informacije ili vršeći traženu uplatu. Rezultat – finansijski gubitak i otkriven identitet.
Slučaj: U septembru 2022. godine, Poreska uprava (IRS) je upozorila na porast SMS prevara. Prevarantske poruke su često primamljivale žrtve lažnim tvrdnjama o pomoći tokom pandemije COVID-19, poreskim olakšicama ili pomoći pri otvaranju online naloga kod IRS-a.
Jedan značajan incident je uključivao poreskog obveznika koji je primio poruku u kojoj se tvrdi da duguju zaostale poreze i da moraju kliknuti na dati link kako bi izmirili svoje obaveze. Nakon klika, bili su preusmereni na phishing sajt koji je pokušao da prikupi njihove lične i bankovne podatke.
#5. Prevara sa „potvrdom putovanja“
Žrtve su primile poruku u kojoj se navodi da je reč o potvrdi putovanja koje nisu rezervisale. Iz radoznalosti, one kliknu na link kako bi otkazale rezervaciju, nesvesno preuzimajući malver na svoj uređaj.
Zlonamerni softver može ukrasti lične podatke, akreditive za prijavljivanje, pa čak i snimati pritiske na tastere. Ovo ugrožava privatnost i izaziva potencijalne finansijske gubitke.
Slučaj: Mevoni Ferguson, stanovnica Kenta u Velikoj Britaniji, navodno je žrtva prevare sa rezervacijama avionskih karata. Nju je prevario prevarant koji se predstavljao kao turistička agencija pod nazivom Infinity Global Travel. Prodao joj je ono što je izgledalo kao legitimna karta kompanije British Airways za let od Londona do Kingstona na Jamajci.
Nakon provere rezervacije na sajtu British Airways koristeći broj potvrde, izgledalo je da je važeća. Međutim, oko dve nedelje nakon kupovine i samo nekoliko dana pre njenog odlaska, rezervacija je nestala sa sajta. Kada je kontaktirala avio-kompaniju, saznala je da let nije rezervisan na njeno ime. Prevarant je iskoristio razliku između „potvrđene“ i „izdate“ rezervacije, stvarajući utisak da se radi o važećoj rezervaciji, dok je u stvarnosti bila samo privremeno zadržana.
#6. „Romantična prevara“
Izvor: Crystalblockchain
U nekim slučajevima, sajber kriminalci grade emocionalne veze sa žrtvama putem SMS poruka, pretvarajući se da su zainteresovani za romantičnu vezu. Kada uspešno izgrade poverenje, oni manipulišu žrtvama da dele lične i finansijske informacije. Ovo može izazvati slomljeno srce, izdaju i finansijski gubitak.
Slučaj: Sajber kriminalac je lažno predstavljao generala Pola Nakasona, direktora Agencije za nacionalnu bezbednost i šefa američke sajber komande, u pokušaju da namami žene u romantičnu prevaru. Prevarant je započeo lažne konverzacije putem emaila sa ženama na platformama društvenih medija, koristeći generalov identitet. U jednom slučaju, prevarant je tvrdio da je stacioniran u Siriji i zatrpao je ženu religijskim porukama, pozivajući je da komunicira putem Google Hangouts-a.
Preventivne mere protiv smishing napada
Posledice smishing napada nisu samo finansijske – oni mogu slomiti poverenje, ugroziti privatnost i ostaviti žrtve sa emocionalnim ožiljcima.
Hajde da istražimo neke efikasne načine da sprečimo da se smishing napadi dogode.
#1. Svest i obuka
U današnjem međusobno povezanom digitalnom okruženju, od suštinskog je značaja za vašu organizaciju da opremi svoje zaposlene znanjem kako bi zaštitili osetljive informacije.
Prema izveštaju ID Agenta, kompanije se suočavaju sa prosečnom cenom od 15.000 dolara zbog smishing napada. Finansijski uticaj naglašava hitnu potrebu za edukacijom vašeg tima.
