Smishing, kombinacija riječi "SMS" i "phishing", vrsta je cyber napada koji koristi tekstualne poruke za prevaru pojedinaca. Smishing napadači prevarom navode svoje mete da dijele osjetljive podatke, poput vjerodajnica ili financijskih podataka, ili da kliknu na zlonamjerne veze. Napadač zatim koristi te radnje za dobivanje neovlaštenog pristupa mrežama, ubacivanje zlonamjernog softvera ili ransomwarea ili druge vrste zlonamjernih aktivnosti.

Smishing je vrsta krađe identiteta. U većini slučajeva, phishing napadi odvijati putem e-pošte. Međutim, smishing koristi prednost popularne upotrebe mobilnih telefona i njihovih aplikacija za razmjenu poruka i provodi krađu identiteta putem mobilnih poruka. Tekstualne poruke također obično imaju visoku stopu otvaranja, što također pogoduje nasmijanim napadačima. Naposljetku, korisnici neispravno percipiraju svoje mobilne telefone sigurnima, što ih čini manje sumnjičavim prema tekstualnim porukama koje ih potiču na različite radnje, što povećava mogućnost uspješnog napada.

Što je Smishing?

Kako djeluju smishing napadi?

Smishing napadi iskorištavaju povjerenje i ranjivost pojedinaca kako bi ih prevarili putem njihovih mobilnih telefona. Evo kako funkcioniraju smishing napadi:

  • Inicijalni kontakt – Napadač započinje smishing napad. To se radi slanjem tekstualne poruke na mobilni uređaj mete. Često se čini da poruka dolazi iz pouzdanog izvora, kao što je ugledna organizacija ili poznati kontakt.
  • Obmanjujući sadržaj – Nasmijana poruka sadrži lažni sadržaj osmišljen kako bi privukao pažnju primatelja i dobio odgovor. To može uključivati ​​hitna upozorenja, sigurnosne obavijesti, iskrene zahtjeve, besplatne ponude, popuste, dobitke na lutriji i još mnogo toga.
  • Hitnost i manipulacija – Napadač stvara osjećaj hitnosti ili iskorištava emocije mete kako bi potaknuo trenutnu akciju. Mogli bi tvrditi da će propuštanje brzog djelovanja rezultirati negativnim posljedicama. Na primjer, u slučaju obustave računa, pravnih problema, financijskog gubitka ili zdravstvenog rizika.
  • Zahtjev za osjetljivim informacijama ili radnjom – Smishing poruka će tražiti od primatelja da pruži osjetljive podatke. Na primjer, lozinke, podaci o kreditnoj kartici ili brojevi socijalnog osiguranja. Ili, može uputiti metu da klikne na zlonamjernu vezu ili preuzme štetni privitak.
  • Iskorištavanje i prijevara – U slučaju da primatelj izvrši traženu radnju, napadač dobiva pristup osjetljivim informacijama ili instalira malware na žrtvin uređaj. To može dovesti do krađe identiteta, financijske prijevare, neovlaštenog pristupa, ili daljnje iskorištavanje žrtvinih kontakata.

Primjeri nasmijanih napada 

Smešne prijevare mogu se izvoditi pod različitim lažnim izgovorima. To uključuje:

  • Prijevara s nagradom ili lutrijom – Poruke koje tvrde da je meta osvojila nagradu ili lutriju i da su za preuzimanje dobitka potrebni osobni podaci ili plaćanja.
  • Lažna sigurnosna upozorenja – Poruke u kojima se tvrdi da su sumnjive aktivnosti preuzete su na račun primatelja, pozivajući ih da poduzmu hitnu akciju klikom na poveznicu ili davanjem vjerodajnica za prijavu. To može uključivati ​​financijske račune, račune aplikacija i još mnogo toga.
  • MFA kodovi – Poruke koje zahtijevaju od cilja da podijeli svoj MFA kontrolni kod i zatim se prijavi kao korisnik.
  • Red informacije – Poruke koje sadrže lažne podatke o narudžbama, kao što su konformacije, tvrdnje da je narudžba otkazana i drugo. Kada primatelj klikne na vezu, on ga usmjerava na lažnu stranicu koja krade vjerodajnice za prijavu.

Kako prepoznati i zaštititi se od nasmijanih napada

Budnost i svjesnost ključni su za zaštitu od napada šake. Evo nekoliko vježbi za vježbanje:

1. Ostanite informirani i vježbajte se

Budite u tijeku s najnovijim tehnikama napada i uobičajenim taktikama koje koriste napadači. Upoznajte se s crvenim zastavicama, kao što su hitni zahtjevi, neželjene poruke ili poruke s nepoznatih brojeva.

2. Provjerite pošiljatelja

Budite oprezni s tekstualnim porukama koje primate s nepoznatih ili nepoznatih brojeva ili osoba. Iako nisu svi nepoznati pošiljatelji indikativni za smishing, dobra je praksa biti oprezan i neovisno provjeriti identitet pošiljatelja. Kontaktirajte organizaciju izravno putem njihove službene web stranice ili provjerenog telefonskog broja kako biste potvrdili legitimnost poruke.

3. Potražite pravopisne i gramatičke pogreške 

Smiješne poruke često sadrže pravopisne pogreške, gramatičke pogreške ili nespretno izražavanje. Organizacije od povjerenja, poput banaka, obično imaju komunikacijske standarde. Sumnjiv jezik u tekstualnoj poruci može biti crvena zastavica.

4. Budite oprezni s hitnim i neželjenim porukama 

Budite skeptični prema porukama koje zahtijevaju trenutne odgovore ili prijete negativnim posljedicama za nepridržavanje. Većina legitimnih organizacija ne traži informacije na ovaj način.

5. Budite oprezni s hipervezama i zahtjevima za osobnim podacima 

Izbjegavajte klikati na poveznice koje se nalaze u tekstualnim porukama, osobito ako se čine sumnjive ili vode do nepoznatih web stranica. Osim toga, budite skeptični prema porukama koje traže lozinke, brojeve socijalnog osiguranja, podatke o kreditnoj kartici ili bilo koje druge osobne podatke.

6. Instalirajte sigurnosni softver

Instalirajte sigurnosni softver na svoj mobilni uređaj za otkrivanje i blokiranje pokušaja smishinga. Ove aplikacije mogu identificirati i upozoriti vas na potencijalno štetne poruke ili veze.

Izbjegnite phishing napade uz LayerX

LayerX je sigurnosno rješenje preglednika, isporučen kao proširenje, koji je namjenski izrađen za zaštitu aplikacija, podataka i uređaja od svih prijetnji i rizika koji se prenose webom. LayerX pruža preciznu vidljivost web aktivnosti zaposlenika i korištenja SaaS-a, u odobrenim i nesankcioniranim aplikacijama. Sve to uz osiguravanje vrhunskog korisničkog iskustva i bez uplitanja u svakodnevni tijek rada korisnika.

Kako bi blokirao i spriječio krađu identiteta, LayerX prati sesije preglednika na aplikacijskom sloju i pruža vidljivost događaja pregledavanja. To omogućuje analizu sesije i provođenje zaštitnih radnji koje neutraliziraju zlonamjerne aspekte web stranica. Zlonamjerna aktivnost web-mjesta blokira se prije nego stupi u interakciju s preglednikom. Osim toga, LayerX skenira ponašanje stranica kojima se pristupalo putem e-pošte i omogućuje blokiranje zlonamjernih aktivnosti poput krađe identiteta.