Sikkerhetsforskere advarer verizon-brukere om en aggresiv smishing-svindel
Phishing har alltid vært en av cybercrooks 'favoritter. Det er noen få gode grunner til dette. Du trenger ikke å ha mange tekniske ferdigheter for å få en vellykket phishing-svindel, og selv store kampanjer krever ikke store investeringer når det gjelder penger og tid. I mellomtiden, til tross for alle advarsler, er sosialteknikken i e-postene fremdeles nok til å lure brukere til å klikke på lenker og gi bort sensitiv informasjon.
Smishing er en variant av phishing som er rettet mot mobiltelefonbrukere og gjøres gjennom tekstmeldinger. Smishing-angrep er ikke i nærheten så vanlig som mer tradisjonelle svindel, men som en nylig kampanje som er målrettet mot Verizon-brukere demonstrerer, har denne teknikken noen tydelige fordeler som kan friste ganske mange nettkriminelle.
Table of Contents
Crooks prøver å lure Verizon-kunder ut av deres personlige data
Svindelen ble oppdaget og rapportert av HowToGeek, og Chris Hoffman, nettstedets redaktør i sjefen, beskrev smishangrepet som "det mest sofistikerte ennå." Selv om denne uttalelsen kan være oppe til debatt, er det liten tvil om at kriminelle la noen tanker om operasjonen.
Som du kanskje forestiller deg, starter angrepet med en SMS, som forteller deg at "Verizon-kontosikkerheten din trenger validering." Hvis du klikker på en kobling, vil du kunne "validere kontoen din og unngå at tilgangen din blir deaktivert." Som du kan se er grammatikken så vanskelig som du forventer av denne typen angrep. Det som er litt uvanlig er det faktum at koblingen brukere oppfordres til å klikke på, ikke har vært gjennom en URL-forkortingstjeneste. Når det er sagt, hvis du ikke ser på det for nøye, kan du bli lurt til å tro at det virkelig kommer fra teleoperatøren.
Koblingen HowToGeek beskrev førte til en phishing-side som ble arrangert på vweless[.]xyz (som er nede i skrivende stund) og ble beskrevet som "sjokkerende overbevisende." Faktisk ser skjermbildene ganske nær originalen ut, og det er ikke noen grimatiske feil, som antyder at i stedet for å lage svindel-sidene på egenhånd, brukte kjeltringene et lett tilgjengelig phishing-sett kjøpt på de underjordiske markedene.
Det falske nettstedet starter med å be om ditt mobilnummer eller bruker-ID og passord. Etter det blir du bedt om PIN-koden til kontoen din, og til slutt får du beskjed om at du må oppgi litt personlig informasjon. Siden forteller deg at hvis du oppgir navn, adresse og femsifret faktureringsnummer, vil du hjelpe Verizon med å bedre beskytte kontoen din. Etter at du har gitt ut alle detaljene, blir du omdirigert til det virkelige Verizon-nettstedet.
Phishing-siden lar deg ikke klikke deg frem med mindre du har fylt ut alle feltene, men da HowToGeeks reportere testet det, brukte de falske opplysninger, som viser at svindelnettstedet ikke validerer dataene i sanntid.
Den potensielle skaden er ganske betydelig
Hvis alt det ovennevnte høres kjent ut, og hvis du tror at du kan ha falt i fellen, må du ringe Verizon og utbedre problemet med en gang, fordi hvis de lykkes med å overta kontoen din, kan kjeltringene skape all slags ødeleggelser. De kan bestille en ny smarttelefon og kreditere den til regningen din, og de kan også utføre et SIM-bytteangrep mot deg. Hvis du har brukt det samme passordet på flere nettsteder, kan du bli offer for påleggsinformasjon og miste tilgangen til andre kontoer også.
Alt i alt kan det å betjene Verizon-kunder lønne seg for kjeltringene, og med valget sitt om å søke smishing fremfor tradisjonell phishing håper de å maksimere antall ofre.
Smishing vs phishing: Hvilken er best?
Smishings viktigste fordel er at offeret uunngåelig er på telefonen sin under operasjonen. Den mindre skjermen gjør det vanskeligere å oppdage fortellingen om svindel. Som vi allerede nevnte, ved første øyekast ser URL-en i tekstmeldingen semi-legitim ut, og fordi skjermområdet er tett, kan adresselinjen til en mobil nettleser forbli skjult det meste av tiden. Som et resultat av alt dette, er det mer sannsynlig at du ikke klarer å innse at du er på feil adresse.
I dette tilfellet er det å velge tekstmelding i stedet for den tradisjonelle phishing-e-posten en spesielt god samtale fordi Verizon som telekommunikasjonsleverandør sannsynligvis vil kontakte deg via en SMS. Nok en faktor som forbedrer kjeltringenes sjanser for å lykkes, ligger i det faktum at selv om e-post phishing-svindel har eksistert i årevis, er smishing en relativt nyere trend, og færre vet at ordningen har blitt tilpasset til å fungere via tekstmeldinger.
Som alltid er det beste forsvaret mot angrep som disse forsiktighet og bevissthet. Brukere må lære at skurker nå bruker SMS-er for å lure folk til å gi bort informasjonen, og de må forstå at en lenke i en uventet tekstmelding kan være like farlig som en lenke i en e-post.
