Martin Hořický
Partner • Digital Services
Smishing je kybernetický útok, který se provádí pomocí SMS zpráv. Jedná se o typ útoku v sociálním inženýrství, který spoléhá spíše na lidskou důvěru a neopatrnost než na technologické zranitelnosti.
Obdobně jako při phishingových útocích jsou oběti nalákány na sdělení svých osobních údajů, jen místo e-mailové komunikace se zde používá komunikace přes textové SMS zprávy. Útočníci se snaží od uživatelů získat citlivé údaje, se kterými se pak snaží nakládat. Příchozí SMS zprávy se často tváří, že pochází od banky, u které má uživatel zaveden svůj bankovní účet a snaží se ukrást bankovní údaje.
Smishingové útoky se provádějí následujícími způsoby
- Pomocí malware – Lákavý odkaz s URL adresou vedoucí na stažení malwaru a následné instalace do mobilního telefonu. Tento malware se snaží vydávat za legitimní aplikaci, která uživatele přiměje zadat důvěrné informace a odesílat tak data útočníkům.
- Druhý způsob je odkazování na škodlivý web, který uživatele požádá o zadání osobních údajů. Kybernetičtí útočníci se snaží škodlivé weby tvořit vždy tak, aby nejvíce napodobovaly ty skutečné a usnadňovali tak krádež dat.
Cílené skupiny jsou obvykle zaměstnanci příslušných firem, zákazníci konkrétní instituce, předplatitelé mobilních sítí, studenti vysokých škol či obyvatelé dané oblasti. Maskování útočníka většinou souvisí s institucí, ke které se snaží získat přístup.
NÁŠ PŘÍSTUP A ŘEŠENÍ
Sociální inženýrství je většinou prvním krokem k infiltraci společnosti. V společnosti BDO realizujeme smishingové a phinhingové kampaně, jejichž cílem je ověřit, jaká část cílových uživatelů se stane obětí sociálního inženýrství.
Jednotlivé kroky kampaní:
- V prvním kroku je důležité seznámit našeho specialistu se společností, domluvit se na rozsahu a cílových skupinách.
- Dalším krokem je vytvoření podvodných stránek, které jsou věrnou kopii těch originálních. Rozdíly a záměny jsou většinou cíleně velmi nepatrné, a to z důvodu, aby kopie nebyla lehce a na první pohled rozpoznatelná.
- Následuje vytvoření e-mailových šablon, které budou použity v různých smishingových a phishingových kampaních.
- Výstupem je zpráva, která informuje, kolik lidí neodhalilo podvod, z jakých zařízení a s jakou četností se na falešné stránky připojili atd...
- (V případě zájmu) Následuje školení, které na kampaně navazuje (a velmi ho doporučujeme). Cíloví uživatelé jsou seznámeni s technikami, které byly použity a upozornění, jak se bránit, jak je rozpoznat, jak jim předcházet atp...
