Ключови изводи
- Федералната комисия по комуникациите (FCC) предупреди хората за значително нарастване на фишинг атаките, извършвани чрез SMS.
- Експертите твърдят, че SMS е станал по-опасен от имейла за подвеждане на хората във фишинг измами.
-
Измамните SMS съобщения могат да заобиколят технология, предназначена за улавяне на фишинг имейли.
Точно когато си мислехте, че се справяте с фишинг имейлите, идват новини за заплахи, които сменят тактите си и атакуват хора, използвайки измамни SMS съобщения.
Федералната комисия по комуникациите (FCC) наскоро пусна бележка, за да предупреди хората за нарастване на SMS фишинг атаките, споделяйки, че текстовите измами са се увеличили със зашеметяващите 168 процента между 2019-2021 г., с над 8 500 оплаквания само през това време година сам.
"Киберпрестъпниците все повече използват текстови съобщения като метод за заобикаляне на контролите за сигурност, които обикновено се прилагат в имейл и други комуникационни системи," каза Джош Явор, главен служител по информационна сигурност в Tessian, пред Lifewire. „Виждаме нови вълни от социално проектирани атаки, при които нападателите се представят за различни видове SMS съобщения, за да подмамят потребителите да предоставят чувствителна и лична информация.“
Въоръжаващ SMS
Фишинг атаките, извършени чрез измамни SMS съобщения, обикновено са известни като smishing или както FCC ги нарича в своята бележка: robotexts.
Според комисията оплакванията за такива нежелани текстови съобщения са нараснали стабилно през последните години от приблизително 5 700 през 2019 г., 14 000 през 2020 г. и 15 300 през 2021 г. до 8 500 до 30 юни, 2022.
Също така се предполага, че тази цифра може да е само върхът на айсберга, посочвайки доклад на Robokiller, според който американците са получили над 12 милиарда роботекстови съобщения през юли 2022 г., при средно около 44 спам съобщения за всеки гражданин.
FCC също така сподели някои от обичайните примамки, които измамниците зад тези осмиващи кампании използват, за да подмамят хората да предадат поверителна информация.
„Подобно на автоматичните обаждания, роботитекстерът може да използва страх и безпокойство, за да ви накара да си взаимодействате“, отбелязва FCC. „Текстовете може да включват фалшиви, но правдоподобни твърдения за неплатени сметки, бъркотия при доставка на пакети, проблеми с банковата сметка или действия на правоприлагащите органи срещу вас.“
Освен това, в стремежа си да се ангажират с вас, измамниците може също да използват измамните SMS съобщения, за да предоставят объркваща информация, сякаш изпращат SMS на някой друг, за да ви накарат да отговорите по един или друг начин.
Опирайки се на бележката на FCC, Явор посочва, че SMS е „по своята същност по-опасен“от имейла като средство за фишинг, тъй като е значително по-трудно да се бориш с измамни съобщения чрез текст, отколкото имейл.
"За съжаление, светът на сигурността за SMS изостава от имейла, тъй като основните защити, които имаме в имейла, просто не съществуват с текстовете", каза Явор. „С SMS е по-трудно да се обучат хората да идентифицират измамни податели и на хората им липсват механизмите за поддръжка, с които са свикнали, когато използват имейл.“
Според опита на Явор, хората имат по-голям шанс да идентифицират фалшив имейл адрес, докато това е по-трудно с SMS, благодарение на разпространението на подправянето на номера.
SMS е по-опасен
Явор посочи проучване на Tessian, което установи, че над половината от респондентите са получили измамно текстово съобщение през последната година. Нещо повече, една трета от тях се хванаха на измамата, число, което е по-високо от тези, които са взаимодействали с фишинг имейл.
Хората обикновено не очакват да бъдат измамени чрез своите текстови съобщения, поради което SMS се превърнаха в наистина ефективен вектор за атака, отбеляза Джеф Ханкок, Хари и Норман Чандлър, професор по комуникации в Станфордския университет, в проучването на Tessian.
Доверието в SMS, твърди той, произтича от факта, че доскоро много малко хора извън нашата мрежа биха могли да се свържат с нас чрез SMS. „Докато пазаруваме онлайн и сме подканени да споделим мобилния си номер, сега получаваме текстови съобщения от контакти, които не познаваме – някои съобщения са легитимни, а други не са“, каза Ханкок.
Ако сте получили подозрителен текст или необичайна заявка от някой, на когото иначе имате доверие, Явор предлага, че най-добрите насоки са същите като в имейла – вместо да се ангажирате веднага, отделете малко време, за да се свържете с подателя чрез друго средство за проверка на автентичността на SMS.
"Наложително е винаги да установявате доверие извън SMS разговора и не забравяйте, че легитимните организации [като вашата банка] никога няма да дадат ултиматум (като обратно обаждане след 12 часа или друго) или да поискат финансови подробности или пароли чрез SMS “, каза Явор.„Най-накрая, хората могат да докладват за нежелана поща и измамни текстови съобщения на своя оператор, като препращат съобщенията до 7726.“
