Sikkerhedsforskere advarer Verizon-brugere om en aggresiv smygfusk
Phishing har altid været en af cybercrooks 'favoritter. Der er et par gode grunde til dette. Du behøver ikke at have en masse tekniske færdigheder for at få en vellykket phishing-svindel, og selv store kampagner kræver ikke store investeringer med hensyn til penge og tid. På trods af alle advarsler er socialteknik i e-mails stadig nok til at narre brugerne til at klikke på links og give bort følsomme oplysninger.
Smishing er en variation af phishing, der er rettet mod mobiltelefonbrugere og udføres via tekstbeskeder. Smishing-angreb er næsten ikke så almindelige som mere traditionelle svindel, men som en nylig kampagne, der er målrettet mod Verizon-brugere, viser denne teknik nogle forskellige fordele, som kunne friste en hel del cyberkriminelle.
Table of Contents
Crooks forsøger at narre Verizon-kunder ud af deres personlige data
Bedragerien blev opdaget og rapporteret af HowToGeek, og Chris Hoffman, webstedets chefredaktør, beskrev smygeangrebet som "det mest sofistikerede endnu." Selvom denne erklæring muligvis er til debat, er der ingen tvivl om, at de kriminelle overvejede operationen.
Som du måske forestiller dig, starter angrebet med en SMS, der fortæller dig, at "din Verizon-kontosikkerhed kræver validering." Hvis du klikker på et link, vil du være i stand til "at validere din konto og undgå, at din adgang bliver deaktiveret." Som du kan se, er grammatikken så akavet som du kunne forvente af denne form for angreb. Det, der er lidt usædvanligt, er det faktum, at linket, som brugerne opfordres til at klikke på, ikke har været gennem en URL-afkortningstjeneste. Når det er sagt, hvis du ikke ser for tæt på det, kan du blive narret til at tro, at det virkelig kommer fra teleudbyderen.
Det link, HowToGeek beskrev, førte til en phishing-side, der blev hostet på vw Wireless[.]xyz (som er nede i skrivende stund) og blev beskrevet som "chokerende overbevisende." Skærmbillederne ser faktisk temmelig tæt på originalen, og der er ikke nogen gigantiske grammatiske fejl, hvilket antyder, at skurkerne i stedet for at oprette svindel-siderne alene brugte et let tilgængeligt phishing-kit, der blev købt på de underjordiske markeder.
Det falske websted starter med at anmode om dit mobilnummer eller bruger-id og adgangskode. Derefter bliver du spurgt om dit kontos pinkode, og til sidst får du at vide, at du skal give nogle personlige oplysninger. Siden fortæller dig, at hvis du indtaster dine navn, adresse og femcifret fakturapostnummer, vil du hjælpe Verizon med at bedre beskytte din konto. Når du har givet alle detaljerne, bliver du omdirigeret til det rigtige Verizon-websted.
Phishing-siden giver dig ikke mulighed for at klikke igennem, medmindre du har udfyldt alle felterne, men da HowToGeeks journalister testede det, brugte de falske oplysninger, hvilket viser, at fiduswebstedet ikke validerer dataene i realtid.
Den potentielle skade er temmelig betydelig
Hvis alle ovenstående lyder velkendte, og hvis du tror, at du måske er faldet i fælden, skal du ringe til Verizon og rette problemet med det samme, hvis hvis de med succes overtager din konto, kan skurkerne udløse alle mulige ødelæggelser. De kan bestille en ny smartphone og kreditere den på din regning, og de kan også udføre et SIM-swappingangreb mod dig. Hvis du har genbrugt den samme adgangskode på flere websteder, kan du blive offer for legitimationsopfyldning og miste adgang til andre konti.
Alt i alt kunne det, at man sætter deres syn på Verizon-kunder, betale sig pænt for skurkerne, og med deres valg om at gå til smygning snarere end traditionel phishing håber de at maksimere antallet af ofre.
Smishing vs. phishing: Hvilken er bedst?
Smishing's største fordel er, at offeret uundgåeligt er på deres telefon under operationen. Den mindre skærm gør det vanskeligt at se fortællingstegnene på en fidus. Som vi allerede nævnte, ved første øjekast ser webadressen i tekstmeddelelsen semi-legitim ud, og fordi skærmrummet er stramt, kan en mobil browsers adresselinie forblive skjult i det meste af tiden. Som et resultat af alt dette er det mere sandsynligt, at du ikke klarer at indse, at du er på den forkerte adresse.
I dette tilfælde er det at vælge tekstbeskeden i stedet for den traditionelle phishing-e-mail et særligt godt opkald, fordi Verizon som telekommunikationsudbyder sandsynligvis vil kontakte dig via en SMS. Endnu en faktor, der forbedrer skurkenes chancer for succes, ligger i det faktum, at selvom e-mail-phishing-svindel har eksisteret i årevis, er smishing en relativt nylig tendens, og færre mennesker ved, at ordningen er blevet tilpasset til at arbejde via tekstbeskeder.
Som altid er det bedste forsvar mod angreb som disse forsigtighed og opmærksomhed. Brugere skal lære, at skurke nu bruger sms'er til at narre folk til at give deres information væk, og de skal forstå, at et link i en uventet tekstbesked kan være lige så farligt som et link i en e-mail.
