SMS-спуфінг: що це таке, як працює та як не потрапити в пастку

La крадіжка особистих даних через SMS та дзвінки Це стало одним із найнебезпечніших і найпоширеніших шахрайств, що впливає як на окремих осіб, так і на бізнес; ознайомтеся з останніми Новини про комп'ютерну безпеку та кібербезпеку.

У цій статті ми детально розповімо Що таке SMS-спуфінг, як він працює та як він пов'язаний з іншими видами спуфінгу? (у дзвінках, електронних листах, веб-сайтах, IP, DNS, GPS тощо), а також ознаки їх виявлення та практичні заходи, які ви можете застосувати для захисту себе у повсякденному житті, як особистому, так і професійному, а також у питаннях безпека та конфіденційність у програмах.

Що таке спуфінг і чому він такий небезпечний?

Коли ми говоримо про спуфінг, ми маємо на увазі набір методів крадіжки особистих даних Зловмисники використовують їх, щоб видавати себе за довірену особу, компанію чи організацію. Мета завжди однакова: обманом змусити жертву розкрити конфіденційні дані, здійснити платежі або виконати дії, вигідні шахраю.

Кіберзлочинці поєднують спуфінг з різними формами Фішинг (обман з метою крадіжки даних)Ці шахрайські схеми можуть відбуватися через електронну пошту, SMS, телефонні дзвінки або фальшиві веб-сайти. У банківському секторі ці шахрайські схеми зосереджені, зокрема, на крадіжці облікових даних онлайн-банкінгу, даних карток, кодів підтвердження SMS (OTP) або іншої особистої інформації, яка може бути використана для скоєння фінансового шахрайства або навіть інших злочинів, пов'язаних з крадіжкою особистих даних.

Важливо пам’ятати про це Надійні фінансові установи не запитують інформацію через SMS, телефон чи електронну пошту. Слід запросити таку інформацію, як ім’я користувача та пароль онлайн-банкінгу, коди, надіслані на ваш мобільний телефон, номер картки, термін дії або тризначний код безпеки (CVV/CVC). Якщо хтось запитує цю інформацію через ці канали, вам слід негайно підозрювати себе.

SMS-спуфінг: що це таке і як працює

El Підробка SMS Це техніка, яка дозволяє зловмиснику надсилати текстове повідомлення, яке виглядає як повідомлення від законного відправника (зазвичай банку, кур'єрської компанії або державної установи), хоча насправді його надсилає злочинець. Така практика часто використовується у варіанті фішингу, який називається розмивання, в якому обман надходить через SMS.

На практиці шахрай Зміна номера або імені відправника яке ви бачите на екрані свого мобільного телефону (поле, відоме як Sender ID). Завдяки цьому шахрайське повідомлення може з’явитися в тому ж ланцюжку SMS, де ви раніше отримували легітимні повідомлення від свого банку або надійного сервісу. Така видимість безперервності змушує користувача послабити пильність.

Вміст цих SMS-повідомлень зазвичай включає тривожні або термінові повідомленняЦі шахрайські схеми часто включають: нерозпізнані стягнення плати, неминуче закриття облікового запису, необхідність оновлення інформації, нібито призи або повернення податків тощо. Далі вони запрошують вас перейти за посиланням або зателефонувати за номером телефону, який насправді не належить виданій за вас особі.

Одна з найпоширеніших тактик полягає в тому, щоб повідомлення містило посилання на підроблений веб-сайт, який імітує веб-сайт банкуЦя сторінка може бути майже ідентичною реальній: логотипи, кольори, схожий текст і навіть дуже схожа URL-адреса. Мета полягає в тому, щоб ви ввели свої облікові дані онлайн-банкінгу, дані картки та коди, отримані через SMS, щоб злочинець міг отримати доступ до вашого облікового запису.

В інших випадках SMS-повідомлення спрямовує жертву до шахрайський номер телефонуде нібито «менеджер» або «агент» видає себе за співробітника банку, запитує особисті дані та крок за кроком інструкціями особі щодо авторизації переказів або платежів, вважаючи, що вона «вирішує проблему безпеки».

Чому фальшиві SMS-повідомлення плутають з офіційними

Одне з найчастіших питань — як можливе шахрайське повідомлення з'являються в одному потоці ніж легітимні SMS-повідомлення від банку. Пояснення полягає в тому, як мобільні телефони та мережі обробляють ідентифікатор відправника.

Пристрої групують розмови виключно на основі Ідентифікатор відправникаЦьому буквено-цифровому полю бракує надійної перевірки та глобального юридичного підтвердження. Іншими словами, мережа та мобільні пристрої припускають, що будь-хто, хто видає себе за «Банк X» або використовує певний номер, насправді є таким, без суворого контролю.

