Що таке смішинг?

Смішинг (SMS-фішинг) — це спроба зловмисника шляхом маніпуляцій та обману через СМС відвідати у жертви конфіденційну інформацію: логіни та паролі, номери банківських карток та CVV-коди до них. Популярність цієї форми атаки зростає, адже рівень відкритості текстових повідомлень, отриманих телефоном, становить понад 90 %, а конверсія коливається на рівні 20–45 %.

Поширені схеми смішингу

Номери телефонів для атак кіберзлочинці найчастіше отримують через інтернет. Популярний спосіб — зламування інтернет-магазинів, де зберігаються персональні дані зареєстрованих клієнтів.

Найбільш поширені схеми смішингу виглядають так:

1. 1. Встановлення шкідливого програмного забезпечення. Жертва отримує СМС нібито від банку, де повідомляється, що кілька хвилин тому було зроблено спробу зняти велику суму з її картки. Зловмисник просить одержувача перейти за гіперпосиланням, якщо гроші знімав не він. При переході на смартфон жертви завантажується шпигунське програмне забезпечення, яке відстежує логіни та паролі, введені з клавіатури пристрою. Часто шахраї відправляють SMS від імені мобільних операторів та інтернет-провайдерів. У повідомленнях просять натиснути на посилання і терміново підтвердити свій тариф, щоб не стався автоматичний перехід на новий тарифний план.
2. 2. Запит реквізитів банківських карток. Жертві на телефон надходить повідомлення з проханням перерахувати фінансову допомогу постраждалим від будь-якого лиха, вказавши номер, термін дії та CVV-код особистої картки. Шахраї можуть прикинутись співробітниками банку і від його імені направити клієнту повідомлення, що в результаті системного збою його картку помилково заблоковано, а для розблокування потрібно ввести її дані. Заволодівши завдяки смішингу реквізитами, зловмисники знімають кошти з чужих банківських рахунків.
3. 3. Викрадення корпоративної інформації. Шахраї можуть відправляти SMS від імені компанії, в якій працює жертва, і просити авторизуватися через нову форму реєстрації/авторизації у зв'язку з оновленням програмного забезпечення. Отриманий логін та пароль вони використовують для доступу до конфіденційних корпоративних баз даних.

Головна ознака смішингу — акцент на терміновості. У більшості випадків зловмисники просять виконати необхідну дію негайно: доки гроші з рахунку не пішли, тарифний план автоматично не змінився, банківська картка не заблокувалась назавжди тощо.

Щоб ваші клієнти не стали жертвами смішингових атак, пропонуємо налаштувати інформаційну SMS-розсилку та попередити їх про потенційну загрозу. Зверніться до відділу продажів Decision Telecom для отримання докладних відомостей про послугу, тарифні плани та можливі знижки для вашого проєкту.