Як захиститися від смішингу (SMS-фішингу)?

Що таке смішинг?

Смішинг означає SMS-фішинг. По суті, це фішинг, який поширюється через сервіси обміну повідомленнями, зокрема текстові повідомлення.

Смішинг не обмежується лише стандартними SMS. Його також можуть використовувати через застосунки для миттєвого обміну повідомленнями, такі як WhatsApp, Telegram або Signal.

Це один із каналів поширення атак соціальної інженерії. Зазвичай такі атаки спрямовані на окремих людей. Їхня мета – отримати інформацію або виманити гроші шляхом шахрайства.

Як і в разі будь-якої іншої атаки соціальної інженерії, у смішингу використовується видавання себе за бренд або конкретну особу. Також застосовуються різні маніпулятивні прийоми, щоб підвищити ймовірність успіху атаки.

Оскільки рівень захисту особистих телефонів часто нижчий, ніж захист електронної пошти, смішинг зазвичай має більше шансів дістатися цілі.

Смішинг є дуже поширеною формою атаки. Краще розуміння його механізмів допомагає запобігати серйозним наслідкам.

Історія смішингу

Початок 2000-х

Стрімке зростання використання мобільних телефонів

Коли на початку 2000-х використання мобільних телефонів різко зросло, шахраї адаптували свої методи, щоб використати новий канал комунікації.
Перші спроби смішингу були відносно примітивними. Часто це були прості текстові повідомлення із закликом перейти на шкідливий вебсайт або зателефонувати на шахрайський номер.

2010

Ера смартфонів

Поширення смартфонів призвело до ускладнення атак смішингу. Зловмисники почали розповсюджувати шкідливе ПЗ, використовувати вбудовані посилання та експлуатувати вразливості мобільних операційних систем.

2016

Обхід захисту 2FA

Із поширенням багатофакторної автентифікації атаки смішингу почали використовувати в поєднанні з фішингом або вішингом. Це робилося для того, щоб виманювати одноразові паролі та отримувати доступ до захищених облікових записів.

2018

Spear smishing (цільовий смішинг)

Як і у випадку зі звичайним фішингом, у 2018 році популярнішими стали персоналізовані та цільові атаки смішингу. Часто в них використовувалися витоки даних або інформація, отримана з розвідки на основі відкритих джерел (OSINT). Це підвищувало ефективність атак.

2020

Період Covid і шахрайство від імені USPS

Під час пандемії Covid-19 спостерігалося зростання кількості фішингових і смішингових атак. Ширше використання цифрових каналів комунікації для віддаленої роботи та соціальної взаємодії створило нові можливості для атак.
У цей період почала активно поширюватися одна дуже популярна схема. Через SMS надсилалися повідомлення про нібито очікуваний платіж за доставку. При цьому зловмисники видавали себе за Поштову службу Сполучених Штатів Америки (USPS).

2025

Поєднання смішингу, вішингу та ШІ

У 2025 році смішинг дедалі частіше почав поєднуватися з вішингом і технологіями ШІ. Зловмисники використовували текстові повідомлення, голосові повідомлення та переведення спілкування в захищені месенджери, щоб підвищити довіру до шахрайської комунікації.

Як працює смішинг

Смішинг, або SMS-фішинг, працює через низку ретельно продуманих етапів. Вони мають на меті ввести людину в оману, щоб змусити її розкрити конфіденційну інформацію або завантажити шкідливе ПЗ. Розуміння механізму смішингу допомагає розпізнавати такі атаки й уникати їх. Нижче наведено детальний опис цього процесу.

Крок 1: планування атаки та вибір цілі

Кіберзлочинці збирають інформацію про потенційні цілі. Для цього можуть купувати контактні списки в даркнеті, збирати дані із профілів у соціальних мережах або використовувати інформацію з попередніх витоків. Що більш персоналізованою є інформація, то переконливішою виглядатиме атака.

Цілями можуть бути як окремі люди, так і великі організації.

У корпоративному середовищі пріоритет часто надається керівникам або працівникам, які мають доступ до конфіденційної інформації.

Що стосується окремих людей, то поширеними є масштабні атаки. Іноді їх спеціально прив’язують до певних подій, наприклад до Чорної п’ятниці або окремих періодів розпродажів. У цей час збільшується кількість доставок посилок із сайтів електронної комерції, а отже, зростають шанси на успіх смішингового шахрайства, пов’язаного з доставкою.

Крок 2: створення повідомлення

Як і в інших атаках соціальної інженерії, повідомлення часто створюють відчуття терміновості або страху, щоб спонукати до негайної дії. Це можуть бути сповіщення про підозрілу активність в обліковому записі, термінові запити на оплату або повідомлення про доставку посилки.

Використання персональної інформації, наприклад імені цілі або конкретних деталей її активності, підвищує достовірність повідомлення. Персоналізовані повідомлення частіше викликають реакцію.

