Чем смишинг отличается от фишинга и как от него защититься

Рассказываем, как мошенники наловчились использовать SMS для выманивания у жертвы данных карты или пароля от интернет-банкинга.

Смишинг — это фишинг в SMS. Рассказываем, чем смишинг опаснее обычного фишинга в электронной почте, и объясняем, как от него можно защититься

В последнее время все только и говорят, что о «смишинге»: в США, Италии, Бразилии СМИ штампуют тревожные новости о новых мошеннических кампаниях. Немецкая полиция даже выпустила по поводу одной из них официальное предупреждение.

Если посмотреть на популярность запроса smishing в поиске, становится видно, что именно за последний год это явление набрало нешуточные обороты. Так что же такое смишинг, и в чем его отличительные особенности?

Рост популярности поискового запроса smishing в Google за последние несколько лет

Рост популярности поискового запроса smishing в Google за последние несколько лет

Что такое смишинг и как он устроен?

Сначала разберемся со значением слова: смишинг — это тот же фишинг, но распространяющийся не по электронной почте, а через SMS. Отсюда и сам термин: smishing = SMS + phishing. По некоторым классификациям, к смишингу относится и фишинг в мессенджерах, но его мы все-таки считаем отдельным явлением, поэтому тут рассматривать не будем.

Цель преступников, как и при любом другом фишинге, — выманить у жертвы важную личную информацию, чаще всего это пароль от интернет-банка или данные банковской карты. Для этого мошенники присылают SMS, как правило, о какой-нибудь выдуманной проблеме: застрявшей посылке, неоплаченном счете или заблокированном аккаунте. Чтобы решить проблему, нужно перейти по ссылке. Дальше возможны два варианта развития событий:

  • первый вариант: вас заражают зловредом, который маскируется под легитимное приложение какого-нибудь сервиса и настойчиво предлагает вбить в себя все важные данные;
  • второй вариант: вас заманивают на сайт, который маскируется под легитимный сайт какого-нибудь сервиса и, ну да, предлагает вбить в себя все важные данные.

По большому счету все зависит от того, с чем данным конкретным мошенникам удобнее работать — с вредоносным ПО или сайтами. Итог для жертвы в обоих случаях одинаковый — потеря денег, нередко довольно ощутимых: у людей воруют тысячи долларов, евро или фунтов. Так почему же SMS-фишинг набрал популярность именно в последнее время, и чем он опаснее обычного фишинга?

Чем смишинг опаснее обычного фишинга

Во-первых, к почтовому фишингу все более-менее привыкли, более-менее знают, как его распознать и как от него защититься. SMS в этом плане гораздо более неожиданный канал для мошенничества, поэтому люди реже ждут подвоха от коротких сообщений.

Во-вторых (и это важное дополнение к «во-первых»): несмотря на то, что доверия к SMS больше, защищены они в среднем хуже, чем та же электронная почта. В любую мало-мальски приличную почтовую службу сегодня обязательно встроен спам-фильтр, зачастую очень даже умный. Обойти его возможно, но для этого мошенникам приходится выдумывать новые и новые уловки. Спам-фильтры мобильных операторов такой гибкостью и точностью сегодня похвастаться, увы, не могут.

В-третьих, SMS чаще читают на ходу и между делом, что в сочетании с первым пунктом усиливает некритичность взгляда и повышает вероятность успешной атаки. В случае с текстовым сообщением получатель часто не вдумывается, от кого оно и что в нем написано — просто кликает по ссылке.

И наконец, в-четвертых, у SMS банально меньше признаков, по которым можно распознать мошенничество. В почте всегда можно посмотреть адрес отправителя, оценить дизайн и верстку письма, проверить грамотность и внятность написанного — в общем, поискать стандартные красные флаги.

В SMS всего этого нет, даже легитимные сообщения выглядят очень похоже друг на друга, текст максимально короткий, а при наличии у мошенников технической подготовки отправителя можно очень достоверно заспуфить, то есть подменить реальный номер отправителя поддельным.

Как защититься от смишинга

Теперь рассказываем, как от этого всего уберечься:

  • Самый надежный способ — никуда не кликать, никакими данными не делиться. В общем, чем меньше действий, тем лучше.
  • Важно использовать двухфакторную авторизацию везде, где она предусмотрена. Тогда даже украденный пароль не поможет преступникам опустошить счет. Правда, если двухфакторная авторизация настроена через SMS, мошенники могут зайти на второй круг.
  • Если все-таки попались, срочно связывайтесь с банком, блокируйте карты и меняйте пароли. Всегда лучше перестраховаться, чем потом сожалеть.

Ну и напоследок небольшой FAQ для самых дотошных.

Можно ли отвечать на мошеннические сообщения? Может, если я попрошу, меня уберут из рассылки?

Ни в коем случае! Любой ответ будет расценен мошенниками как подтверждение того, что номер активен. Отписывать вас, конечно, тоже ниоткуда не будут, этого часто и от нормальных компаний трудно добиться, чего уж говорить о товарищах вне закона.

А что, если это не смишинг, а важное сообщение от банка?

Если есть сомнения, лучше всего связаться с банком напрямую и уточнить, правда ли он отправил то, что вам пришло (скорее всего, нет). Ах да, контакты банка стоит взять из официального источника, например сайта, и ни в коем случае не из того самого сообщения.

Может, есть какой-нибудь способ автоматизировать отсеивание фишинга в SMS?

Конечно, есть! Во многие защитные решения давно уже встроены фильтры, которые выловят подозрительные ссылки в SMS и мессенджерах, предупредят вас о них и не позволят потерять деньги из-за минутной невнимательности. Например, такой фильтр есть в Kaspersky для Android.

Также рекомендуем установить наше приложение Kaspersky Who Calls, которое защищает от телефонного спама и мошенничества.

Советы