20.09.2025
1 хв
2
1093
У статті ми детально розповідаємо, як працює smishing, які методи соціальної інженерії застосовують кіберзлочинці, що робити у випадку підозрілого SMS та як побудувати ефективний захист. Ви дізнаєтесь про головні ознаки шахрайських повідомлень, реальні приклади атак і прості поради, що допоможуть уникнути ризиків та зберегти ваші особисті дані в безпеці.
Термін «смішинг» може здатися безглуздим, але значення слова «смішинг» менш кумедне, ніж здається. Смішингова атака — це тип фішингової атаки , яка використовує текстові повідомлення як вектор атаки. Вона може покладатися на соціальну інженерію, шкідливі вкладення та шахрайські веб-сайти для обману людей.
Шахрайство зі смішингом може бути легким у виконанні, складним для відстеження та небезпечним за наслідками. Успішна атака зі смішингом може потенційно розкрити ваші паролі, зображення, відео та інші конфіденційні дані шахраю, а також слугувати вектором зараження для встановлення шкідливого програмного забезпечення на вашому смартфоні.
Кожен із мільярдів користувачів смартфонів у всьому світі є потенційною ціллю для смішингу. Тільки у Сполучених Штатах Федеральна торгова комісія зафіксувала майже 400 000 скарг на шахрайство щодо небажаних текстових повідомлень, включаючи смішингові атаки, у 2021 році. Споживачі повідомили про втрати регуляторним органам понад 80 мільйонів доларів того ж року.
Цей посібник допоможе вам уникнути атак смішингу та дізнатися, як запобігти цьому. Читайте далі, щоб отримати докладнішу інформацію про наступне:
Визначення смішингу: що таке смішингова атака в кібербезпеці?
Приклади смішингу
Смішинг проти фішингу
Що можна зробити у разі нападу смішінгу
Як захистити себе від смішіння
Ось коротке визначення смішингу: смішинг – це тип кібератаки, яка відбувається через служби коротких повідомлень (SMS), також відомі як текстові повідомлення. Деякі експерти також можуть визначити смішинг як атаку на будь-який тип текстового повідомлення, а не лише на нативні мобільні системи обміну текстовими повідомленнями, такі як повідомлення на платформах соціальних мереж.
Простіший спосіб визначити смішинг – це назвати його фішинговим текстовим повідомленням. Це призводить до питання: що таке фішинг? Фішинг – це коли зловмисник видає себе за довірену організацію, щоб обманом змусити ціль зробити помилку в кібербезпеці, наприклад, поділитися конфіденційною інформацією, зазвичай електронною поштою. Фішингове текстове повідомлення, також відоме як смішинг, – це фішинг через текстове повідомлення.
Смішинг-атака – це коли зловмисник використовує шкідливі текстові повідомлення для порушення кібербезпеки цілі. Метою смішинг-атаки зазвичай є отримання такої конфіденційної інформації для крадіжки особистих даних або фінансових злочинів:
Імена
Адреси
Імена користувачів
Паролі
Номери кредитних карток
Коди кредитних карток
Банківські дані
Фішингова текстова атака також може бути дуже цілеспрямованою. Коли зловмисник знає номер телефону жертви, він може розробити переконливу атаку. Наприклад, якщо шахрай націлений на мобільний номер фінансового керівника, він може запустити smishing-атаку, яка виглядає як атака від потенційного ділового контакту.
Як і фішинг, смішинг обманом змушує нас повірити, що фальшиві повідомлення є справжніми, щоб ми взаємодіяли з ними без побоювань. Смішинг-атаки працюють, використовуючи деякі або всі наступні функції:
Контекст: Смішингові текстові повідомлення використовують контекст, щоб виглядати справжніми. Текстові повідомлення можуть здаватися відправленими з банку, вашого улюбленого магазину або вашого уряду. Наприклад, шахрайство зі смішингом на тему Податкової служби США , яке краде особисту та фінансову інформацію, набирає обертів, оскільки вони ефективно використовують контекст, щоб завоювати довіру жертви.
Вибір цілі: Жертв шантажу можна вибрати на основі демографічних показників та місцевої приналежності. Наприклад, банда вимагачів може надсилати фальшиві текстові повідомлення з фінансової установи, популярної в певному коді міста, на місцеві номери. Або ж вони можуть надсилати фішингові текстові повідомлення з університету його студентам після отримання доступу до номерів телефонів.
Соціальна інженерія: Атака соціальної інженерії маніпулює емоціями жертви, такими як страх, любов, пожадливість, жадібність, гнів або співчуття, щоб затьмарити її судження. Наприклад, шахрайське повідомлення, яке виглядає як повідомлення від близької людини, може імітувати надзвичайну ситуацію, щоб обманом змусити жертву надіслати грошовий переказ.