Залежно від вибраного приводу зловмисники часто підмінюють телефонні номери або створюють повідомлення, які виглядають так, ніби надійшли від надійних джерел. Це можуть бути банки, державні установи або відомі компанії. Завдяки цьому повідомлення виглядає більш правдоподібним та важливим.

Крок 3: доставка повідомлення

Повідомлення надсилаються через SMS (Short Message Service) або MMS (Multimedia Messaging Service). У той час як SMS містить лише текст, MMS може включати зображення, відео або інший мультимедійний вміст, щоб зробити повідомлення переконливішим.

Зазвичай таке повідомлення містить посилання на шкідливий вебсайт. Посилання можуть скорочувати за допомогою сервісів скорочення URL, щоб приховати справжню адресу. Також їх можуть робити схожими на дійсні URL.

Скорочувачі посилань і редиректори також корисні зловмисникам, оскільки ускладнюють перевірку посилань засобами безпеки та фільтрами.

У деяких повідомленнях можуть міститися телефонні номери для дзвінка або вкладення для завантаження. Такі телефонні номери часто ведуть до шахрайських колцентрів. Вкладення ж можуть містити шкідливе ПЗ.

Крок 4: взаємодія з ціллю

Залежно від типу атаки та інфраструктури, яку розгорнув зловмисник, на цьому етапі можливі різні сценарії.

Якщо ціль переходить за посиланням, її перенаправляють на фішинговий вебсайт, який імітує дійсний ресурс. Такий сайт пропонує ввести особисту інформацію, наприклад облікові дані, номери банківських карток або номери соціального страхування.

Інформація, введена на фішинговому сайті, потрапляє до зловмисників. Надалі її використовують для викрадення особистості, фінансового шахрайства або подальших атак.

Деякі посилання чи вкладення можуть призводити до завантаження шкідливого ПЗ. Це можуть бути кейлогери, програми-вимагачі або шпигунське ПЗ. Вони можуть скомпрометувати пристрій і дані цілі або стати першим етапом складнішої атаки.

Якщо ціль телефонує за вказаним номером, вона може спілкуватися з шахраєм, який використовує прийоми соціальної інженерії для виманювання конфіденційної інформації. Часто такий шахрай видає себе за представника справжньої організації.

Крок 5: експлуатація отриманих даних

Викрадену інформацію використовують для різних видів шахрайства. Це можуть бути несанкціоновані транзакції, викрадення особистості або захоплення облікових записів. Кіберзлочинці також можуть продавати цю інформацію в даркнеті, щоб нею скористався інший зловмисник.

В організаційному середовищі зловмисники можуть використовувати викрадені облікові дані для доступу до внутрішніх мереж. Це може призводити до витоків даних, атак програм-вимагачів або нових фішингових кампаній.

Як розпізнати смішинг

Редфлеги та попереджувальні ознаки

Як і в багатьох інших спробах соціальної інженерії, у смішингу є кілька типових ознак, які мають насторожувати й спонукати до особливої обережності під час взаємодії з отриманим повідомленням.

До таких редфлегів належать:

Неочікувані повідомлення: до небажаних і непроханих повідомлень слід ставитися з обережністю.
Орфографія та граматика: це не є безпомилковим способом виявлення атаки, але смішингові атаки низької якості все ще трапляються. Погана орфографія або граматика й далі мають розглядатися як попереджувальна ознака.
Узагальнені звертання: як і у випадку з помилками в написанні, це характерна ознака атак низької якості.
Механізми терміновості та тиску: щоб викликати емоційну реакцію, типові смішингові атаки спираються на терміновість, страх і авторитет, змушуючи людину діяти швидко.

Приклади смішингових повідомлень

Банківське сповіщення: «Доступ до Вашого облікового запису тимчасово призупинено через підозрілу активність. Для перевірки даних і відновлення доступу перейдіть за посиланням: [підроблений URL банку].»
Шахрайство з доставкою посилок: «Вашу посилку затримано через некоректні дані доставки. Оновіть інформацію тут: [шкідливе посилання].»
Шахрайство з податковим відшкодуванням: «У Вас є очікуване податкове відшкодування. Щоб отримати його, натисніть тут: [підроблений URL податкової служби].»

Ризики та наслідки смішингу

Як і у випадку зі звичайним фішингом, ризики та наслідки варто розглядати у двох площинах: особистий вплив і вплив на бізнес.

Особистий вплив

На особистому рівні ціль смішингової атаки може зіткнутися з такими наслідками:

Фінансові втрати: можливі прямі фінансові втрати, якщо у відповідь на смішингове повідомлення було надано банківські дані або інформацію про платіжну картку. Поширеними наслідками є несанкціоновані транзакції, шахрайські списання коштів і спустошення банківських рахунків.
Викрадення особистості: персональні дані, такі як номери соціального страхування, адреси та дати народження, можуть бути зібрані через смішинг. Надалі ця інформація може використовуватися для відкриття нових рахунків, оформлення кредитів або інших форм викрадення особистості.
Емоційний стрес: психологічний вплив таких атак є значним. Цілі смішингу часто переживають сильну тривогу, страх і відчуття порушення особистого простору. Процес відновлення після викрадення особистості або фінансового шахрайства може бути тривалим і виснажливим.
Порушення приватності: втрата персональної інформації може призвести до серйозного порушення приватності. Особисті дані можуть з’явитися в даркнеті або бути використаними в подальших шахрайських схемах та атаках.