Ця лазівка ​​дозволяє кіберзлочинцям узурпувати назву судноплавства, що використовується банками та компаніямиОскільки немає надійної автентифікації власника псевдоніма, термінал користувача змішує фальшиві повідомлення зі справжніми, створюючи видимість повної нормальності.

Результат такий навіть уважні та досвідчені користувачі Вони можуть потрапити в пастку, оскільки канал і контекст (ланцюжок повідомлень від «вашого банку») здаються цілком автентичними, а тон повідомлення грає на страху, терміновості або відчутті фінансових втрат.

Підробка ідентифікатора абонента: видавання себе за іншу особу під час телефонних дзвінків

El Підробка ідентифікатора абонента Спуфінг телефону є еквівалентом спуфінгу SMS, але застосовується до дзвінків. Замість маніпулювання відправником SMS, зловмисник підроблює номер, який відображається на ідентифікаторі абонентаТаким чином, на екрані мобільного телефону може відображатися реальний номер банку, офіційного органу або навіть відомого контакту, навіть якщо дзвінок надходить з іншого місця.

За допомогою цієї техніки шахрай вдає, що банківський працівник, менеджер з обслуговування клієнтів або співробітник офіційної служби та зв’язується з жертвою, заявляючи про термінову проблему: підозрілі рухи, спроби несанкціонованого доступу, блокування картки, необхідність негайної перевірки даних тощо.

Під час розмови людина на іншому кінці зазвичай запитує висококонфіденційні дані: ім’я користувача та пароль цифрового банкінгу, коди, отримані через SMS, повний номер картки, PIN-код, персональні дані (ідентифікаційний номер, дата народження, адреса) або навіть те, що жертва здійснює перекази «для блокування шахрайства», які насправді спрямовуються на рахунки, контрольовані злочинцями.

Наслідки можуть бути серйозними: прямий доступ до банківських рахунківЦе включає несанкціоновані перекази, відкриття рахунків на ім'я жертви або крадіжку особистих даних для скоєння інших злочинів. Тому, якщо під час розмови вас запитують інформацію про безпеку, вам слід покласти слухавку та самостійно зателефонувати за офіційними номерами телефонів банку.

Щоб виявити можливий випадок підробки ідентифікатора абонента, доцільно перевірити, чи Вони наполягають на терміновості проведення операції, якщо тон залякує або якщо питання незвичайні (наприклад, запит на повні паролі чи коди, які банк ніколи не запитує у вас по телефону).

Інші дуже поширені види підміни

Хоча підробка SMS та підробка ідентифікатора абонента особливо небезпечні у фінансовому секторі, існують й інші методи. багато інших варіацій спуфінгу які також прагнуть обдурити та вкрасти інформацію чи гроші. Розуміння їх допомагає розпізнавати закономірності та краще захищати себе.

Підробка електронної пошти

В підробка електронної поштиЗловмисник надсилає електронні листи, які виглядають так, ніби надходять з легітимної адреси: банку, відомої компанії або навіть особистого контакту. Хитрощі полягають у підробці поля відправника (FROM), щоб на перший погляд домен здавався надійним, хоча при детальнішому розгляді зазвичай так воно і є. дещо відрізняється від реального домену сутності (наприклад, змінити літеру, додати дефіс або використати інше розширення).

У цих електронних листах зазвичай запитують у користувача надати особисті або фінансові даніЗавантажте вкладений файл або перейдіть за посиланнями, що ведуть на шахрайські сторінки. У багатьох випадках вони використовуються для встановлення шкідливого програмного забезпечення (вірусів, троянів, кейлогерів) або для відкриття веб-сайту, ідентичного банківському, де жертва введе свої облікові дані.

Підробка веб-сайту або домену

El веб-спуфінг або спуфінг домену Це передбачає створення підробленого веб-сайту, який імітує легітимний (банк, інтернет-магазин, державну установу тощо). URL-адреса, що відображається в адресному рядку браузера, зазвичай дуже схожа, але не ідентична URL-адресі справжнього сайту. Зловмисники часто поєднують цей метод зі спуфінгом SMS або електронної пошти, щоб спрямувати трафік на ці шахрайські сайти.

Потрапивши на фальшивий веб-сайт, жертва вводить ваші облікові дані для входу, дані картки або інша конфіденційна інформація вважаючи, що вони знаходяться на оригінальній сторінці. Злочинці фіксують ці дані в режимі реального часу та можуть негайно використовувати їх для доступу до облікового запису, здійснення покупок або спустошення балансу.

Підробка IP-адрес

В Підробка IP-адресКіберзлочинець підробляє IP-адресу іншого комп’ютера, щоб цільова система вважала, що з’єднання походить з надійного джерела. Таким чином, вони можуть обійти фільтри безпеки, отримувати доступ до обмежених ресурсів або використовувати довіру, що існує між машинами в одній мережі.