Шкідливі вкладення: Фішингове текстове повідомлення може містити шкідливе вкладення, яке виглядає як зображення, відео або документ, але є вірусом, рекламним ПЗ, шпигунським ПЗ, троянським програмним забезпеченням або програмою-вимагачем.
Шкідливі посилання: Атаки Smishing часто використовують шкідливі посилання, шкідливе програмне забезпечення або шахрайські веб-сайти.
Смішинг також працює, спираючись на простоту текстових повідомлень. Ви можете розпізнати фішинговий лист, звертаючи увагу на граматичні помилки, орфографічні помилки, проблеми з форматуванням зображень, дивні адреси електронної пошти та інші порушення. Але текстові повідомлення зазвичай коротші та не містять графіки, такої як логотипи компаній.
Наприклад, типове текстове повідомлення від вашого банку може складатися з кількох речень і містити посилання на веб-сайт магазину або фінансового магазину. На відміну від офіційного електронного листа, таке повідомлення легко підробити.
Хакери рідше допускають граматичні помилки, пишучи одне чи два речення під час фішингової атаки. І їм не потрібно турбуватися про копіювання логотипів, щоб фішингові тексти виглядали автентичними. Вони також можуть використовувати методи підробки ідентифікатора абонента та телефони-пам’ятники, щоб замести свої сліди.
Ви виграли конкурс або отримали приз і повинні його отримати.
Хтось надіслав вам подарунок або купон, який потрібно активувати.
Ваша фінансова установа повинна підтвердити ваші дані.
Для очікуваного грошового переказу на ваш рахунок потрібна ваша авторизація.
Дорога покупка, яку ви зробили, потребує підтвердження.
На вашому телефоні виявлено вірус.
Ваш обліковий запис було заблоковано через підозрілу активність або незвичні спроби входу.
Смішинг та фішинг можуть звучати схоже, але це не зовсім одне й те саме. Отже, яка різниця між фішингом та смішингом? Найбільша різниця між смішингом та фішингом полягає в тому, що смішинг використовує SMS як засіб атаки, тоді як фішинг – це загальний термін для будь-якої електронної пошти, веб-сайту, текстового повідомлення або голосового повідомлення, яке використовує обман для атаки на ціль. Іншими словами, смішинг – це тип фішингової атаки, яка відбувається через текстове повідомлення. Метою обох атак є збір вашої особистої інформації для шахрайської діяльності. Отже, це те, що спільного мають обидва методи.
Перше, що вам слід зробити, це повідомити про атаку до відповідного органу з якомога більшою кількістю деталей. Наприклад, якщо ви стали жертвою smishing-атаки IRS, надішліть електронний лист про атаку на адресу [email protected] з такими деталями:
Номер ідентифікації абонента фішингу.
Знімок екрана нападу.
Копія повідомлення, якщо ви не можете зробити знімок екрана.
Дата, час, часовий пояс і номер одержувача.
Інші організації також були змушені реагувати на ці шахрайства. Наприклад, банки та платіжні компанії, такі як PayPal, відкрили канали повідомлення про фішинг. Якщо ви користуєтеся PayPal, дізнайтеся, як розпізнавати фішингові електронні листи PayPal, щоб захистити свій обліковий запис.
Якщо ви підозрюєте, що стали жертвою атаки з використанням шлюзу, негайно змініть усі свої паролі та PIN-коди. Ваш новий пароль має бути складним та унікальним. Ви можете прочитати наш посібник, щоб дізнатися, як створити надійний пароль.
Зловмисник може спробувати скористатися вашою дебетовою або кредитною карткою після отримання доступу до ваших конфіденційних даних. Ми рекомендуємо після зміни паролів тимчасово заморозити всі ваші картки, щоб запобігти фінансовому шахрайству. Ви можете заморозити свою картку, увійшовши до облікового запису кредитної картки або зателефонувавши до своєї фінансової установи.
Також повідомте емітента вашої кредитної картки про атаку smishing. Вони можуть заблокувати вашу картку та випустити нову з іншим набором цифр.
Слідкуйте за своїми обліковими записами на наявність таких типів підозрілої активності:
Невідомі транзакції на вашому банківському рахунку або рахунку кредитної картки.
Незвичайні місця для входу до ваших облікових записів.
Ваші конфіденційні зображення, відео чи текстові повідомлення витікають назовні.
Друзі отримують від вас підозрілі повідомлення.
Кредити, взяті на ваше ім’я.
Участь у державних програмах фінансової допомоги
Навіть якщо ви не помічаєте жодної негайної підозрілої активності, слідкуйте за своїми рахунками в довгостроковій перспективі після атаки смішингу. Чудовий спосіб контролювати свої фінансові рахунки на наявність порушень – це перевіряти свої кредитні звіти.
