СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
03.08.2023
#Статьи #ИБ#ИИ#Инфра#Облака

Смишинг

Смишинг

Смишинг — разновидность фишинга. Только в этом случае злоумышленники проводят свои атаки не по электронной почте, а через СМС-сообщения. Согласно некоторым источникам, смишингом считаются и фишинговые сообщения в мессенджерах, но многие ведущие компании по информационной безопасности, среди которых и «Лаборатория Касперского», считают фишинг по СМС отдельным явлением.

Количество атак с применением смишинга растёт из года в год по всему миру. Например, не так давно Налоговая служба США предупреждала своих граждан о такой злонамеренной активности мошенников, а буквально на днях вышла новость о распространении вредоносного ПО SpyNote для Android исключительно по СМС.

Согласно последнему исследованию Proofpoint, количество смишинговых атак в Канаде (скорее всего, и в других странах тоже) увеличилось на 500%, в результате чего граждане страны «страдают от цунами мошеннических атак на их телефоны».

Редакция CISOCLUB поговорила с экспертами отрасли на тему смишинга. Мы попросили их рассказать о ключевых признаках смишинг-атак, об актуальности этой проблемы на сегодняшний день, о механизмах защиты против такой вредоносной киберактивности, о текущем уровне осведомленности граждан, а также задали другие интересные вопросы на тему смишинга.

На наши вопросы сегодня ответили:

  • Владислав Иванов, аналитик отдела анализа и оценки цифровых Infosecurity a Softline сompany.
  • Андрей Юрченко, директор департамента клиентских проектов компании Axoft.
  • Яков Гродзенский, руководитель направления информационной безопасности системного интегратора CTI.
  • Алексей Плешков, заместитель начальника Департамента защиты информации Банка ГПБ (АО), независимый эксперт-практик по информационной безопасности; участник обсуждения темы противодействия смишингу, приглашенный Академией Информационных Систем эксперт.

Назовите основные признаки смишинг-атаки? Какие «красные флаги» должны насторожить пользователей?

Владислав Иванов, аналитик отдела анализа и оценки цифровых Infosecurity a Softline сompany:

Владислав Иванов, аналитик отдела анализа и оценки цифровых Infosecurity a Softline сompany

«Смишинг-атаки весьма хитры и могут легко запутать даже опытных пользователей. Злоумышленники, используя методы социальной инженерии, отправляют сообщения, которые кажутся на первый взгляд подлинными.

Например, пользователь может получить сообщение от своего банка с требованием немедленно обновить информацию в личном кабинете по фейковой ссылке с формой для ввода личных данных. Мы рекомендуем не оставлять свою персональную информацию на подозрительных ресурсах и всегда обращать внимание на детали, например, на странное форматирование текста, опечатки в названиях организаций или необычайно высокую степень срочности».

Яков Гродзенский, руководитель направления информационной безопасности системного интегратора CTI:

Яков Гродзенский, руководитель направления информационной безопасности системного интегратора CTI

«Опасность смишинга в том, что мы часто используем смартфон «на бегу», экран небольшой, как и само сообщение, а текст содержит слишком мало информации, которая могла бы насторожить. Призыв «перейти по ссылке и получить приз» уже известен большинству пользователей. Тем не менее, в определенный период – например, когда человек действительно участвует в розыгрыше, ждет информацию именно по SMS или просто был невнимателен – даже такой самый простой обман может завершиться потерей личных данных, а впоследствии и денег.

Неизвестные источники с кликбейтными формулировками являются первым фактором, указывающим на опасность такого сообщения. Однако большую опасность представляют SMS, маскирующиеся под рассылки банков, страховых компаний, онлайн-магазинов и других реальных сервисов. Просьба подтвердить заказ, если вы его не совершали, сообщение технической поддержки сервиса, в который вы не обращались, предложение финансовых услуг от банка, клиентом которого вы не являетесь – ко всем подобным SMS стоит относиться очень внимательно. Это может быть просто реклама, но проявлять бдительность всегда актуально».

Алексей Плешков, заместитель начальника Департамента защиты информации Банка ГПБ (АО):

Алексей Плешков, заместитель начальника Департамента защиты информации Банка ГПБ (АО)

«У смишинг-атак нет явных признаков, кроме шаблона смс-сообщения: текст плюс ссылка (либо QR-код). Именно этим он и опасен для обывателя. Получив смс с доверенного или короткого номера, жертва не сможет проверить наличие иных, кроме визуальных, типовых признаков в сообщении.