Цей тип атаки часто використовується як частина складніші стратегіїтакі як атаки типу «відмова в обслуговуванні» (DDoS) або вторгнення в корпоративні мережі, і можуть призвести до крадіжки конфіденційної інформації, якщо не вжито належних заходів захисту.

Підробка DNS

El DNS спуфинг Він спирається на маніпулювання системою доменних імен (DNS), яка перетворює назви веб-сайтів на IP-адреси. Зловмисники заражають маршрутизатор або комп’ютер жертви або маніпулюють відповідями DNS, щоб, коли користувач відвідує відомий веб-сайт, його непомітно перенаправляли на шкідливий сайт. шахрайський сайт, контрольований ними.

З точки зору користувача, все здається нормальним (вони вводять URL-адресу, яку завжди використовують), але насправді вони потрапляють на підроблений веб-сайт, де можуть крадіжка облікових даних, банківських реквізитів або встановлення шкідливого програмного забезпечення не усвідомлюючи цього.

Підробка GPS

El Підробка GPS Це передбачає підробку або маніпулювання сигналом позиціонування, щоб пристрій вважав, що він знаходиться в іншому місці, ніж насправді. Цей метод можна використовувати для обманювати навігаційні системи, змінюючи транспортні маршрути, модифікуючи записи про місцезнаходження або навіть вчиняючи шахрайство, пов’язане з доставкою чи маршрутами, що оплачуються на основі відстані.

Наприклад, водій-зловмисник може використовувати підробку GPS, щоб обдурити платформу та змусити її повірити, що він подорожував. більше кілометрів, ніж насправді і таким чином стягувати більше плати або перенаправляти транспорт в іншу зону, не виявляючи це системою одразу.

Атаки типу «людина посередині» (MitM)

При атаках типу Людина посередині (MitM)Кіберзлочинець позиціонує себе між двома сторонами спілкування (наприклад, користувачем та вебсайтом) та перехоплює рух транспорту, не помічаючи жодного з нихПоширений спосіб зробити це – створити фальшиву мережу Wi-Fi з назвою, дуже схожою на назву легітимної мережі Wi-Fi (з кафе, готелю, університету тощо).

Якщо користувач підключається до цієї мережі-пастки, зловмисник може захопити паролі, дані карток, електронні листи та інша конфіденційна інформаціяУ деяких випадках він також може змінювати трафік, перенаправляючи на фальшиві веб-сайти або впроваджуючи шкідливий код.

Пародія на обличчя

El підробка обличчя Він зосереджений на обмані систем розпізнавання облич. Зловмисник використовує фотографії, відео або моделі обличчя іншої людини щоб розблокувати мобільні телефони, отримати доступ до банківських додатків або обійти біометричний контроль автентифікації.

Якщо системі бракує розширених механізмів виявлення живих організмів (наприклад, аналізу глибини, природних рухів або відбиттів світла), її можна обдурити та дозволити... несанкціонований доступ до облікових записів і послуг дуже чутливий.

Спуфінг у професійному та діловому середовищі

Бізнес, від великих корпорацій до малих і середніх підприємств, також часто стає мішенями цих методів імперсонації. У професійній сфері зловмисники адаптують свої повідомлення до видаючи себе за начальників, колег, постачальників або клієнтів з якими організація взаємодіє щодня.

Для них є типовим намагатися переконати співробітників виконувати свою роботу термінові платежі на рахунки, контрольовані злочинцямиВони можуть надавати конфіденційну інформацію (дані клієнтів, внутрішні звіти, облікові дані для входу) або завантажувати документи, що містять шкідливе програмне забезпечення. Багато з цих шахрайств відомі як шахрайство з боку генерального директора або компрометація бізнес-електронної пошти (BEC).

Щоб зменшити ризик, ключовим є навчити всю команду передовим практикам кібербезпеки та посилити внутрішні процеси перевірки (наприклад, вимагаючи подвійної перевірки змін у банківських рахунках постачальників або великих переказів). Також корисно мати технічні рішення, які аналізують електронні листи, блокують підозрілі повідомлення та відстежують аномальну активність.

Деякі фінансові установи пропонують послуги з кібербезпеки, спеціально призначені для бізнесу, такі як централізовані платформи, що виявляють та блокують спроби фішингу та спуфінгу, оцінюють рівень ризику та забезпечують постійне навчання співробітників, щоб вони навчилися розпізнавати шкідливі повідомлення.

Правова база та регуляторні заходи проти спуфінгу

Масове зростання шахрайства на основі спуфінгу спонукало регуляторів затвердити спеціальні правила для обмеження цієї практикиОдин із напрямків дій — змусити операторів телекомунікацій посилити контроль за нумерацією, яка використовується для дзвінків та SMS.

