Beveiligingsonderzoekers waarschuwen Verizon-gebruikers voor een agressieve smishing-zwendel
Phishing is altijd een van de favorieten van de cyberrook geweest. Daar zijn een paar goede redenen voor. U hoeft niet veel technische vaardigheden te hebben om een succesvolle phishing-zwendel te realiseren, en zelfs grootschalige campagnes vereisen geen enorme investeringen in geld en tijd. Ondertussen is de sociale engineering in de e-mails ondanks alle waarschuwingen nog steeds voldoende om gebruikers voor de gek te houden door op links te klikken en gevoelige informatie weg te geven.
Smishing is een variant van phishing die is gericht op gebruikers van mobiele telefoons en wordt gedaan via sms-berichten. Smishing-aanvallen zijn lang niet zo gebruikelijk als meer traditionele oplichting, maar zoals een recente campagne gericht op gebruikers van Verizon aantoont, heeft deze techniek een aantal duidelijke voordelen die heel wat cybercriminelen kunnen verleiden.
Table of Contents
Crooks proberen klanten van Verizon te misleiden uit hun persoonlijke gegevens
De zwendel werd opgemerkt en gemeld door HowToGeek, en Chris Hoffman, hoofdredacteur van de website, beschreef de smishing-aanval als "de meest geavanceerde tot nu toe". Hoewel deze verklaring misschien ter discussie staat, bestaat er geen twijfel over dat de criminelen er goed over hebben nagedacht.
Zoals je je misschien kunt voorstellen, begint de aanval met een sms, waarin staat dat 'je Verizon-accountbeveiliging moet worden gevalideerd'. Als u op een link klikt, kunt u 'uw account valideren en voorkomen dat uw toegang wordt uitgeschakeld'. Zoals je kunt zien, is de grammatica zo ongemakkelijk als je zou verwachten van dit soort aanvallen. Wat een beetje ongebruikelijk is, is het feit dat de link waarop gebruikers worden aangespoord niet door een URL-verkortingsservice is gegaan. Dat gezegd hebbende, als je er niet te goed naar kijkt, kun je je voor de gek houden door te denken dat het echt van de telecomaanbieder komt.
De link HowToGeek heeft geleid tot een phishing-pagina die werd gehost op vwireless[.]xyz (dat is niet beschikbaar op het moment van schrijven) en werd beschreven als 'schokkend overtuigend'. De schermafbeeldingen lijken inderdaad vrij dicht bij het origineel en er zijn geen opvallende grammaticale fouten, wat suggereert dat de boeven in plaats van zelf scampagina's te maken, een direct beschikbare phishing-kit gebruikten die ze op de ondergrondse markten hadden gekocht.
De nep-website begint met het aanvragen van uw mobiele nummer of gebruikers-ID en wachtwoord. Daarna wordt u om uw pincode gevraagd en ten slotte wordt u verteld dat u enkele persoonlijke gegevens moet opgeven. De pagina vertelt u dat als u uw namen, adres en vijfcijferige postcode invoert, u Verizon helpt uw account beter te beschermen. Nadat u alle details hebt opgegeven, wordt u doorgestuurd naar de echte Verizon-website.
De phishing-pagina laat je niet doorklikken tenzij je alle velden hebt ingevuld, maar toen HowToGeeks verslaggevers het testten, gebruikten ze valse informatie, waaruit blijkt dat de zwendelwebsite de gegevens niet in realtime valideert.
De potentiële schade is behoorlijk groot
Als al het bovenstaande bekend klinkt, en als je denkt dat je in de val bent gelopen, moet je Verizon bellen en het probleem onmiddellijk oplossen, want als ze met succes je account overnemen, kunnen de boeven allerlei schade aanrichten. Ze kunnen een nieuwe smartphone bestellen en crediteren op uw factuur, en ze kunnen ook een SIM-swapping-aanval op u uitvoeren. Als u hetzelfde wachtwoord op meerdere websites opnieuw hebt gebruikt, kunt u het slachtoffer worden van inloggegevens en ook de toegang tot andere accounts verliezen.
Al met al, als ze hun aandacht richten op Verizon-klanten, zouden ze de boeven behoorlijk kunnen belonen, en met hun keuze voor smishing in plaats van traditionele phishing, hopen ze het aantal slachtoffers te maximaliseren.
Smishing versus phishing: welke is het beste?
Het grote voordeel van Smishing is dat het slachtoffer tijdens de operatie onvermijdelijk op zijn telefoon zit. Het kleinere scherm bemoeilijkt het herkennen van de veelbetekenende tekenen van een zwendel. Zoals we al zeiden, ziet de URL in het sms-bericht er op het eerste gezicht semi-legitiem uit en omdat de schermruimte krap is, kan de adresbalk van een mobiele browser meestal verborgen blijven. Als gevolg hiervan zult u zich waarschijnlijk niet realiseren dat u zich op het verkeerde adres bevindt.
In dit geval is het kiezen van het sms-bericht in plaats van de traditionele phishing-e-mail een bijzonder goed gesprek, omdat Verizon als telecommunicatieprovider waarschijnlijk contact met u opneemt via een sms. Nog een andere factor die de kansen op succes van de boeven verbetert, is het feit dat hoewel e-mail phishing-scams al jaren bestaan, smishing een relatief recente trend is en minder mensen weten dat het schema is aangepast om te werken via sms-berichten.
Zoals altijd is voorzichtigheid en bewustzijn de beste verdediging tegen aanvallen zoals deze. Gebruikers moeten leren dat oplichters nu sms'jes gebruiken om mensen te misleiden om hun informatie weg te geven, en ze moeten begrijpen dat een link in een onverwacht sms-bericht net zo gevaarlijk kan zijn als een link in een e-mail.