Такой же шаблон регулярно используется в ритейле для рассылки смс-уведомлений клиентов или рекламы. К сожалению, смс-канал (на уровне конечного получателя) не позволяет проанализировать реальные метаданные отправителя смс, выявить факт подмены номеров или сравнить маршрут следования сообщения. В основном смишинг детектируют по содержанию сообщения (призыв к действию, маркер срочности, не запрошенное жертвой обращение/предложение без деталей и пр.)».

Насколько актуальна проблема смишинга сейчас по сравнению с прошлыми годами?

Алексей Плешков заявил, что смишинг нельзя называть каким-то новым видом атак, потому как рассылка фишинговых смс-сообщений со ссылками на фейковое мобильное приложение или фишинговую страничку в интернет получило свое развитие в период активного появления у абонентов мобильных операторов смартфонов с подключенным интернетом и возможностью беспрепятственного размещения или скачивания из соответствующих хранилищ приложений для телефонов (арр).

«Если анализировать статистику ЦБ по операциям без согласия клиента, совершенным с использование мобильного телефона, куда и входит смишинг-атаки, например, вот здесь, то она говорит об увеличении количества таких кейсов по отношению к аналогичному периоду в прошлом году. Соответственно смишинг-атаки продолжают быть актуальными», — отметил эксперт.

Яков Гродзенский подчеркнул, что самые современные технические средства для обеспечения информационной безопасности сталкиваются с тем, что человек в этой системе остается слабым звеном. Усиление мер, применяемых службами противодействия хакерам, приводит к тому, что злоумышленникам становится проще воздействовать непосредственно на человека, взяв на вооружение обширные познания в социологии и психологии.

«Распространение методов социальной инженерии, к которым относится в том числе смишинг, кратно растет последние несколько лет. Эта тенденция, безусловно, продолжится в связи с развитием технологий искусственного интеллекта», — уточнил руководитель направления информационной безопасности системного интегратора CTI.

По словам Владислава Иванова, проблема смишинга с каждым годом становится все более актуальной. Это связано с постоянным развитием технологий и мобильных устройств, что предоставляет злоумышленникам новые возможности и инструменты для проведения атак. Например, мошенники могут использовать комплексные атаки с перехватом СМС-сообщений или создавать фишинговые веб-страницы, которые кажутся настолько реалистичными, что даже опытные пользователи могут стать жертвами обмана.

Какие механизмы защиты существуют против смишинг-атак? Можете привести примеры механизмов защиты, которые могут использовать как организации, так и отдельные пользователи?

Яков Гродзенский уверен, что для пользователя самый простой и самый действенный способ защиты для пользователя – не переходить ни по каким ссылкам, поступившим через SMS. Во всех сервисах, где это предусмотрено, стоит использовать двухфакторную идентификацию. Операционные системы смартфонов блокируют установку приложений из неизвестных источников, поэтому стоит внимательно оценить возможные риски, если вы все же что-то загружаете не через официальные магазины.

«Для организаций важным методом является повышение осведомленности клиентов о возможных действиях злоумышленников. Например, банки через свои официальные каналы информируют клиентов о том, что никогда не запрашивают критически важную информацию через SMS, не присылают ссылки на обновление приложения и не перенаправляют на неофициальные сайты, а если это происходит, то клиент имеет дело с мошенниками», — отметил специалист.

Владислав Иванов напомнил, что механизмы защиты от смишинг-атак постоянно совершенствуются, чтобы быть эффективными в борьбе с новыми методами мошенников. Например, некоторые мобильные приложения предоставляют опции для пометки сообщений как подозрительных или блокировки нежелательных номеров.

«Создатели операционных систем стараются встраивать защиту от подобного вида мошенничества и добавлять уведомления, например, «возможно спам» и т. п. Организации и пользователи также могут использовать многофакторную аутентификацию, чтобы обезопасить свои аккаунты от несанкционированного доступа».

