Lừa đảo luôn là một trong những mục yêu thích của cộng đồng mạng. Có một vài lý do tốt cho việc này. Bạn không cần phải có nhiều kỹ năng kỹ thuật để thực hiện một vụ lừa đảo thành công và ngay cả các chiến dịch quy mô lớn cũng không yêu cầu đầu tư lớn về tiền bạc và thời gian. Trong khi đó, bất chấp tất cả các cảnh báo, kỹ thuật xã hội trong các email vẫn đủ để đánh lừa người dùng nhấp vào liên kết và cung cấp thông tin nhạy cảm.
Smishing là một biến thể của lừa đảo nhằm vào người dùng điện thoại di động và được thực hiện thông qua tin nhắn văn bản. Các cuộc tấn công smishing không phổ biến như lừa đảo truyền thống hơn, nhưng như một chiến dịch gần đây nhắm vào người dùng Verizon chứng minh, kỹ thuật này có một số lợi thế khác biệt có thể cám dỗ khá nhiều tội phạm mạng.
Kẻ gian cố gắng lừa khách hàng của Verizon ra khỏi dữ liệu cá nhân của họ
Vụ lừa đảo được phát hiện và báo cáo bởi Làm thế nàovà Chris Hoffman, Tổng biên tập của trang web, đã mô tả cuộc tấn công có mùi là "tinh vi nhất." Mặc dù tuyên bố này có thể được đưa ra để tranh luận, nhưng có rất ít nghi ngờ rằng bọn tội phạm đã đặt một số suy nghĩ vào hoạt động.
Như bạn có thể tưởng tượng, cuộc tấn công bắt đầu bằng một SMS, cho bạn biết rằng "bảo mật tài khoản Verizon của bạn cần xác thực". Nếu bạn nhấp vào một liên kết, bạn sẽ có thể "xác thực tài khoản của mình và để tránh quyền truy cập của bạn bị vô hiệu hóa." Như bạn có thể thấy, ngữ pháp khó xử như bạn mong đợi từ kiểu tấn công này. Điều hơi bất thường là thực tế là người dùng liên kết được khuyến khích nhấp vào đã không thông qua dịch vụ rút ngắn URL. Điều đó đang được nói, nếu bạn không nhìn vào nó quá kỹ, bạn có thể bị lừa nghĩ rằng nó thực sự đến từ nhà cung cấp viễn thông.
Liên kết HowToGeek được mô tả đã dẫn đến một trang lừa đảo được lưu trữ trên vwless (.) Xyz (hiện đang bị sập) và được mô tả là "có sức thuyết phục khủng khiếp". Thật vậy, các ảnh chụp màn hình trông khá giống với bản gốc và không có bất kỳ lỗi ngữ pháp rõ ràng nào, điều này cho thấy thay vì tự mình tạo các trang lừa đảo, kẻ gian đã sử dụng một bộ lừa đảo có sẵn được mua trên các thị trường ngầm.
Trang web không có thật bắt đầu bằng cách yêu cầu số điện thoại di động hoặc ID người dùng và mật khẩu của bạn. Sau đó, bạn được yêu cầu số PIN của tài khoản và cuối cùng, bạn được thông báo rằng bạn cần cung cấp một số thông tin cá nhân. Trang này cho bạn biết rằng nếu bạn nhập tên, địa chỉ và mã ZIP thanh toán năm chữ số, bạn sẽ giúp Verizon bảo vệ tài khoản của bạn tốt hơn. Sau khi bạn cung cấp tất cả các chi tiết, bạn được chuyển hướng đến trang web Verizon thực sự.
Trang lừa đảo sẽ không cho phép bạn nhấp qua trừ khi bạn điền vào tất cả các trường, nhưng khi các phóng viên của HowToGeek kiểm tra nó, họ đã sử dụng thông tin giả mạo, cho thấy trang web lừa đảo không xác thực dữ liệu trong thời gian thực.
Thiệt hại tiềm tàng là khá đáng kể
Nếu tất cả những điều trên nghe có vẻ quen thuộc và nếu bạn nghĩ rằng bạn có thể rơi vào bẫy, bạn cần gọi cho Verizon và khắc phục sự cố ngay lập tức vì nếu họ chiếm đoạt thành công tài khoản của bạn, kẻ gian có thể phá hoại mọi loại. Họ có thể đặt mua một điện thoại thông minh mới và ghi có vào hóa đơn của bạn và họ cũng có thể thực hiện một cuộc tấn công hoán đổi SIM chống lại bạn. Nếu bạn đã sử dụng lại cùng một mật khẩu trên nhiều trang web, bạn cũng có thể trở thành nạn nhân của việc nhồi thông tin xác thực và cũng mất quyền truy cập vào các tài khoản khác.
Nói chung, việc nhắm vào các khách hàng của Verizon có thể trả hết tiền cho kẻ gian, và với sự lựa chọn của họ là đi lừa đảo thay vì lừa đảo truyền thống, họ hy vọng sẽ tối đa hóa số nạn nhân.
Smishing vs phishing: Cái nào tốt nhất?
Ưu điểm chính của Smishing là nạn nhân chắc chắn có mặt trên điện thoại của họ trong quá trình hoạt động. Màn hình nhỏ hơn làm cho việc phát hiện các dấu hiệu lừa đảo trở nên khó khăn hơn. Như chúng tôi đã đề cập, thoạt nhìn, URL trong tin nhắn văn bản trông có vẻ không hợp pháp và vì không gian màn hình quá chật, nên thanh địa chỉ của trình duyệt di động có thể bị ẩn trong phần lớn thời gian. Kết quả của tất cả điều này, bạn có nhiều khả năng không nhận ra rằng bạn đang ở sai địa chỉ.
Trong trường hợp này, chọn tin nhắn văn bản thay vì email lừa đảo truyền thống là một cuộc gọi đặc biệt tốt bởi vì, với tư cách là nhà cung cấp viễn thông, Verizon có thể sẽ liên lạc với bạn qua SMS. Tuy nhiên, một yếu tố khác giúp cải thiện cơ hội thành công của kẻ gian nằm ở chỗ, trong khi các vụ lừa đảo qua email đã xuất hiện trong nhiều năm, thì việc đánh bóng là xu hướng tương đối gần đây và ít người biết rằng chương trình này đã được điều chỉnh để hoạt động qua tin nhắn văn bản.
Như mọi khi, cách phòng thủ tốt nhất trước những cuộc tấn công như thế này là sự thận trọng và nhận thức. Người dùng phải biết rằng kẻ gian hiện đang sử dụng SMS để lừa mọi người cung cấp thông tin của họ và họ phải hiểu rằng một liên kết trong tin nhắn văn bản không mong muốn có thể nguy hiểm như liên kết trong email.
