Säkerhetsforskare varnar Verizon-användare om en aggresiv smish Scam
Phishing har alltid varit en av cybercrooks favoriter. Det finns några goda skäl till detta. Du behöver inte ha många tekniska färdigheter för att få fram en framgångsrik phishing-bedrägeri, och till och med stora kampanjer kräver inte stora investeringar vad gäller pengar och tid. Samtidigt, trots alla varningar, räcker den sociala tekniken i e-postmeddelanden fortfarande för att lura användare att klicka på länkar och ge bort känslig information.
Smishing är en variant av phishing som riktar sig till mobiltelefonanvändare och görs via textmeddelanden. Smishing-attacker är inte så nära som vanliga som mer traditionella bedrägerier, men som en ny kampanj som riktar sig till Verizon-användare visar har den här tekniken några distinkta fördelar som kan locka en hel del cyberbrottslingar.
Table of Contents
Crooks försöker lura Verizon-kunder ur sina personuppgifter
Bedrägeriet upptäcktes och rapporterades av HowToGeek, och Chris Hoffman, webbplatsens chefredaktör, beskrev smishattacken som "den mest sofistikerade ännu." Även om detta uttalande kan diskuteras, är det liten tvekan om att brottslingarna tänkte på operationen.
Som du kan tänka dig börjar attacken med ett SMS, som säger att "ditt Verizon-kontosäkerhet behöver valideras." Om du klickar på en länk kommer du att kunna "validera ditt konto och för att undvika att din åtkomst stängs av." Som ni ser är grammatiken lika besvärlig som du kan förvänta dig av den här typen av attack. Det som är lite ovanligt är det faktum att länken som användarna uppmanas att klicka inte har varit genom en URL-förkortningstjänst. Med det sagt, om du inte tittar på det för noggrant, kanske du luras att tro att det verkligen kommer från telekommunikationsleverantören.
Länken HowToGeek beskrev ledde till en phishing-sida som var värd på vweless[.]xyz (som är nere i skrivande stund) och beskrivs som "chockerande övertygande." I själva verket ser skärmdumparna ganska nära originalet, och det finns inga gråliga grammatiska misstag, vilket antyder att istället för att skapa bedrägerisidorna på egen hand använde skurkarna ett lättillgängligt phishing-kit som köpts på de underjordiska marknaderna.
Den falska webbplatsen börjar med att begära ditt mobilnummer eller ditt användar-ID och lösenord. Därefter blir du ombedd att ange ditt PIN-kod för ditt konto och slutligen får du höra att du måste lämna in personlig information. Sidan berättar att om du anger dina namn, adress och femsiffriga faktureringsnummer kommer du att hjälpa Verizon att skydda ditt konto bättre. När du har gett ut alla detaljer, omdirigeras du till den verkliga Verizon-webbplatsen.
Phishing-sidan låter dig inte klicka igenom om du inte har fyllt i alla fälten, men när HowToGeeks reportrar testade det, använde de falsk information, vilket visar att scamwebbplatsen inte validerar data i realtid.
Den potentiella skadan är ganska betydande
Om alla ovanstående låter bekanta, och om du tror att du kan ha fallit i fällan, måste du ringa Verizon och åtgärda problemet omedelbart eftersom om de framgångsrikt tar över ditt konto kan skurkarna orsaka all slags förödelse. De kan beställa en ny smartphone och kreditera den på din räkning, och de kan också utföra en SIM-byteangrepp mot dig. Om du har använt samma lösenord på flera webbplatser, kan du bli offer för referensstopp och förlora åtkomst till andra konton också.
Sammantaget kan man sätta sitt uppmärksamhet mot Verizon-kunderna lönsamt för skurkarna, och med sitt val att gå för smishing snarare än traditionell phishing hoppas de kunna maximera antalet offer.
Smishing vs phishing: Vilket är bäst?
Smishings främsta fördel är att offret oundvikligen är på sin telefon under operationen. Den mindre skärmen gör det svårare att spåra berättelsetecknen på en bedrägeri. Som vi redan nämnde ser URL: n i textmeddelandet vid första anblicken semi-legitim, och eftersom skärmutrymmet är tätt kan en mobil webbläsares adressfält förbli dold under större delen av tiden. Som ett resultat av allt detta är det mer troligt att du inte inser att du är på fel adress.
I detta fall är det särskilt bra samtal att välja textmeddelandet istället för det traditionella phishing-e-postmeddelandet eftersom Verizon som telekommunikationsleverantör sannolikt kommer att kontakta dig via ett SMS. Ännu en faktor som förbättrar skurkarnas chanser att lyckas ligger i det faktum att även om e-postfiskningsbedrägerier har funnits i flera år, är smishing en relativt ny trend, och färre vet att systemet har anpassats för att fungera via textmeddelanden.
Som alltid är det bästa försvaret mot attacker som dessa försiktighet och medvetenhet. Användare måste lära sig att skurkar nu använder SMS för att lura människor att ge bort sin information, och de måste förstå att en länk i ett oväntat textmeddelande kan vara lika farligt som en länk i ett e-postmeddelande.
