Key takeaways
- Federal Communications Commission (FCC) har advaret folk om en markant stigning i phishing-angreb udført via SMS.
- Eksperter hævder, at SMS er blevet farligere end e-mail for at narre folk i phishing-svindel.
-
Svigagtige SMS-beskeder kan omgå teknologi designet til at fange phishing-e-mails.
Lige da du troede, du havde styr på phishing-e-mails, kommer der nyheder om trusselsaktører, der skifter pind og angriber folk ved hjælp af falske sms-beskeder.
Federal Communications Commission (FCC) udsendte for nylig en note for at advare folk om en stigning i sms-phishing-angreb og delte, at sms-svindel steg svimlende 168 procent mellem 2019-2021, med over 8.500 klager netop dette år alene.
"Cyberkriminelle bruger i stigende grad tekstbeskeder som en metode til at omgå de sikkerhedskontroller, der typisk er implementeret i e-mail og andre kommunikationssystemer," sagde Josh Yavor, Chief Information Security Officer hos Tessian, til Lifewire. "Vi ser nye bølger af soci alt udviklede angreb, hvor angribere efterligner forskellige slags SMS-beskeder for at narre forbrugere til at opgive følsomme og personlige oplysninger."
Waponizing SMS
Phishing-angreb begået via svigagtige SMS-beskeder er generelt kendt som smishing, eller som FCC henviser til dem i sin note: robotexts.
Ifølge kommissionen er klager over sådanne uønskede tekstbeskeder steget støt i de seneste år fra ca. 5.700 i 2019, 14.000 i 2020 og 15.300 i 2021 til 8.500 til 30. juni, 2022.
Det antydede også, at dette tal kun kunne være toppen af isbjerget, og pegede på en Robokiller-rapport, som anslår, at amerikanere modtog over 12 milliarder robottekstbeskeder i juli 2022, med et gennemsnit på omkring 44 spam-beskeder for hver borger.
FCC delte også nogle af de almindelige lokker, som svindlere bag disse smishing-kampagner bruger til at narre folk til at udlevere fortrolige oplysninger.
"Som robocallers kan en robotexter bruge frygt og angst for at få dig til at interagere," bemærkede FCC. "Tekster kan omfatte falske, men troværdige påstande om ubet alte regninger, pakkeleveringsproblemer, bankkontoproblemer eller retshåndhævende handlinger mod dig."
Ydermere, i deres forsøg på at engagere sig med dig, kan svindlerne også bruge de falske SMS-beskeder til at give forvirrende oplysninger, som om de sms'er til en anden, for at få dig til at svare, på den ene eller den anden måde.
Med udgangspunkt i FCC's note påpeger Yavor, at SMS er "iboende farligere" end e-mail som et phishing-medium, da det er betydeligt sværere at bekæmpe svigagtige beskeder via tekst end e-mail.
"Desværre h alter verden af sikkerhed for SMS bagefter e-mail, da de kernebeskyttelser, vi har i e-mail, bare ikke eksisterer med tekster," sagde Yavor. "Med SMS er det sværere at træne folk til at identificere svigagtige afsendere, og folk mangler de støttemekanismer, de er vant til, når de bruger e-mail."
I Yavors erfaring har folk en bedre chance for at identificere en falsk e-mail-adresse, mens det er sværere med SMS, takket være udbredelsen af nummerspoofing.
SMS er mere farlig
Yavor pegede på en Tessian-undersøgelse, som viste, at over halvdelen af de adspurgte havde modtaget en fidusbesked i det seneste år. Desuden faldt en tredjedel af dem for fidusen, et tal, der er højere end dem, der interagerede med en phishing-e-mail.
Folk forventer norm alt ikke at blive snydt via deres tekster, hvilket er grunden til, at SMS er blevet en virkelig effektiv angrebsvektor, bemærkede Jeff Hancock, Harry og Norman Chandler, professor i kommunikation ved Stanford University, i Tessians undersøgelse.
Tilliden til SMS, hævdede han, stammede fra det faktum, at indtil for nylig var meget få mennesker uden for vores netværk i stand til at nå os via SMS. "Da vi handler online og bliver bedt om at dele vores mobilnummer, modtager vi nu tekstbeskeder fra kontakter, vi ikke ved - nogle beskeder er legitime, og andre er ikke," sagde Hancock.
Hvis du har modtaget en mistænkelig sms eller en usædvanlig anmodning fra en, du ellers har tillid til, foreslår Yavor, at den bedste vejledning er den samme som i e-mail - i stedet for at engagere dig med det samme, skal du bruge et øjeblik på at kontakte afsenderen via en anden måde at bekræfte ægtheden af SMS'en.
"Det er bydende nødvendigt altid at etablere tillid uden for sms-samtalen og huske, at legitime organisationer [som din bank] aldrig ville stille et ultimatum (som at ringe tilbage om 12 timer eller andet) eller bede om økonomiske detaljer eller adgangskoder via sms," sagde Yavor."Endelig kan folk rapportere spam og svigagtige tekster til deres udbyder ved at videresende beskederne til 7726."
