SMS phishing ili Smishing je veoma jednostavan, ali profitabilan oblik phishinga koji se obavlja putem SMS-a. Kod smishinga prevaranti šalju lažne, tj. phishing poruke preko SMS-a s namerom da vas prevare da otkrijete podatke koje inače ne biste, ili da zaraze vaš telefon malverom.

Kako izgleda Smishing?

Iako se smishing scenariji mogu razlikovati, obrazac je najčešće sledeći: namamiti žrtve da kliknu na link. Link može da vodi na stranu gde se traži da unesete svoje kredencijale, ili na stranu za preuzimanje aplikacije, fajla i slično. Takođe, postoje smishing poruke kod kojih se odgovaranjem na poruku žrtva pretplaćuje na neku uslugu.

Kod smishinga pošiljalac se predstavlja kao dobro poznata kompanija čije usluge koristi veliki broj ljudi, na primer banka, pošta ili kuririska služba. Smisheri, prevaranti koji stoje iza ovih poruka, maskiraju identitet koristeći email-to-text servise, kojim se šalje veliki broj SMS poruka.

Smishing primeri iz Srbije

U Srbiji je u poslednjih par godina primećen veći broj ovakvih poruka. Najčešće je korišćena kao mamac Pošta Srbije, na šta je upozoravao i Nacionalni CERT.

Izvor slike Nacionalni CERT.

Takođe, na sličan način zloupotrebljen je i DHL:

Kada se klikne na link u SMS poruci, od potencijalne žrtve se traži da plati dodatne troškove kako bi dobila svoj paket.

U poslednje vreme sve je više smishinga u kojima je navodni pošiljalac Netflix:

Kod ove prevare jasno je da je cilj napadača da se domogne Netflix naloga, kao što se može videti na slikama.

Smishing korišćen za pljačku bankomata

Koliko smishing može da bude ozbiljna pretnja govori primer iz 2018. godine, kada su kriminalci koristili SMS phishing da opljačkaju bankomate bez kartica, o čemu je pisao i Brajan Krebs.

Mnoge finansijske institucije nude mogućnost podizanje gotovine na bankomatima bez kartica, odnosno koristeći samo svoje mobilne telefone. Ova usluga definitivno olakšava stvari korisnicima, ali olakšava stvari i sajber kriminalcima.

U maju 2018. finansijska institucija Fifth Third Bank sa sedištem u Sinsinatiju u Ohaju, počela je da prima žalbe klijenata koji su na svoje telefone primali tekstualne poruke za koje se tvrdilo da su od banke, upozoravajući primaoce da su im računi zaključani. SMS poruke su sadržale link za otključavanje njihovih naloga i vodile klijente do veb-sajta koji je oponašao legitimni sajt Fifth Third banke. Taj sajt za phishing podstakao je posetioce da unesu svoje kredencijale za nalog - uključujući korisnička imena, lozinke, jednokratne lozinke i PIN brojeve.

Kada su došli do tih podataka mogli su da dodaju uređaj kom je omogućeno da podiže gotovinu bez kartice i pokradu korisnike i banku.

U ovom incidentu, sajber kriminalci su ukrali kredencijale oko 125 klijenata Fifth Third Banke, a zatim su iskoristili ove ukradene podatke da podignu 68.000 dolara, za manje od dve nedelje, sa 17 bezgotovinskih bankomata. Sudski dokumenti takođe pokazuju da su incidenti hakovanja i pljačke bankomata nastavljeni do oktobra 2018. i da su hakeri pobegli sa dodatnih 40.000 dolara. Osumnjičeni za zločin nisu uhapšeni.

Bankomati bez kartica su još uvek novi trend, većina korisnika tek saznaje za tu mogućnost. Ipak, uskoro će verovatno postati popularni, što znači da će i sajber kriminalci ciljati bankomate bez kartica na mnogo načina.

Smishingom do Google naloga

Iako se smatralo da je dvofaktorska autentifikacija ključna za bezbednost naloga, smisheri su uspeli da prevare sistem i ukradu imejl naloge. Kako? U nekoliko jednostavnih, ali dobro osmišljenih koraka:

1. Napadač nabavlja email adresu / broj telefona žrtve iz javnih izvora.
2. Napadač se predstavlja kao žrtva i traži od Googla reset lozinke.
3. Google šalje žrtvi kod za resetovanje.
4. Smisher šalje žrtvi poruku: „Google je primetio neobičnu aktivnost na vašem nalogu. Odgovorite na ovu poruku kodom koji vam je poslat na mobilni uređaj odmah.“
5. Žrtva šalje verifikacioni kod smisheru, misleći da je poruka stigla od Googla.
6. Napadač koristi kod da resetuje nalog žrtve i preuzme kontrolu nad nalogom.

Kako se zaštititi od smishinga?

Kod nekih modela pametnih telefona možete da uključite filter za spam poruke, tako da i ne vidite ovakve poruke kada vam stignu. Ukoliko imate tu opciju, uključite je. Ipak, treba znati da ni jedan spam filter nije savršen, pa tako može da se desi da neka neželjena poruka ipak stigne do vas. Zbog toga trebate biti obazrivi prema svakoj poruci i da:

• Proverite broj sa kog je poruka stigla
• NE odgovarate na sumnjive poruke, čak i ako traže da se odjavite sa liste slanjem reči STOP
• Pozovite banku, ako niste sigurni da je SMS baš od nje
• Ne šaljite lozinku ili korisničko ime putem SMS-a
• Izbegavajte da klikćete na linkove u SMS porukama
• Prijavite prevaru ili pokušaj prevare