Smishing, alebo SMS phishing, je podvod, ktorý útočníci používajú na oklamanie ľudí, aby prezradili citlivé údaje alebo nainštalovali škodlivý softvér do telefónu. Každý deň sa podľa odhadov rozosiela 300–400 tisíc takýchto správ, ktoré predstierajú, že pochádzajú od bánk, doručovacích služieb či štátnych inštitúcií.
Nejde ale o žiadne náhodné rozosielanie správ. Smishing dnes funguje ako systematický proces, ktorý začína nákupom dát, pokračuje výberom infraštruktúry, personalizáciou útoku a končí reálnym zneužitím prístupu. Pozrime sa na to, ako celý tento mechanizmus prebieha z pohľadu útočníka, vysvetľujú experti na bezpečnosť z iverify.io.
Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ
Získanie cieľov: masívne databázy telefónnych čísel
Útočníci najprv potrebujú ciele, teda obrovské zoznamy telefónnych čísel. Získavajú ich rôzne. Raz kupujú od dátových brokerov, inokedy siahajú po ukradnutých databázach z únikov alebo využívajú zle zabezpečené cloudové úložiská. Takto si dokážu pripraviť stovky tisíc až milióny čísiel, na ktoré budú rozosielať podvodné správy.
Dátoví brokeri zhromažďujú kontakty z verejných registrov, marketingových kampaní, mobilných aplikácií či e-shopov. Dáta bývajú triedené podľa regiónu alebo záujmov, takže útočník si môže objednať zoznam ľudí z konkrétnej oblasti alebo demografickej skupiny. Ďalším zdrojom sú úniky databáz. Ak dôjde k narušeniu bezpečnosti veľkej služby, telefónne čísla sa veľmi rýchlo objavia na darknete a stanú sa súčasťou ďalších podvodných kampaní. Častým problémom sú aj zle nastavené cloudové databázy, ktoré zostanú verejne prístupné. Útočník ich jednoducho nájde a stiahne si kompletný zoznam kontaktov.
„Kyberzločinci môžu pomocou lacných služieb SMS brán rozosielať desaťtisíce phishingových SMS správ za cenu len 0,005 $ za správu,“ hovorí Daniel Kelley, bezpečnostný analytik.
Recon fáza: personalizované útoky na firmy
Pri útokoch na firmy nejde o náhodu. Útočníci si robia prieskum. Z verejných zdrojov, LinkedInu alebo uniknutých databáz si vytvoria zoznam zamestnancov, zmapujú oddelenia a zistia, aké nástroje firma používa. Následne pripravujú personalizované správy, ktoré vyzerajú ako upozornenia z konkrétnych systémov, ktoré dané oddelenie bežne používa. Takéto cielené kampane majú výrazne vyššiu úspešnosť než generické správy o „zablokovanom účte“.
Populárna spravodajská aplikácia pre iOS a Android dostala veľkú aktualizáciu. Pribudlo množstvo nových funkcií, ktoré musíš vyskúšať
Infraštruktúra: SMS brány, VoIP a spoofing
Keď majú čísla, potrebujú infraštruktúru. Často využívajú komerčné SMS brány, VoIP poskytovateľov alebo dokonca SIM farmy, aby správy prešli cez legitímne siete a aby sa útočníci nestretli s rýchlou blokáciou. Správy potom obsahujú lákavé alebo alarmujúce texty, napríklad blokovaný účet, meškanie balíka alebo výhru v súťaži, často s odkazom na phishingovú stránku alebo automatický hovor.
Útočníci využívajú aj spoofing, takže SMS môže vyzerať, že prišla priamo od banky alebo miestnej služby. V niektorých prípadoch sa dokonca zobrazí v rovnakom vlákne ako legitímne správy od danej inštitúcie.
Zdroj: ČSOB
Smishing sa už dávno neobmedzuje len na klasické SMS. Útočníci čoraz viac využívajú iMessage (Apple) a RCS (Android). Tieto správy idú cez dáta, nie cez klasickú telekomunikačnú sieť, takže útočníci ich môžu posielať zadarmo a obchádzajú tradičné filtre operátorov.
Phishing ako služba: útok bez technických znalostí
Dnes už útočník nemusí byť technický expert. Na darknete si môže kúpiť hotové balíky, ktoré obsahujú šablóny správ, podvodné prihlasovacie stránky aj administračný panel na sledovanie obetí. Niektoré služby dokonca umožňujú nastaviť spoofing odosielateľa jedným kliknutím. Smishing sa tak mení na „službu“, ktorú si môže prenajať prakticky ktokoľvek.
Real-time útok na SMS 2FA: ako funguje zachytenie kódu
Z pohľadu organizácií predstavuje smishing veľké riziko najmä tam, kde sa používa SMS na dvojfaktorové overovanie. Útočníci dnes využívajú takzvané adversary-in-the-middle proxy. Funguje to tak, že podvodná stránka v skutočnosti funguje ako sprostredkovateľ medzi obeťou a reálnou službou. Keď obeť zadá prihlasovacie údaje, proxy ich okamžite prepošle legitímnej službe. Tá následne pošle SMS kód na overenie. Obeť dostane reálny kód a zadá ho na podvodnej stránke, ktorá ho v reálnom čase prepošle ďalej. Útočník tak dokončí prihlásenie ešte počas platnosti kódu.
Monetizácia: čo nasleduje po úspešnom prístupe
Po získaní prístupu útočníci zvyčajne konajú rýchlo. Môžu previesť peniaze, zmeniť kontaktné údaje v účte, pridať nového príjemcu alebo resetovať ďalšie služby. V prípade firemných účtov môže dôjsť k finančným podvodom alebo k ďalšiemu šíreniu útoku v rámci organizácie. Niekedy sa získané prístupy predávajú na podzemných fórach ďalším zločincom, ktorí ich zneužijú neskôr.
Takto sa môžeš brániť
Ak si už klikol na odkaz alebo zadal údaje, je potrebné konať okamžite. Najprv zmeň všetky heslá, kde používaš rovnaké alebo podobné kombinácie. Potom prepnite overovanie z SMS kódov na aplikácie typu Google Authenticator či Microsoft Authenticator, ktoré sú voči takýmto útokom odolnejšie.
Zdroj: Gerd Altmann a Pete Linforth z Pixabay, Vosveteit.sk (koláž)
Nakoniec kontaktuj banku, aj preventívne, aby mohla sledovať podozrivé transakcie a prípadne zablokovať kartu. Tieto jednoduché kroky výrazne znižujú riziko, že podvod ohrozí tvoje financie.
Celý proces smishingu je kombináciou dátových únikov, technickej infraštruktúry a psychológie. Útočníci využívajú presvedčivý obsah, moderné komunikačné služby a real-time zachytávanie prihlasovacích údajov, aby maximalizovali šancu na úspech. Preto dnes nestačí spoliehať sa len na technické filtre. Pozornosť používateľa a správne nastavené bezpečnostné mechanizmy sú kľúčové.
Páčil sa vám článok? Sledujte nás na Facebooku