Федеральний закон дозволяє вам щороку отримувати безкоштовний кредитний звіт від великого кредитного бюро. Це дорівнює трьом безкоштовним звітам на рік. А до грудня 2023 року кожен у Сполучених Штатах може щотижня отримувати безкоштовний кредитний звіт від усіх трьох бюро.
Визначивши, що текстове повідомлення є шахрайським, ви можете заблокувати його на телефоні iOS або Android. На iPhone перейдіть на сторінку контактів і натисніть «Заблокувати цього абонента» . На телефоні Android перейдіть на сторінку контактів і натисніть « Заблокувати контакт» .
Обидві операційні системи також пропонують фільтри, які дозволяють блокувати спам та інші небажані текстові повідомлення.
Як фільтрувати текстові повідомлення на iPhone:
Перейдіть до Налаштувань.
Натисніть «Повідомлення».
Проведіть пальцем по кнопці поруч із пунктом «Фільтрувати невідомих відправників».
Як фільтрувати текстові повідомлення на Android:
Перейдіть до Повідомлень.
Торкніться трьох крапок, щоб відкрити Налаштування .
Натисніть «Блокувати номери та повідомлення» .
Активуйте функцію визначення номера та захист від спаму.
Атаки з використанням смішингу можуть бути складними, використовувати панікерську мову, шкідливі вкладення, небезпечні посилання та шахрайські веб-сайти для порушення нашої кібербезпеки. Захист від смішингу вимагає готовності з кількох фронтів.
Фішингові повідомлення можуть здаватися терміновими, щоб завадити вам ясно мислити, перш ніж реагувати. Перше, що вам слід зробити після отримання термінового повідомлення, це глибоко вдихнути. Оцініть ситуацію, перш ніж відповідати. Малоймовірно, що законна організація запитуватиме вашу конфіденційну інформацію або платіж через текстове повідомлення. Якщо у вас є сумніви, знайдіть публічно вказаний номер організації на її офіційному вебсайті та зателефонуйте їм безпосередньо.
Перевірте ідентифікатор абонента. Знайдіть номер під ідентифікатором і пошукайте його в Інтернеті, щоб побачити, чи відповідає він контексту дзвінка.
Активуйте багатофакторну автентифікацію (MFA) у своїх облікових записах, щоб захистити їх від хакерів, які можуть мати доступ до ваших облікових даних для входу. MFA змушує користувачів автентифікувати свою особу іншим способом, якщо під час спроби входу виявлено підозрілу активність.
Атаки Smishing можуть вимагати від вас терміново відкрити посилання, щоб скористатися вигідною пропозицією або сплатити податки до Податкової служби США та уникнути арешту. Ці посилання можуть привести вас на шкідливі веб-сайти, які крадуть дані вашої кредитної картки чи іншу конфіденційну інформацію. Найкраще уникати натискання будь-яких посилань у текстових повідомленнях. Натомість перевірте джерело повідомлення.
Фільтрування дзвінків може допомогти захистити вас від атак smishing. Повідомлення з невідомого номера може бути частиною шахрайства.
Уникайте зберігання даних вашої кредитної картки на телефоні у вигляді веб-форм, текстових файлів або навіть скріншотів. Атака Smishing, яка встановлює троян або шпигунське програмне забезпечення на ваш пристрій, може легко викрасти цю інформацію. Виявляйте ознаки такої атаки, пов’язані з шкідливим програмним забезпеченням. Крім того, використовуйте безкоштовний антивірус, щоб регулярно сканувати свою систему на наявність вірусів, програм-вимагачів, шпигунських програм, рекламного ПЗ та троянських програм.
Для банків не є чимось незвичним надсилати вам текстові повідомлення про нещодавні покупки та кредитні ліміти. Але навряд чи ваш банк запитуватиме вашу конфіденційну інформацію для переказу через текстове повідомлення. Завжди телефонуйте у свій банк, щоб підтвердити будь-який запит за допомогою текстового повідомлення або електронної пошти.
Ніколи не повідомляйте імена користувачів та паролі в текстових повідомленнях, навіть якщо ви довіряєте джерелу. Хакери можуть знайти цю інформацію в папці надісланих повідомлень вашого пристрою.
Як зазначалося раніше, спостерігається помітне зростання фішингу через SMS. Смішинг – це простий вектор атаки, який шахраї використовують проти мільйонів людей, які покладаються на текстові повідомлення для спілкування.
Злочини, пов’язані зі сміттям, можуть призвести до різних проблем із безпекою та конфіденційністю, включаючи крадіжку особистих даних. Експерти кажуть, що наслідки крадіжки особистих даних можуть тривати кілька років, починаючи від втрати часу, грошей, податкового боргу та пошкодженої кредитної історії до судимості.
