Případová studie: úspěšnost smishingových kampaní

Jak bylo psáno v minulém článku o případové studii phishingových kampaní, obdobě to bude i zde, u smishingových kampaní. Kybernetická bezpečnost je jedním z nejdůležitějších článků každé firmy. Pravidelné proškolování zaměstnanců o bezpečném fungování na internetu a nasazení kvalitní antivirové ochrany však mnohdy nestačí. Zaměstnanci, a všeobecně uživatelé internetu, se nechávají snadno nalákat na podvodné SMS zprávy, které se snaží vypadat věrohodně a poutavě. Dělat chyby je lidské, jen občas dokážou udělat fatální následky, už při jednom špatném kliknutí na podvržený odkaz. V naši smishingové kampani nebylo úmyslem získat od uživatelé citlivé data, jako tomu běžně bývá. Cílem bylo zjistit, kolik uživatelů na zprávy, jakkoliv reaguje, tzn. snaží se otevřít podvržené odkazy či dokonce zadávat své osobní údaje. V této případové studii Vám představíme jednotlivé postupy a konečné vyhodnocení úspěšnosti.

Co je to smishing?

Smishing je kybernetický útok, který se provádí pomocí SMS zpráv. Jedná se o typ útoku v sociálním inženýrství, který spoléhá spíše na lidskou důvěru a neopatrnost než na technologické zranitelnosti. Obdobně jako při phishingových útocích jsou oběti nalákány na sdělení svých osobních údajů, jen místo e-mailové komunikace se zde používá komunikace přes textové SMS zprávy. Útočníci se snaží od uživatelů získat citlivé údaje, se kterými se pak snaží nakládat. Příchozí SMS zprávy se často tváří, že pochází od banky, u které má uživatel zaveden svůj bankovní účet a snaží se ukrást bankovní údaje.

Smishingové útoky se provádějí následujícími způsoby

  • Pomocí malware – Lákavý odkaz s URL adresou vedoucí na stažení malwaru a následné instalace do mobilního telefonu. Tento malware se snaží vydávat za legitimní aplikaci, která uživatele přiměje zadat důvěrné informace a odesílat tak data útočníkům.
  • Druhý způsob je odkazování na škodlivý web, který uživatele požádá o zadání osobních údajů. Kybernetičtí útočníci se snaží škodlivé weby tvořit vždy tak, aby nejvíce napodobovaly ty skutečné a usnadňovali tak krádež dat.

Cílené skupiny jsou obvykle zaměstnanci příslušných firem, zákazníci konkrétní instituce, předplatitelé mobilních sítí, studenti vysokých škol či obyvatelé dané oblasti. Maskování útočníka většinou souvisí s institucí, ke které se snaží získat přístup.

Jak nejlépe identifikujete, že se jedná o útok?

  • Textová zpráva přichází z podezřelého čísla, které není běžné – například 7000.
  • Hypertextové odkazy ve zprávě vedoucí na jinou adresu, než je uvedeno v textu. 
  • Je přítomná podezřelá spustitelná příloha nebo na ni vede odkaz. 
  • Obecně že se SMS zpráva tváří jako bankovní instituce je jasný znak smishingu, banky po klientech nikdy nežádají osobní informace takovým způsobem. 

Jak se takovým útokům nejlépe bránit

  • Pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti
  • Vyvarovat se ukládání citlivých informací, jako jsou údaje o platebních kartách
  • Neklikat na odkazy v textových zprávách od neznámých uživatelů
  • Nesdělovat své telefonní číslo v podpůrných formulářích a internetových stránkách
  • Nikdy nikomu nesdělovat čísla účtů, PINy, hesla atd.

Jak jsme postupovali

V prvním kroku jsme vytvořili podvodnou důvěryhodnou webovou stránku, která byla věrnou kopií originálních stránek firmy XY. Šlo o doménu, kde se název od toho originálního lišil jen minimálně. V této fázi nebyly ukládány žádné údaje, pouze jsme zkoumali, kolik zaměstnanců této společnosti e-mail, či dokonce stránku, na kterou se v e-mailu odkazovalo, otevře.

Druhý krok spočíval ve vytvoření několika podvodných a věrohodných SMS zpráv. Odkazované internetové stránky mají záměrné překlepy v názvu, se snahou přesměrovat oběť na podvodný web. Celkem jsme vytvořili pět šablon, a to:

  • Zpráva informující příjemce o proběhnuté transakci na 5 000 Kč. Odkaz na zrušení transakce vedoucí na podvodné webové stránky.
    Obsah SMS zprávy: Transakci na 5 000 Kč můžete zrušit zadáním kódu 58vuk67 na adrese www.mojebamka.cz/zrusitansakci
  • Zpráva informující příjemce o probíhajícím kybernetickém útoku na společnost. Vyzvání příjemce k zadání bezpečnostního kódu na webové stránky pod přiloženým odkazem.
    Obsah SMS zprávy: Na Vaši společnost právě probíhá kybernetický útok. Zamezte útočníkům v přístupu zadáním kódu 58vuk67 na adrese www.zamezutoku.cz
  • Zpráva informující uživatele o úspěšně dokončené objednávce a možnosti stažení faktury na přiložené adrese.
    Obsah SMS zprávy: Vaše objednávka číslo 15791387 byla přijata. Detaily a faktura na adrese www.stahnufakturu.cz
  • Zpráva informující uživatele o výhře v zaměstnanecké soutěži. Pro vyzvednutí odměny je uživatel lákán k otevření podvodného odkazu a zadání kódu.
    Obsah SMS zprávy: Gratulujeme! Výhru si můžete vyzvednout zadáním 57jnjv61 na adrese www.vyhravsoutzi.cz
  • Informování uživatele o zablokování účtu. Pro odblokování je nutné zadat kód na přiložené adrese.
    Obsah SMS zprávy: Váš účet byl zablokován, pro odblokování zadejte kód 51Gfv37 na adrese www.sezman.cz

Třetím, a zároveň posledním, krokem, bylo rozplánování kampaní. Celkem jich bylo vytvořeno pět, kdy pro každou kampaň byla použita jiná šablona. Kampaně nebyly odesílány najednou, ale postupně v průběhu jednoho dne a vždy určitému počtu uživatelů. Celkem jich bylo obesláno 305, a to následujícím způsobem

  • 1. Kampaň – 61 uživatelů – SMS zpráva s informací o zrušení transakce
  • 2. Kampaň – 61 uživatelů – SMS zpráva s informací o kybernetickém útoku
  • 3. Kampaň – 61 uživatelů – SMS zpráva s informací o úspěšně dokončené objednávce
  • 4. Kampaň – 61 uživatelů – SMS zpráva s informací o výhře v soutěži
  • 5. Kampaň – 61 uživatelů – SMS zpráva s informací o zablokování účtu

Každému cílovému uživateli byl vygenerován unikátní identifikační kód, na jehož základě bylo možné sledovat, kdy falešné stránky navštívil a kdy odeslal přihlašovací formulář. Jiná data shromažďována nebyla. Po vyplnění přihlašovacího formuláře byli uživatelé přesměrování na oficiální stránky společnosti.

Konečné hodnocení

 

Na základě našich prací jsme identifikovali zjištění uvedené v další kapitole. V rámci realizovaných smishingových kampaní bylo zjištěno, že 5,57 % zaměstnanců podvodné odkazy otevřelo a pokoušelo se zadat osobní údaje.