Salutare! În ultimii ani, infractorii cibernetici au devenit din ce în ce mai inventivi, inovând continuu pentru a fura datele tale de acces.
Metoda phishing-ului reprezintă o tactică bine-cunoscută, bazată pe inginerie socială, care funcționează indiferent de platformă. De obicei, phishing-ul se întâlnește sub forma mesajelor de e-mail spam, elaborate cu strategii convingătoare, menite să determine victima să divulge numele de utilizator, parola sau informații financiare. Această tactică a evoluat în timp și a inclus utilizarea serviciului SMS ca instrument de atac, fiind cunoscută sub numele de Smishing (SMS + phishing).
SMS + phishing = Smishing
Mesajele de tip smishing sau SMS phishing sunt mult mai răspândite decât crezi. Pentru a înțelege cât de eficient este acest tip de atac, trebuie să știi că mesajele SMS au o rată incredibilă de deschidere, ajungând până la 98%, în timp ce mesajele de e-mail au o rată medie de deschidere de doar 20%. Este evident că oricine ar alege varianta SMS dacă dorește să se asigure că mesajul trimis va fi citit, nu doar livrat. După un scurt studiu, am descoperit că o platformă de marketing prin mesaje SMS din România oferă un tarif de 0.035 EUR/SMS, ceea ce înseamnă că poți trimite 20.000 de mesaje cu aproximativ 700 de euro. Un cost destul de mic pentru o campanie Smishing, având în vedere cele 20.000 de potențiale victime. Pentru a obține numerele de telefon ale posibilelor victime, un atacator le poate achiziționa de pe platforme de cybercrime sau poate folosi diverse tehnici de web scraping pentru a extrage automat date personale, cum ar fi numele și numărul de telefon, de pe platforme online unde se publică anunțuri (de exemplu, OLX, Publi24, Lajumate etc.). Desigur, platformele de anunțuri au implementat măsuri minime de protecție a numerelor de telefon, cum ar fi tehnici precum "click to reveal", conversia numerelor de telefon din text în imagine sau accesul la date doar pentru utilizatorii autentificați, dar pentru un atacator "mai talentat", acestea nu reprezintă obstacole reale. Într-un astfel de context, în care atacatorul este la un mesaj distanță de victimă, nu este de mirare că apar campanii precum FluBOT, care anul trecut distribuia un troian bancar către numerele de telefon din România sub forma unor mesaje SMS prin care victimele erau informate că urmau să primească un colet prin curier rapid. Imaginația infractorilor este nelimitată și nu costă nimic, iar următoarea tactică de inginerie socială prin care vor convinge victima să deschidă un link malițios va fi la fel de bine pusă la punct. Deci, gândește-te de două ori înainte de a "ridica un colet pe care nu-ți amintești că l-ai comandat".
Dacă am vorbit despre Smishing, să trecem acum la Vishing.
Voice + phishing = Vishing
Probabil ai auzit și tu de "metoda telefonului" sau "metoda accidentului", prin care victimele sunt înșelate și li se fure sume considerabile de bani. Această metodă a evoluat și în domeniul bancar, iar escrocii încearcă să obțină date financiare sau confidențiale, parole și coduri de acces pentru a fura ulterior fonduri din conturile tale.
Un atac de tip Vishing începe, de obicei, cu un apel telefonic în care atacatorul se pretinde a fi reprezentantul unei companii sau chiar al unei autorități. Pentru a face apelul să pară autentic, în cadrul conversației sunt folosite date reale despre victimă (disponibile online), cum ar fi nume, prenume, adresă de e-mail și număr de telefon. Aici intră în joc și expunerea datelor personale în mediul online, așa cum am discutat mai devreme despre Smishing.
Atunci când victima este convinsă că apelul telefonic este legitim, probabilitatea de a furniza atacatorului date sensibile crește semnificativ. De asemenea, infractorii pot profita de naivitatea victimei pentru a o convinge să instaleze aplicații software malițioase sau aplicații de control la distanță (remote desktop) pe dispozitivele utilizate.
Voi enumera doar câteva metode cunoscute de Vishing:
Câștig neașteptat - te anunță că ai câștigat un premiu în bani la un concurs la care nu ai participat și pentru a-l primi trebuie să furnizezi date confidențiale.
Calculator infectat - îți spun că din cauza unor viruși de pe computerul tău, a apărut o eroare în rețeaua băncii și au nevoie de datele tale pentru a remedia problema.
Frauda "cont bancar blocat" - escrocii solicită rapid informațiile tale, pretextând o procedură bancară (de exemplu, blocarea contului bancar).
Apeluri false de suport - atacatorii încearcă să obțină date sau bani de la victimă prin apeluri care simulează un contact cu suportul tehnic.
Frauda cu apeluri pierdute - victima primește un apel scurt de la un număr de telefon străin. Dacă victima sună înapoi acel număr pentru a afla scopul apelului, își va da seama prea târziu că a sunat la un număr cu tarif suplimentar.
Cu toate acestea, există câteva măsuri simple de protecție și sfaturi pe care le putem urma pentru a preveni astfel de tentative:
Trimite acest articol unui prieten sau părinților/bunicilor. Educația utilizatorilor reprezintă primul pas în lupta împotriva infractorilor cibernetici.
Activează autentificarea în doi pași (2FA).
Dacă primești astfel de mesaje sau apeluri, cel mai bine este să le ignori. Nu răspunde și nu interacționa cu atacatorul.
Deși nu se pot evita toate tentativele de smishing, poți bloca mesajele spam pe telefonul tău mobil, indiferent dacă folosești un iPhone sau un Android. Acestea au funcții integrate de securitate cibernetică, precum filtrele de spam și blocarea numerelor de telefon, pentru a te proteja împotriva atacurilor.
Înainte de a acționa, ia o pauză și gândește-te de două ori înainte de a da click pe un link dintr-un mesaj pe care nu-l aștepți sau pe care l-ai primit de la un necunoscut. Atacatorii încearcă adesea să inducă o stare de urgență în mesajele lor. Cel mai important este să te gândești de două ori înainte de a acționa.
Păstrează informațiile personale private. Nu trimite niciodată date precum CNP, adresă, detalii ale cardului de credit/debit către persoane necunoscute.
Sper că aceste sfaturi te vor ajuta să te protejezi împotriva fraudelor cibernetice. Fiți vigilenți și informați pe cei din jur despre aceste metode de atac pentru a crea o comunitate online mai sigură.