Андрей Юрченко, директор департамента клиентских проектов компании Axoft:

Андрей Юрченко, директор департамента клиентских проектов компании Axoft

«Смишинг, как одна из версий фишинга, рассчитан на доверчивость пользователя. При этом, цели, преследуемые злоумышленниками, несколько отличаются от фишинговых – разведка, проникновение, работа внутри инфраструктуры и т. д.

Смишинг рассчитан на быстрый способ получения конфиденциальных данных пользователя за счет кликания на заранее подготовленные вредоносные сообщения и ссылки. Методы борьбы здесь во многом схожи с антифишингом, но нужно учесть: в защите пользователя так или иначе участвует оператор связи, который уже на своей стороне может заблокировать подобные рассылки. Наиболее надежным инструментом борьбы является информационная гигиена – не переходить по неизвестным и непроверенным ссылкам, не подтверждать, не открывать и пр.

Что касается угрозы для корпоративной сети – упоминания смишинга как одного из векторов угроз для компаний есть, и это, пожалуй, оправданно. Но на практике я не слышал о таких инцидентах из первых рук. Типовой фишинг является все-таки более надежным инструментом для злоумышленника».

Алексей Плешков уверен, что самый действенный механизм для защиты от смишинга (помимо повышения осведомленности граждан в вопросах защиты информации и противодействия современным видам мошенничества) — это установка на телефоны и регулярное обновление приложений, позволяющих выявлять и блокировать рекламные, спамовые и фишинговые сообщения, поступающие по различным каналам: электронная почта, смс, мгновенные мессенджеры, приложения для работы с социальными сетями, всплывающие баннеры, интерактивная реклама в интернете и пр.

«Эти приложения-блокираторы не могут гарантировать 100% защиту пользователя (пользователь всегда может стать первой жертвой новой, ранее не применяемой в этом канале, кибератаки), однако после реализации хотя бы одного инцидента, выявления попытки смишинга (например) внимательным пользователем, отправки соответствующего маркера в облако и появления на сервере (в облаке) пометки о мошенничестве, обновление о данной схеме поступит на телефоны всех остальных пользователей данного приложения, и новые попытки мошенников будут выявлены и заблокированы.

На стороне сотового оператора наиболее эффективным способом защиты от смишинга остаётся внедрение и поддержание в актуальном состоянии системы потоковой фильтрации смс-траффика (подкласс Антифрод системы)».

Как повышение уровня осведомленности пользователей помогает бороться со смишингом?

Алексей Плешков выразил уверенность в том, что повышение осведомленности пользователей — это важный аспект защиты от смишинга. Однако назвал ошибкой рассчитывать только на организационную составляющую защиты в вопросе выявления и противодействия смишингу. По следующим причинам:

  1. Мошенники регулярно изменяют социальную составляющую в тексте смс сообщения. Таким образом не меняется шаблон, по которому потенциальная жертва должна визуально определить фишинг (текст плюс ссылка), но регулярно меняется содержание. Содержание смс-сообщения (с т. з. социнженерии), при должной подготовке злоумышленников, например «сообщение мужу с номера жены о проблемах с детьми», «сообщение с номера телефона родителей о ДТП» или «сообщение с номера телефона бухгалтера о внеплановой премии за проект», может в моменте оказаться важнее (для жертвы), чем соотнесение с шаблоном смишинга, и атака сработает.
  2. СМС чаще всего читаются «на бегу»/в спешке. Таким образом, правильно подобранный для жертвы момент отправки смишингового смс-сообщения (в аэропорту, в очереди в кассу, за рулем и пр.) может оказать критичным и привести атаку к нужному злоумышленнику результату.
  3. К смишингового телефону жертвы в момент поступления смс-сообщения от злоумышленников могут иметь доступ третьи лица (жена, дети); рассчитывать на то, что и они, так же, как и владелец телефона с высоким уровнем осознанности в вопросах кибератак, смогут гарантированно выявить смишинг и не среагируют на социальную инженерию в смс-сообщении, нельзя.

Владислав Иванов заявил, что повышение осведомленности пользователей – это один из наиболее эффективных способов борьбы со смишингом. Регулярные обучающие программы и кампании по информационной безопасности помогают пользователям понимать, какие угрозы существуют, и какие шаги нужно предпринимать для защиты своих данных. Например, пользователи могут учиться распознавать подозрительные URL-адреса, проверять подлинность отправителей сообщений и не предоставлять личную информацию без должной проверки.