Вплив на бізнес

Для бізнесу наслідки смішингових атак можуть бути іншого масштабу:

Витоки даних: смішингові атаки, спрямовані на працівників, можуть призводити до витоків даних. Скомпрометовані облікові дані можуть надати зловмисникам доступ до конфіденційної інформації компанії, інтелектуальної власності та даних клієнтів.
Фінансові штрафи: якщо витік даних став наслідком смішингової атаки, компанія може зіткнутися зі значними фінансовими штрафами через недотримання регуляторних вимог. Такі закони, як GDPR і CCPA, передбачають суворі штрафи за витоки персональної інформації.
Операційні збої: смішингові атаки можуть спричиняти збої в операційній діяльності. Шкідливе ПЗ або програми-вимагачі, які потрапили в середовище через смішинг, можуть паралізувати бізнес-процеси, спричинити простої та втрату продуктивності.
Репутаційні втрати: успішна смішингова атака, яка призводить до витоку даних, може серйозно зашкодити репутації компанії. Клієнти та партнери можуть втратити довіру, що, своєю чергою, призводить до втрати бізнес-можливостей і довгострокової шкоди для репутації.

Запобігання смішингу та захист від нього

Запобігання смішинговим атакам доцільно будувати на трьох основних рівнях у межах стратегії багаторівневого захисту.

Навчання та обізнаність

Перший рівень захисту – це навчання людей. Для цього використовуються матеріали з підвищення обізнаності та симуляційні кампанії. Вони допомагають зрозуміти ризики та сформувати безпечніші патерни поведінки, зокрема повідомлення про такі атаки уповноваженим органам і внутрішнім службам.

Смішингові атаки спрямовані на людей та їхні реакції. Тому навчання є одним із найбільш рентабельних рівнів захисту, який можна застосувати.

Найкращі практики та процедури

Особливо в організаційному середовищі процедури мають запобігати атакам шляхом додавання контрольних точок і перешкод, які порушують типовий сценарій атаки.

Наприклад, конфіденційну інформацію не слід передавати без спеціального процесу перевірки. Платежі не повинні здійснюватися з мобільного пристрою тощо.

Частину таких процедур можна забезпечити за допомогою інструментів безпеки. Інші мають спиратися на належне навчання працівників.

Інструменти безпеки

Існує багато інструментів безпеки, які можуть зменшити ризик смішингу:

Застосунки мобільної безпеки: забезпечують захист від загроз у реальному часі, а також блокування SMS і дзвінків.
MDM (Mobile Device Management): дає змогу легко контролювати, моніторити та керувати налаштуваннями безпеки й застосунками на мобільних пристроях.
Багатофакторна автентифікація: підвищує рівень безпеки у випадку викрадення облікових даних або атак інфостілерів, ускладнюючи їх подальше використання.
Моніторинг витоків: відстеження появи телефонних номерів у даркнеті може допомогти запобігати атакам шляхом посилення захисту або навіть повної зміни номерів.

Реагування на смішингову атаку

Ефективне реагування на смішингову атаку має вирішальне значення для мінімізації шкоди та запобігання подальшій експлуатації.

Негайні дії

Першочергово слід зробити наступне:

Не відповідати на підозріле текстове повідомлення й не взаємодіяти з ним.
Повідомити відповідальні сторони. Залежно від контексту це може бути особа або сервіс, за який видають себе зловмисники, наприклад банк, або спеціалізована команда безпеки в організації.

Якщо взаємодія з текстовим повідомленням уже відбулася і є підозра на компрометацію, телефон слід від’єднати від мережі. Для цього можна перевести його в режим польоту, щоб завадити шкідливому ПЗ взаємодіяти з мережею.

Захист облікових записів

Якщо є підозра на компрометацію, варто посилити захист облікових записів. Хороші профілактичні кроки:

змінити паролі за допомогою інструмента керування паролями;
увімкнути MFA для посилення захисту автентифікації;
за можливості перевірити облікові записи та останні входи, щоб з’ясувати, чи вже мала місце підозріла активність.

Сканування та очищення пристроїв

Якщо є підозра, що на мобільному пристрої вже встановлено шкідливе ПЗ, розгорнуте через смішингову атаку, пристрій також слід просканувати й очистити:

Виконати сканування за допомогою засобу захисту: актуальне програмне забезпечення для захисту від шкідливого ПЗ може просканувати телефон і виявити потенційні загрози.
Оновити програмне забезпечення: патчі безпеки допомагають запобігати експлуатації окремих вразливостей, які полегшують поширення шкідливого ПЗ та отримання ним вищого рівня доступу до мобільного пристрою.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Як захиститися від смішингу (SMS-фішингу)?

Що таке смішинг?