Dzień po tym, jak dowiedzieliśmy się o tym oszustwie, hiszpańska policja aresztowała 17 osób, które wyłudziły 145 000 euro 170 ofiarom.
Smishing staje się coraz popularniejszą metodą ataku wśród cyberprzestępców – a oni coraz lepiej z niej korzystają.
Obecnie celem ataków są nie tylko klienci dużych instytucji finansowych, a wiadomości z błędami ortograficznymi lub w niewłaściwym języku, które pozwoliły użytkownikom zauważyć, że coś jest nie tak, są coraz trudniejsze do wykrycia. W dzisiejszych czasach widzimy niemal doskonały język i fałszywe strony internetowe używane przez oszustów, na których prawie niemożliwe jest stwierdzenie, czy na pierwszy rzut oka patrzymy na fałszywą wiadomość, czy na prawdziwą.
Przykładem jednego z ostatnich działań Avast, jest mały bank regionalny w Hiszpanii o nazwie Laboral Kutxa. Dzień po tym, jak dowiedzieliśmy się o tym oszustwie, hiszpańska policja aresztowała 17 osób, które wyłudziły 145 000 euro 170 ofiarom. Dostępny jest komunikat prasowy (w języku hiszpańskim) z dalszymi szczegółami dotyczącymi sprawy.
Spojrzenie krok po kroku na smishing scam
W tym porażającym oszustwie początkowa wiadomość do klientów banku jest wysyłana SMS-em z doskonałym hiszpańskim:
Przekłada się to na „Zakup zaakceptowany na kwotę 500 euro. Jeśli to nie ty, wykonaj czynności opisane w tym łączu, aby anulować”.
Link zaczyna się od „https ”, co może sugerować użytkownikom, że jest prawdziwy. Wiele lat temu wiele osób sprawdzało, czy mają bezpieczne połączenie – w tamtych czasach powszechnie uważano, że „s” w „https” oznacza „bezpieczne”. Obecnie większość połączeń internetowych jest „bezpieczna” w tym sensie, że ruch z naszych przeglądarek jest szyfrowany, ale to nie znaczy, że jesteśmy bezpieczni.
Po kliknięciu w link widoczny w powyższym SMS-ie ofiara zostaje przeniesiona na stronę logowania do banku, która (prawie idealnie) naśladuje tę prawdziwą.
Poniżej górny zrzut ekranu przedstawia witrynę phishingową, a dolny to autentyczna witryna banku.
Jak wspomniałem wcześniej, cyberprzestępcy są coraz lepsi w tego rodzaju złośliwych technikach i wyraźnie widać ich umiejętności, porównując te dwa zrzuty ekranu. Biorąc pod uwagę poziom zaawansowania, większość klientów nie zorientuje się, że znajduje się na stronie phishingowej.
Pechowcy, którzy dadzą się nabrać na oszustwo, zostaną poproszeni o podanie numeru telefonu komórkowego:
Następnie są proszeni o wprowadzenie kodu SMS, który otrzymają:
Oczywiście każdy, kto dojdzie do tego punktu w oszustwie smishingowym, może być pewien, że jego konto zostało naruszone.
Wraz z pojawieniem się łatwych w użyciu narzędzi sztucznej inteligencji, wyrafinowanie tego typu ataków będzie jeszcze lepsze. Z tego powodu ważne jest, abyśmy podjęli kroki niezbędne do przygotowania się i wiedzieli, czego szukać.
Oto kilka praktycznych zasad, o których należy pamiętać:
- Nigdy nie klikaj w link otrzymany SMS-em. Nie ma znaczenia, jak pilny jest temat — w rzeczywistości istnieje większe prawdopodobieństwo, że bardziej pilne wiadomości będą oszustwem.
- Zainstaluj na swoich urządzeniach niezawodne oprogramowanie antywirusowe, które może wykrywać i blokować strony wyłudzające informacje.