Серед найбільш помітних заходів є зобов'язання блокувати зв'язок із підробленими, маніпульованими або непризначеними номерами та регулювання ідентифікації номерів, що використовуються під час дзвінків до служби підтримки клієнтів та відділів продажів. Це має на меті ускладнити використання псевдонімів або номерів, які не відповідають фактичній особі.

Навіть попри це, правового та технічного захисту недостатньо: залишається важливим, щоб користувачі Зберігайте критичне та розсудливе ставлення Будьте обережні з будь-якими повідомленнями, які містять запити на конфіденційну інформацію або змушують вас діяти терміново, особливо якщо вони надходять через SMS або телефонний дзвінок.

Як розпізнати та уникнути підробки SMS та ідентифікації абонента

Хоча жодна система не є безпомилковою, існує низка рекомендацій, які допомагають мінімізувати ризик стати жертвою цих шахрайств. Перше — розробити певний «цифровий здоровий глузд»З підозрою ставтеся до будь-яких неочікуваних повідомлень чи дзвінків із запитом інформації або такими, що викликають тривогу.

Коли ви отримуєте підозріле текстове повідомлення, золоте правило... Не натискайте на посилання включено до тексту, і не телефонуйте за номерами, що відображаються в повідомленні. Якщо повідомлення виглядає як повідомлення від вашого банку, перейдіть безпосередньо на офіційний веб-сайт, ввівши URL-адресу у браузері, або відкрийте офіційний додаток і перевірте там, чи є справді сповіщення або проблема.

У випадку дзвінків, навіть якщо ви бачите номер банку на екрані, не слід його надавати. паролі, коди підтвердження, дані картки або ключі підписуЯкщо вони наполягатимуть, покладіть слухавку та самостійно зателефонуйте до служби підтримки клієнтів, номер якої вказаний на офіційному веб-сайті або на звороті вашої картки.

Також бажано активувати та скористатися перевагами двофакторна автентифікація (2FA) у критично важливих сервісах, таких як онлайн-банкінг, електронна пошта чи професійні платформи, але завжди пам’ятайте, що коди, надіслані через SMS або до програми автентифікації, ніколи не слід передавати нікому, навіть якщо людина стверджує, що вона з банку.

Зрештою, підтримуйте мати оновлені рішення для мобільних телефонів та безпеки (антивірус, антиспам, URL-фільтри) додає додатковий рівень захисту від шкідливих програм і небезпечних посилань, зменшуючи ймовірність зараження або перенаправлення на фішингові сайти.

Загальні рекомендації щодо захисту від спуфінгу

Окрім кожного конкретного каналу (SMS, дзвінок, електронна пошта, веб-сайт), існує низка найкращих практик, які допомагають захиститися практично від будь-якого типу спуфінгу. Одним з найважливіших є Не поширюйте конфіденційну інформацію через незахищені канали або неперевірені, особливо якщо ви не ініціювали спілкування.

У електронному листі, перш ніж натискати на посилання або завантажувати вкладення, уважно перегляньте домен відправника та вміст повідомленняЗвертайте увагу на незначні орфографічні помилки, незвичайні домени або запити на інформацію, яку ваш банк ніколи не запросив би електронною поштою. Якщо щось здається не так, краще видалити повідомлення або зв’язатися з банком безпосередньо через інший канал.

Під час перегляду веб-сторінок звикніть дивитися на Повна URL-адреса в рядку браузера і перевірте, чи вона точно відповідає офіційній адресі організації. Остерігайтеся веб-сайтів, назви яких занадто схожі на оригінали, але не ідентичні, або тих, які ви отримали за посиланнями в небажаних електронних листах чи текстових повідомленнях.

У публічних або відкритих мережах Wi-Fi уникайте доступу до конфіденційних служб, таких як онлайн-банкінг, корпоративна електронна пошта або панелі адмініструванняЯкщо вам це потрібно, використовуйте надійний VPN для шифрування з’єднання та зменшення ймовірності перехоплення вашого трафіку кимось.

Зрештою, пам’ятайте, що агресивний тон або той, що намагається вас підштовхнути, зазвичай є поганою ознакою: Жодна законна банківська процедура не вимагає негайних рішень під загрозою Ви можете втратити гроші за лічені хвилини. Якщо ви помітили тиск або драму в повідомленні чи дзвінку, зупиніться, переведіть подих і самостійно перевірте інформацію.

Поєднання знань, здорового скептицизму та деяких базових технічних заходів значно ускладнює для кіберзлочинця успіх у використанні методів спуфінгу, будь то через SMS, дзвінки, електронну пошту, фальшиві веб-сайти чи інші цифрові канали.