הסמישינג, זה לא ידוע

(של מרקו רוטיני)
22 / 11 / 21

ה יום שישי השחור, אירוע מסחרי ממוצא אמריקאי אך, עקב הגלובליזציה, מייצג רגע קדם חג המולד המיוחל גם עבורנו.

גם חג המולד מתקרב, שבנוסף למשמעויות הרבה יותר גבוהות יש לו אפיון דחף מסחרי חשוב.

שני אירועים אלו כרוכים בנטייה פסיכולוגית לבזבז, למתנה, לרכוש. נטייה זו משולבת עם הפופולריות העצומה שהושגו בשנים האחרונות על ידי שירותי מסחר אלקטרוני ולוגיסטיקה צרכנית, שהועצמה על ידי מצב החירום האחרון שהפחית עוד יותר את ניידות לחנויות מסורתיות לטובת חוויות קניות באינטרנט.

זה סערה מושלמת מייצג מצב בו סף ההתראה מפני הונאות הוא ברמות גבוהות מאוד, המחייב את הצרכנים לחדד את המודעות שלהם לסיכונים כדי להימנע מהשלכות לא נעימות.

עולם פושעי הסייבר למעשה ברור מאוד לגבי המגמות הללו, כמו גם הצורך למצוא כל הזמן ערוצים יעילים כדי לערער את הביטחון של זה. שרשרת הערך לטובתך.

אחת הטכניקות הנפוצות ביותר היא למקד את המשתמש באמצעות הנדסה חברתית מועבר ישירות לטלפון הנייד.

הודעות אלו מכילות לעתים קרובות קישורים זדוניים, שנועדו כראוי לגנוב אישורים חשובים לפעול בשמו ובשם הקורבן. או קישורים לאתרים המכילים תוכנות זדוניות מסוגל להתקין את עצמו מבלי לעורר חשד בסמארטפונים, טאבלטים או מכשירים אחרים שבהם משתמש הקורבן כדי לבקר באתרים אלו.

טכניקה זו נקראת מחייכת, ניאולוגיזם שנטבע לאחרונה המשלב את ראשי התיבות SM - per הודעה קצרה, כלומר, הודעה קצרה - עם המילה דיוג - מה שמעיד על מתקפה המשתמשת בשורה של שיטות כדי לפתות משתמשים תמימים ולשכנע אותם לנקוט בפעולות זדוניות.

Lo מחייכת יש כמה מאפיינים בולטים, שאנסה להמחיש כדי להגביר את העמידות בפני סוג זה של התקפות אצל אלה שמקבלים את ההודעה - ידוע על פי דיווח לאחרונה1 רק על ידי חלק מהאוכלוסייה האמריקאית בין 22% ל-34% בהתאם לגיל.

אחד הקשיים העיקריים הוא בדיוק לקבוע את האותנטיות של הודעת טקסט, המגיעה לרוב משולחים לא ידועים או ממספרי טלפון שאינם מקודדים בפנקס הכתובות.

גורם סיכון נוסף הוא שאנו רגילים לראות ולהשתמש במה שנקרא הודעות טקסט לינק קצר, כלומר קישורים לאתרים המובנים לצרוך כמה תווים, למשל bit.ly או cutt.ly, ואחריהם רצף קצר של תווים.

כאשר נעשה שימוש בכתובות אלו הם מתחברים למערכות ביניים שמפנות ליעד הסופי שלהם, מה שמאפשר לתוקפים להסוות ביעילות יעדים זדוניים עם מערכת המשמשת עבור כתובות תקפות ולגיטימיות רבות.

לפי גרטנר2, מספר מחקרים מראים ששיעור פתיחת ה-SMS הוא בסביבות 98%, בהשוואה ל-20% עצובים המאפיינים דוא"ל.

כמו כן על פי הדיווח הנ"ל, התקיפות על ידי מחייך גדל ב-328% בשנת 2020!

איך להגן על עצמך אז?

אמצעי נגד חשוב מאוד הוא להעלות את המודעות לסיכון ולהתראה בכל אחד מאיתנו: אם תגיע הודעה שיש חבילה במשלוח או מחכה בדואר עם קישור למידע נוסף ובטוח שלא נישאר לצפות לכלום , אנו מתעלמים מההודעה.

האתרים שהקישורים האלה מפנים אליהם הם לרוב שיבוטים מקוריות מעוצב בדיוק רב, אפילו ביכולת לבצע אימות רב-גורמי חזק.

התוקף יודע למעשה את מספר הטלפון הנייד שלך כי זה המידע שאפשר לו לשלוח לך את ההודעה הראשונה של מחייך.

לאחר מכן, הזנת האישורים שלך תגרום לך להאמין שתהליך האימות דורש שלב נוסף של הזנת הקוד שתקבל - באופן מקרי - ישירות בטלפון הנייד.

בינתיים, דאגתם לספק לפושעים שם משתמש וסיסמה תקפים עבור אמזון, Paypal, Poste ושירותים נוספים.

לפעמים המסרים הללו אמינים ביותר, הם מכוונים להחדיר לנמען תחושת דחיפות באמצעות שפה ספציפית. לדוגמא: "אם לא נקבל תשובה תוך 24 שעות, נחזיר את החבילה לשולח" או "בהיעדר אימות תוך שעתיים נחסום את החשבון".

כדי לתת פרספקטיבה נוספת של עד כמה מתודולוגיית ההתקפה הזו צומחת, אנו יכולים לבחון את הדו"ח לשנת 2020 של מחלקת תלונות פשיעה באינטרנט (IC3)3 מאת ה-FBI האמריקאי: בשנת 2020 מספר הקורבנות של טכניקות התקיפה הללו - הכוללות דיוג, מחייך, מאחל e רוקחות - הם היו 240.000; לשם השוואה, קורבנות של התקפות וירוסים או תוכנות זדוניות באותה שנה היו 1.400!

ארבע הטכניקות שהוזכרו כולן מחייבות את ההתקפה למינוף הנדסה חברתית כדי לשכנע את הקורבן לבצע פעולות. הם שונים במדיום השידור בגלל דיוג להשתמש במייל, מחייך הודעות קצרות באמצעות SMS, הצגת השיחה הקולית, רוקחות אתרי האינטרנט שאליהם מופנה הקורבן.

אז בואו נשים לב היטב - במיוחד בתקופה זו - א אין לקבל הודעות טקסט מזרים. אם בטעות חשבנו שאחד אמיתי הוא מזויף והאדם באמת צריך ליצור איתנו קשר, הוא ינסה שוב או יתקשר אלינו (מכיוון שיש לו את המספר).

במקום זאת, המשך עם א clic פזיז יכול להיות הגורם לפיננסי, לנתונים ולשקט הנפשי שעונת חג המולד צריכה להיות מבשר.