În ultimii ani, fraudatorii din mediul cibernetic au devenit din ce în ce mai ingenioși, dezvoltând tehnici noi cu scopul de a-ți fura credențialele de acces.
Phishing-ul reprezintă o metodă consacrată ce valorifică din plin ingineria socială și funcționează indiferent de platformă. De cele mai multe ori întâlnim phishing-ul prin intermediul mesajelor e-mail spam, elaborate pe strategii ce folosesc elemente de mesaj convingătoare pentru convingerea victimei în a-și divulga numele de utilizator, parola sau informații financiare. Tactica a fost perfecționată de-a lungul timpului și utilizează serviciul SMS ca instrument de atac, primind numele de Smishing (SMS + phishing).
SMS + phishing = Smishing
Mesajele de tip smishing sau SMS phishing sunt mult mai răspândite decât te-ai gândi. Ca să înțelegi mai bine eficiența acestui gen de atac, trebuie cunoscut faptul că mesajele SMS au o rată de deschidere incredibilă, de până la 98%, în timp ce mesajele email beneficiază de o rată medie de deschidere de doar 20%.
Este evident că oricine ar opta pentru varianta SMS dacă vrea ca mesajul expediat să fie și citit, nu doar să ajungă la destinație. La un mic research, o platformă Bulk SMS Marketing din România oferă un tarif de 0.035 EUR/SMS, ceea ce înseamnă că poți trimite 20.000 de mesaje cu aproximativ 700 euro. Un cost infim pentru susținerea unei campanii de tip Smishing cu 20.000 de potențiale victime.
Pentru colectarea numerelor de telefon ale unor potențiale victime, un atacator le poate achiziționa de pe platforme de cybercrime sau poate utiliza diverse tehnici de tip Web Scrapping, pentru extragerea automată de date personale precum numele și numărul de telefon din platforme online în care se publică anunțuri (ex. OLX, Publi24, Lajumate etc.). Într-adevăr platformele de anunțuri au implementate măsuri minimale de protecție a numărului de telefon prin tehnici precum click to reveal, conversia numărului de telefon din text în imagine sau accesul la date doar pentru utilizatorii autentificați, însă pentru un atacator “mai talentat” acestea nu reprezintă limitări reale.
Într-un astfel de context, în care atacatorul este la un sms distanță de victimă, nu e de mirare că apar campanii precum FluBOT ce distribuia anul trecut un troian bancar pe numere de telefon din România sub forma unor mesaje SMS în care erau informați că ar urma să primească un colet prin curier rapid.
Imaginația atacatorilor este o resursă nelimitată și nu costă nimic, iar următoarea inginerie socială prin care va convinge victima să deschidă un link malițios o să fie la fel de bine pusă la punct, așa că gândește-te de două ori înainte să “ridici un colet pe care nu-ți aduci aminte că l-ai comandat”.
Dacă tot am discutat de Smishing, mergem mai departe și povestim despre Vishing.
Voice + phishing = Vishing
Probabil ai auzit și tu de “metoda telefonului” sau “metoda accidentului” prin care victimele sunt înșelate cu sume consistente de bani. Aceasta metodă a evoluat și în domeniul bancar, iar escrocii încearcă să obțină date financiare sau confidențiale, parole și coduri de acces pentru sustragerea ulterioară de fonduri din conturile tale.
Un atac de tip vishing debutează de regulă cu un apel telefonic în care atacatorul pretinde că este reprezentantul unei companii sau chiar al unei autorități. Pentru a da veridicitate apelului, în cadrul discuției sunt folosite date reale despre victimă (disponibile online) precum nume, prenume, adresă de e-mail, număr de telefon. Facem o paranteză aici doar ca să înțelegi legătura cu ce am discutat mai devreme despre smishing și cât de mult contează expunerea datelor personale în mediul online.
În momentul în care victima este convinsă că acel apel telefonic este unul legitim, probabilitatea de a oferi atacatorului date sensibile crește substanțial. Totodată, atacatorii pot exploata naivitatea victimei pentru a o convinge să instaleze aplicații software malițioase sau aplicații de control la distanță (remote desktop), pe dispozitivele utilizate.
Voi enumera doar câteva metode de vishing din cele mai cunoscute:
- Câștigul neașteptat – la un concurs, unde nu ai participat, ai câștigat un premiu în bani, iar pentru a intra in posesia lui trebuie să furnizezi date confidențiale.
- Calculator virusat – din cauza unor viruși de pe calculatorul tău, a apărut o eroare în rețeaua băncii și este nevoie de datele tale pentru remedierea problemei.
- Frauda “cont bancar blocat” – atacatorii vor solicita rapid informațiile tale, motivul fiind o procedură bancară (de exemplu: cont bancar blocat).
- Apelurile false de suport – metodă prin care atacatorii încearcă să obțină date sau bani de la victimă prin apeluri ce simulează contactarea pentru suport tehnic.
- Frauda cu apeluri pierdute – victima primește un apel scurt de la un număr de telefon din afara țării. Dacă aceasta contactează înapoi acel număr, pentru a înțelege scopul apelului, victima își va da seama prea târziu că a sunat de fapt la număr de telefon cu suprataxă.
Atât atacurile de tip smishing cât și cele de vishing pot fi perfecționate prin tehnici de tip Caller ID Spoofing sau SMS Spoofing ce presupun apelarea/trimiterea de mesaje cu un număr de telefon definit de atacator. Pe dispozitive mobile sunt disponibile aplicații “pentru farse” ce pot fi utilizate și în alte scopuri. Așa cum se poate vedea în imaginea de mai jos, pentru câțiva dolari poți apela aparent pe oricine cu orice număr de telefon.
În concluzie, phishing-ul, smishing-ul și vishing-ul sunt atacuri ce obțin informații sensibile și adesea duc la fraude materiale sau furt de identitate. Din păcate, așa cum și statisticile o arată, acest tip de atacuri sunt din ce în ce mai răspândite, iar escrocii devin din ce în ce mai ingenioși în a aplica cu succes metodele descrise mai sus.
Exista totuși câteva masuri simple de protecție și sfaturi pe care le putem aplica pentru a preveni astfel de tentative:
- Trimite acest articol unui prieten sau părinților/bunicilor. Educarea utilizatorilor este primul pas în lupta cu fraudatorii din mediul cibernetic
- Activează metoda de autentificare în doi pași – 2FA
- Dacă primești un astfel de mesaj ori apel, cel mai bine este să îl ignori. Nu este indicat să răspunzi sau să interacționezi cu atacatorul
- Deși nu se pot evita toate tentativele de tip smishing, poți bloca mesajele de tip spam pe care le primesti pe telefonul mobil, indiferent dacă este vorba de iPhone sau Android. Acestea au instrumente integrate de securitate cibernetică, cum ar fi filtrele de spam și blocarea numerelor de telefon, pentru a te proteja de atacuri.
- Înainte de acționa, fă o pauza și gândește-te de două ori înainte de a da click pe un link dintr-un mesaj pe care nu îl aștepți si pe care l-ai primit aleatoriu de la un necunoscut. Atacatorii vor încerca în majoritatea cazurilor să inducă o stare de urgență în mesajele transmise. Cel mai important este să te gândești de două ori înainte de a da acționa
- Pastreaza informatiile tale personale – private. Nu trimite niciodată date precum CNP, adresa, detaliile cardului de credit/debit către persoane necunoscute