Da biste ojačali svoju odbranu od prikrivenih sajber pretnji, dajte prioritet sveobuhvatnoj obuci o smishing napadima i širenju svesti u celoj organizaciji. Ovo će pomoći svima da budu spremni za ove zlonamerne napade i da inteligentno reaguju na njih.
Štaviše, pohađanje redovnih radionica koje pružaju uvid u smishing napade omogućava vašim zaposlenima da razlikuju legitimne poruke od potencijalnih prevara. Osnažujući ih sposobnošću da identifikuju sumnjive linkove, hitne zahteve ili neočekivane zahteva, vaše osoblje postaje značajna prepreka protiv ovih zlonamernih pokušaja.
#2. Provera identiteta pošiljaoca
Vežbanje budnosti je vaša prva linija odbrane u svetu u kojem se lažne poruke mogu neprimetno uvući u vaše prijemno sanduče. Kada primite poruku koja poziva na hitnu akciju ili zahteva poverljive informacije, odvojite trenutak da pažljivo pregledate akreditive pošiljaoca.
Još jednom proverite broj pošiljaoca ili adresu e-pošte, i uverite se da se podudaraju sa zvaničnim kontakt podacima navodne institucije. Legitimni entiteti neće pribegavati SMS porukama za traženje osetljivih informacija.
Potvrđivanjem identiteta pošiljaoca, značajno smanjujete verovatnoću da postanete žrtva smishing napada.
#3. Budite oprezni sa SMS porukama
Proširivanje vašeg opreznog pristupa sa email poruka na SMS poruke je ključno za zaštitu vaše digitalne imovine. Sajber kriminalci često koriste pogodnost i poznatost SMS poruka kako bi manipulisali svojim metama.
Stoga, svakoj SMS poruci pristupajte sa oprezom, baš kao što biste to činili sa email porukama od ljudi koje ne poznajete. Izbegavajte da odmah kliknete na linkove ili preuzimate sadržaj ako vam pošiljalac nije poznat. Pažljivije pogledajte poruke kako biste videli da li zvuče čudno ili traže nešto neočekivano.
#4. Obezbeđivanje mobilnih uređaja
U ovom digitalnom dobu, gde naši mobilni uređaji sadrže mnoštvo ličnih i poverljivih informacija, ključno je dati prioritet njihovoj sigurnosti.
Dobra mera za suzbijanje smishing napada je primena naprednih bezbednosnih funkcija, kao što su biometrijske brave koje koriste otiske prstiju, prepoznavanje lica, itd. One dodaju dodatni sloj odbrane i poboljšavaju ukupnu zaštitu podataka.
Da biste obezbedili optimalnu sigurnost, takođe je ključno da budete u toku sa najnovijim sigurnosnim zakrpama i ažuriranjima. Redovnim ažuriranjem mobilnih uređaja, stvarate snažnu odbranu od potencijalnih sajber pretnji. Ova proaktivna mera vas štiti od ranjivosti koje zlonamerni pojedinci mogu iskoristiti. Takođe, investirajte u sigurnosne aplikacije kako biste uspostavili čvrstu barijeru protiv smishing pretnji.
#5. Koristite višefaktorsku autentifikaciju
Da biste ojačali svoje digitalne podatke, implementacija višefaktorske autentifikacije (MFA) je snažna strategija. Pored sigurnosti zasnovane na lozinki, MFA zahteva dodatni nivo verifikacije. Ovo obično uključuje kod poslat na drugi uređaj ili skeniranje otiska prsta.
Uključivanjem ovog kompleksnog sigurnosnog okvira, možete povećati složenost potencijalnih napadača koji pokušavaju da provale u vaše naloge. On će delovati kao zaštitni štit koji će vas čuvati od prevarantskih pokušaja.
#6. Koristite jake lozinke
Vaš telefon, računari i drugi uređaji sadrže mnogo vaših privatnih informacija. Jednostavan, ali efikasan način da zaštitite te podatke je korišćenje jake lozinke za svaki uređaj.
Napravite jaku lozinku koja kombinuje slova, brojeve, simbole