Badacze bezpieczeństwa ostrzegają użytkowników Verizon przed agresywnym oszustwem
Phishing zawsze był jednym z ulubionych cyberprzestępców. Jest kilka dobrych powodów. Nie musisz mieć wielu umiejętności technicznych, aby odnieść sukces w wyłudzaniu informacji, a nawet kampanie na dużą skalę nie wymagają dużych inwestycji pod względem pieniędzy i czasu. Tymczasem, pomimo wszystkich ostrzeżeń, inżynieria społeczna w wiadomościach e-mail wciąż wystarcza, aby oszukać użytkowników, aby kliknęli linki i ujawnili poufne informacje.
Smishing jest odmianą phishingu skierowaną do użytkowników telefonów komórkowych i odbywa się za pośrednictwem wiadomości tekstowych. Smukłe ataki nie są tak powszechne, jak bardziej tradycyjne oszustwa, ale jak pokazuje niedawna kampania skierowana do użytkowników Verizon, technika ta ma pewne wyraźne zalety, które mogą kusić wielu cyberprzestępców.
Table of Contents
Oszuści próbują oszukać klientów Verizon z ich danych osobowych
Oszustwo zostało zauważone i zgłoszone przez HowToGeek, a Chris Hoffman, redaktor naczelny strony, opisał oszałamiający atak jako „najbardziej zaawansowany jak dotąd”. Chociaż to oświadczenie może być przedmiotem dyskusji, nie ma wątpliwości, że przestępcy zastanowili się nad tą operacją.
Jak można sobie wyobrazić, atak rozpoczyna się SMS-em, który mówi, że „bezpieczeństwo twojego konta Verizon wymaga weryfikacji”. Jeśli klikniesz link, będziesz w stanie „zweryfikować swoje konto i uniknąć wyłączenia dostępu”. Jak widać, gramatyka jest tak niezręczna, jak można się spodziewać po tego rodzaju atakach. Niecodzienne jest to, że użytkownicy linków zachęcani do klikania nie korzystali z usługi skracania adresów URL. Biorąc to pod uwagę, jeśli nie przyjrzysz się temu zbyt uważnie, możesz dać się zwieść myśleniu, że tak naprawdę pochodzi od operatora telekomunikacyjnego.
Link opisany przez HowToGeek doprowadził do strony phishingowej, która była hostowana na vwireless[.]xyz (która jest niedostępna w momencie pisania) i została opisana jako „szokująco przekonująca”. Rzeczywiście, zrzuty ekranu wyglądają bardzo zbliżone do oryginału i nie ma rażących błędów gramatycznych, co sugeruje, że zamiast tworzyć własne strony oszukańcze, oszuści używali łatwo dostępnego zestawu phishingowego kupionego na podziemnych rynkach.
Fałszywa strona internetowa zaczyna się od podania numeru telefonu komórkowego lub identyfikatora użytkownika i hasła. Następnie zostaniesz poproszony o podanie numeru PIN konta, a na koniec powiedziano ci, że musisz podać dane osobowe. Strona informuje, że jeśli podasz swoje imię i nazwisko, adres i pięciocyfrowy kod pocztowy rozliczeniowy, pomożesz Verizon lepiej chronić swoje konto. Po podaniu wszystkich szczegółów nastąpi przekierowanie do prawdziwej witryny Verizon.
Strona phishingowa nie pozwala na kliknięcie, chyba że wypełniłeś wszystkie pola, ale kiedy reporterzy HowToGeek przetestowali ją, wykorzystali fałszywe informacje, co pokazuje, że witryna oszustwa nie sprawdza danych w czasie rzeczywistym.
Potencjalne obrażenia są dość znaczące
Jeśli wszystkie powyższe dźwięki wydają się znajome i jeśli uważasz, że mogłeś wpaść w pułapkę, musisz zadzwonić do Verizon i natychmiast rozwiązać problem, ponieważ jeśli uda im się przejąć twoje konto, oszuści mogą siać spustoszenie wszelkiego rodzaju. Mogą zamówić nowy smartfon i zapisać go na rachunku, a także przeprowadzić atak polegający na zamianie karty SIM. Jeśli użyjesz tego samego hasła w wielu witrynach internetowych, możesz paść ofiarą upychania poświadczeń i utracić dostęp do innych kont.
Podsumowując, skupiając się na klientach Verizon, mogliby sowicie spłacić oszustów, a decydując się na wyłudzanie informacji zamiast tradycyjnego phishingu, mają nadzieję zmaksymalizować liczbę ofiar.
Smishing kontra phishing: Który jest najlepszy?
Główną zaletą Smishinga jest to, że ofiara nieuchronnie rozmawia przez telefon podczas operacji. Mniejszy ekran utrudnia wykrycie znaków oszustwa. Jak już wspomnieliśmy, na pierwszy rzut oka adres URL w wiadomości tekstowej wygląda na częściowo uzasadniony, a ponieważ miejsce na ekranie jest wąskie, pasek adresu przeglądarki mobilnej może pozostać ukryty przez większość czasu. W wyniku tego częściej nie zdajesz sobie sprawy, że jesteś pod niewłaściwym adresem.
W takim przypadku wybranie wiadomości tekstowej zamiast tradycyjnej wiadomości phishingowej jest szczególnie dobrym połączeniem, ponieważ jako dostawca usług telekomunikacyjnych Verizon prawdopodobnie skontaktuje się z Tobą za pośrednictwem wiadomości SMS. Jeszcze jeden czynnik, który zwiększa szanse oszustów na sukces, polega na tym, że chociaż oszustwa związane z wyłudzaniem wiadomości e-mail istnieją już od lat, wyłudzanie informacji jest stosunkowo nowym trendem i mniej osób wie, że program został przystosowany do pracy za pośrednictwem wiadomości tekstowych.
Jak zawsze najlepszą obroną przed takimi atakami jest ostrożność i świadomość. Użytkownicy muszą dowiedzieć się, że oszuści używają teraz SMS-ów, aby oszukać ludzi, aby ujawnili swoje informacje, i muszą zrozumieć, że link w nieoczekiwanej wiadomości tekstowej może być równie niebezpieczny jak link w wiadomości e-mail.