Какова роль мобильных операторов и поставщиков услуг в борьбе против смишинга?

Андрей Юрченко рассказал, что операторы связи активно изучают типы смишинговых атак и блокируют их вместе со спамом, что достаточно надежно. Средства корпоративной защиты и сама архитектура используемых с мобильных устройств ИТ-сервисов мешают злоумышленнику, даже при успешной активации вредоносного элемента через смишинг в обход оператора связи и внимания пользователя.

Как заметил Алексей Плешков, если рассматривать только канал рассылки и получения фишинговых смс- сообщений, то роль сотовых операторов, конечно, ключевая. Наличие антифрод системы и регулярное ее обновление позволяет очищать смс-трафик от фишинга до попадания смс-сообщений на телефон потенциальной жертвы.

«К сожалению, крайне мало злоумышленников рассчитывают только на смс-канал при рассылке фишинговых сообщений. Это канал, хоть и потенциально более эффективный (за счет доверия жертв к смс), но существенно дороже (с т. з. времени и ресурсов), а за счет участия в цепочки рассылки сотовых оператора (может быть не один, а несколько сотовых операторов, если смс-сообщение отправлено из-за границы РФ) вообще не гарантирует попадания фишингового смс-сообщения на телефон жертве. И здесь влияние сотового оператора ключевое. Поэтому злоумышленники часто помимо классического смишинга (канал СМС) отравляют потенциальным жертвам фишинговые сообщения через мобильные мессенджеры, в социальных сетях и по электронной почте. А в этих каналах влияние сотовых операторов минимальное».

Владислав Иванов подчеркнул, что мобильные операторы и поставщики услуг активно принимают участие в предотвращении смишинг-атак. Они могут применять фильтры для выявления подозрительных сообщений, блокировать спам и оповещать пользователей о потенциальных угрозах.

«Кроме того, операторы могут регулярно обновлять свои системы безопасности, чтобы предотвратить использование их сетей для распространения вредоносного программного обеспечения».

Какие типы данных обычно становятся целью смишинг-атак? Есть ли определенные секторы или группы людей, которые особенно уязвимы?

Владислав Иванов: «Смишинг-атаки могут быть направлены на разнообразные типы данных, в зависимости от целей злоумышленников, например, на получение данных кредитных карт для осуществления незаконных транзакций. Также на прицеле мошенников оказываются личные данные, такие как ФИО, номера телефонов, паспортные данные и т. п., чтобы использовать информацию для создания поддельных аккаунтов или баз для пробивов.

Что касается уязвимых групп, то часто страдают пожилые люди, не слишком знакомые с технологиями. Также в группу риска входят подростки и дети, которые могут быть более доверчивыми и менее опытными в распознавании мошенничества».

Алексей Плешков: «С точки зрения промежуточных целей смишинг-атаки делятся на две группы:

  1. Установка на телефон жертвы приложения для удаленного доступа к телефону через интернет.
  2. Переадресация жертвы на фишинговый сайт и получение от жертвы набора чувствительных данных.

Однако, в разное время набор запрошенных данных может меняться. Например, в период эпидемии COVID злоумышленники рассылали по СМС ссылки на фейковый сайт Роспотребнадзора, где предлагали жертве по номеру паспорта и ФИО определить размер компенсации от государства. А далее, тем, кто на это соглашался, при вводе номера банковской карты предлагали эту компенсацию немедленно получить. В третьем квартале 2022 года злоумышленники рассылали сообщение от имени Министерства обороны РФ. В смс жертве предлагали по номеру военного билета/паспорта узнать о присутствии жертвы в списках на мобилизацию. И т.д.

Типовой профиль жертвы смишинга следующий:

  • пользователь смартфона (с кнопочным телефоном атака не реализуется);
  • телефон постоянно подключен к Интернет + есть возможность/умение скачивать и устанавливать мобильные приложения на телефон;
  • наличие положительного баланса на пластиковой банковской карте + привязка карты к мобильному телефону/приложению;
  • жертва хотя бы раз участвовала в рекламных акциях, знает/слышала о формате и каналах рассылки приглашений для участников таких акций».

Насколько сложно отследить исходные точки смишинг-атак? Каковы основные проблемы и вызовы в этом процессе?

