Liczba phishingowych wiadomości SMS wzrosła w okresie styczeń-czerwiec 2021 o 700 procent w porównaniu do poprzedniego półrocza! To konkluzja z raportu analityków ThreatLabz z amerykańskiej firmy ZScaler. „Panowie, a macie coś nowego?” – chciałoby się spytać. Smishing, czyli wiadomości SMS jako nośnik treści phishingowych, to wektor ataku cieszący się wielką popularnością w Polsce jeszcze od czasów przedpandemicznych.
My edukacja - oni smishing
Z jednej strony możemy sobie pożartować, że w ZScalerze odkryli – nomen omen – Amerykę. Sytuacja jednak nie jest wcale zabawna. Fakt, iż Ciemna Strona stawia na smishing, dowodzi bowiem tego, iż przestępcy dostosowują się do tego, co robimy my, by się im przeciwstawić. Spójrzcie w przeszłość i zastanówcie się, kiedy ostatnio szkoliliście się z cyberbezpieczeństwa. Nie chodzi rzecz jasna o wielkie, dedykowane szkolenia. Kiedy dostaliście informację/ostrzeżenie od pracodawcy, czy usługodawcy, na jakie aktywności złych ludzi trzeba uważać? Może zdarzyło się Wam oberwać kontrolowanym phishingiem (u nas robimy takie akcje, im więcej potu na ćwiczeniach, tym mniej krwi w boju)? Może przekonaliście się do uruchomienia uwierzytelniania dwuskładnikowego w serwisie, czy aplikacji, z których korzystacie? A może Wasz pracodawca usprawnił proces logowania do firmowej sieci?
Generalnie od czasów Covida, gdy nagle pewnie z 80% świata przeniosło się „na zdalnie” w tej materii działo się sporo. Przestępcy też o tym wiedzą.
Smishing i phishing kity
Co odpowiada za wzrost phishingu w USA, celu największej liczby tego typu wiadomości, o 29% rok do roku? Wg. opisywanego raportu właśnie próby przeciwstawienia się firmom, stawiającym na edukację, ergo – bardziej świadomym użytkownikom. Jeśli bowiem ataki tam, gdzie zawsze, nie przynoszą efektu – trzeba poszukać innych sposobów, np. właśnie smishingu. Jeśli czas poświęcony na przygotowanie ataku od strony technicznej nie przynosi spodziewanego zwrotu kosztów – kupmy gotowy tzw. phishing kit i przygotujmy tylko treści, podszywające się po konkretną firmę.
Obserwowane przez CERT Orange Polska kampanie phishingowe, przekierowujące ofiarę na fałszywe bramki płatności to właśnie aktywności oparte na gotowych phishing kitach, które przestępcy raz na jakiś czas zmieniają. Podaż tego typu rozwiązań na czarnym rynku to efekt postępującej specjalizacji. W sumie to zrozumiałe biznesowe podejście. Jedni znają się na kodowaniu, inni „workami” rejestrują nowe domeny, a jeszcze inni to specjaliści od socjotechniki. Znacznie taniej wyjdzie kupno gotowego i sprawdzonego rozwiązania, niż uczenie się, jak zrobić je samemu! Tym bardziej, że w przypadku dzisiejszych kampanii phishingowych czas to pieniądz.
Chmury, komunikatory, PayPal i swojski OLX
Microsoft, Telegram, Amazon, OneDrive i PayPal. To najczęściej phishowane marki wg. ZScalera, a sama liczba ataków wzrosła rok do roku o 436%! Ja, nie sięgając po nasze statystyki, bez chwili zastanowienia jako pierwsze wymieniłbym OLX i operatorów płatności internetowych.
Skąd taka polaryzacja? Z dwóch podstawowych celów przestępców. Choć w zasadzie inaczej – cel jest jeden, pieniądze. Ale osiągnąć go można – w tym przypadku – na dwa sposoby. Pierwszy to bezpośrednio od ofiary, przekonując ją do wpisania loginu i hasła do banku bądź numeru karty płatniczej na fałszywej stronie. Drugi – przejmując krok po kroku jej konta w kolejnych serwisach i docelowo kontrolę nad jej komputerem. Ta druga metoda dodatkowo stanowi ryzyko nie tylko dla pierwszej ofiary. Dostając się na komputer, na którym pracujemy (to są inne?) przestępca przy sprzyjających okolicznościach może dotrzeć do sieci firmowej. A stamtąd wykraść dane, czy też podrzucić ransomware.
Ryzyko jest tym większe, że wspomniane chwilę wcześniej chmury w dzisiejszym phishingu mogą pełnić dwojaką rolę – nie tylko celu, ale również środka. Nasze systemy coraz częściej raportują witryny phishingowe hostowane np. na Microsoftowym Azure Edge. Dla oszustów to podwójny plus. Po drugie (nie przypadkiem zaczynam od końca) nie ma wtedy mowy o blokowaniu w systemach bezpieczeństwa całej domeny (przecież stoi na niej mnóstwo legalnych biznesowych), a nie każdy ma możliwości (CyberTarcza oczywiście ma) blokować tysiące subdomen. Po pierwsze zaś nasze wewnętrzne, „ludzkie” systemy bezpieczeństwa mniej lub bardziej świadomie ufają adresom budzącym mniejsze podejrzenia.
Zasada ograniczonego zaufania
Co robić? Przede wszystkim uważać, myśleć i nie spieszyć się. Raport, który zainspirował mnie do tych rozważań, to kolejny dowód na to, że nie powinniśmy się spodziewać, że w najbliższych czasach smishing zmaleje. Swoją drogą to intrygujące, bowiem jeszcze niedawno słyszeliśmy o tym, że SMSy tracą na popularności na rzecz komunikatorów. Czyżby ewoluowały po prostu w narzędzie marketingowe, zmierzając w takim kierunku jak telefonia stacjonarna? Przez ostatnie lata korzystania z niej odbierałem praktycznie tylko agresywny marketing, jeśli miałem nieszczęście trafić do jakiejś bazy lub paść ofiarą ślepego losu?
Ja po prostu już od jakiegoś czasu traktuję SMSy jak ten samochód, który widzę z daleka w podporządkowanej uliczce. Pewnie nie wyjedzie i nic mi się nie stanie, ale jednak wolę położyć nogę na hamulcu i nieco bardziej uważać.
Czego i Wam życzę.
Ewa Wróbel 
Hanna Jaworska-Orthwein 
Michał Rosiak 
Komentarze
Tryb maruda włączony. 🙂 Znowu „japka”. Dobrze że jakieś obniżki ale do ostatniej promki na realme to daleko jest. 🙂
OdpowiedzObniżka niedzielna XIAOMI fajna (500 pln to dobra promocja) ale nie ten model 😉
Odpowiedzmike278 nie marudź ? Ja tam używam jeszcze cały czas HTC U11 ? Chociaż ostatnio wysiadłmi tylni aparat, reszta działa. No i bateria już nie ta sana, ale….HTC nie do zdarcia ?
OdpowiedzHTC uzytkuje ktos inny. Ja nadal mam HONORA 8, więc czas na zmiane. 😛
Odpowiedz