Андрей Юрченко уверен, что отследить смишинг не очень трудно, более того, сейчас доступно много сервисов, которые бесплатно подключаются абонентам и показывают источник и предполагаемый тип тех или иных сообщений. Требуется только некоторая внимательность пользователя. В зоне риска находятся слабо защищенные категории граждан, пожилые люди.

Алексей Плешков подметил, что этот вопрос лучше задать представителям службы информационной безопасности сотовых оператора и/или коллегам из правоохранительных органов.

«Для конечных жертв смишинга (или ее представителя) маршрут следования смс-сообщения и его метаданные недоступны. Участие жертвы в самостоятельном расследование факта смишинга завершается после ее письменного обращения к сотовому оператору и/или в правоохранительные органы».

Могут ли смишинг-атаки использоваться в качестве части более сложных кибератак? Если да, то каким образом?

Алексей Плешков: «В 2021-2023 годах широкое распространение получили комбинированные кибератаки, одной из составных частей которых стала рассылка фишинговых сообщение от имени служб безопасности и правоохранительных органов. Чаще других каналов такие сообщения отправлялись через мгновенные мессенджеры (Telegram, WhatsApp, Viber) или по СМС.

После получения жертвой таких сообщений (либо выполнения жертвой указанных в сообщений действий) на номер телефона жертвы поступал звонок от злоумышленников и дальше реализовывалась классическая схема («звонок службы безопасности», «ваша карта заблокирована», «злоумышленники оформили на Вас кредит», «Ваша помощь нужна для проведения оперативных мероприятий» и пр.) с применением методов социальной инженерии».

Яков Гродзенский в качестве примерна двухступенчатой атаки назвал Roaming Mantis – кампания смишинга, в последние несколько лет распространившаяся в США и Европе. Ссылки в SMS-сообщениях вели на легитимные сайты, которые злоумышленники перед этим взломали и внедрили на них бот для кражи вносимых перешедшими пользователями данных.

Какие последствия представляет успешная смишинг-атака?

Алексей Плешков: «Последствиями смишинга чаще всего является:

  • потеря конфиденциальности чувствительных данных (реквизиты паспорта, реквизиты банковской карты, данные о совершенных операциях);
  • совершение операций по переводу безналичных денежных средств со счёта банковской карты жертвы на подконтрольные злоумышленникам счета в сторонним банке;
  • удаленный доступа злоумышленников на мобильное устройство жертвы и сбор с него чувствительных данных (криптокошельки, база сообщений из электронной почты, телефонная книжка и пр.)».

Как будут развиваться смишинг-атаки в будущем? Есть ли какие-то новые технологии или стратегии, которые могут использоваться злоумышленниками?

Владислав Иванов уверен, что злоумышленники всегда будут находить новые способы обмана, чтобы обойти существующие защитные меры пользователей и организаций, и что в своей нескончаемой «гонке вооружений» мошенники начнут все активнее применять искусственный интеллект и автоматизированные системы для персонализации атак.

«С целью противостояния этим угрозам, специалисты по информационной безопасности будут также использовать передовые технологии и стратегии. Ожидается, что расширится применение машинного обучения и анализа больших данных, чтобы оперативно выявлять аномалии и обнаруживать смишинг-атаки еще до того, как они успеют нанести вред».

Алексей Плешков заявил, что одним из векторов реализации смишинг-атак с развитием сервиса смс у сотовых операторов/держателей облачных сервисов и сервисов мгновенных сообщений является замена прямых ссылок на QR-коды при передаче фишинговых сообщений.

«За счет этого злоумышленниками достигается дополнительное сокрытие имени ресурса (обход черных списков) и доступно предзаполнение данных в фишинговых web-формах при переадресации жертвы на фишинговые сайты.

Другим вектором развития смишинга может стать детальная проработка текстов смс в привязке к значимым инфоповодам или форматам смс от доверенных источников, таких как «предупреждение от МЧС», «рассылка от Минобороны» или «уведомления от Госуслуг».

Еще одним возможным вектором с применением смишинга мы видим комбинированные атаки. Уровень доверия населения РФ к рассылкам по СМС от имени «известных организаций» существенно выше, чем такие же рассылки в мгновенных мессенджерах или в социальных сетях. Поэтому смс-уведомления могут быть использованы в качестве одного из звеньев при реализации целевых (точечных) атак на потенциальных жертв».

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: