Key takeaways
- Federal Communications Commission (FCC) har advart folk om en betydelig økning i phishing-angrep utført over SMS.
- Eksperter hevder at SMS har blitt farligere enn e-post for å lure folk i phishing-svindel.
-
Svikske SMS-meldinger kan omgå teknologi utviklet for å fange opp phishing-e-poster.
Akkurat når du trodde du hadde kontroll på phishing-e-poster, kommer nyheter om trusselaktører som skifter triks og angriper folk ved å bruke falske SMS-meldinger.
Federal Communications Commission (FCC) la nylig ut et notat for å advare folk om en økning i SMS-phishing-angrep, og delte at tekstsvindel økte svimlende 168 prosent mellom 2019-2021, med over 8 500 klager nettopp dette år alene.
"Nettkriminelle bruker i økende grad tekstmeldinger som en metode for å omgå sikkerhetskontrollene som vanligvis er implementert i e-post og andre kommunikasjonssystemer," sa Josh Yavor, Chief Information Security Officer i Tessian, til Lifewire. "Vi ser nye bølger av sosi alt konstruerte angrep der angripere etterligner forskjellige typer SMS-meldinger for å lure forbrukere til å gi opp sensitiv og personlig informasjon."
Weaponizing SMS
Phishing-angrep utført via falske SMS-meldinger er generelt kjent som smishing, eller som FCC refererer til dem i sitt notat: robotexts.
I følge kommisjonen har klager på slike uønskede tekstmeldinger økt jevnt de siste årene fra ca. 5 700 i 2019, 14 000 i 2020 og 15 300 i 2021 til 8 500 til 30. juni, 2022.
Det antydet også at dette tallet bare kunne være toppen av isfjellet, og pekte på en Robokiller-rapport som anslått at amerikanere mottok over 12 milliarder robottekstmeldinger i juli 2022, med et gjennomsnitt på rundt 44 spam-tekster for hver innbygger.
FCC delte også noen av de vanlige lokkerne som svindlere bak disse smishing-kampanjene bruker for å lure folk til å utlevere konfidensiell informasjon.
"Som robocallers, kan en robotexter bruke frykt og angst for å få deg til å samhandle," bemerket FCC. «Tekster kan inneholde falske, men troverdige påstander om ubet alte regninger, pakkeleveringsproblemer, bankkontoproblemer eller rettshåndhevelseshandlinger mot deg.»
Svindlerne kan dessuten bruke de falske SMS-meldingene for å gi forvirrende informasjon, som om de sender tekstmeldinger til noen andre, for å få deg til å svare på den ene eller andre måten..
Yavor bygger på FCCs notat og påpeker at SMS er "iboende farligere" enn e-post som et phishing-medium siden det er betydelig vanskeligere å bekjempe falske meldinger over tekst enn e-post.
"Dessverre henger verden av sikkerhet for SMS etter e-post, da kjernebeskyttelsen vi har i e-post bare ikke eksisterer med tekster," sa Yavor. «Med SMS er det vanskeligere å lære opp folk til å identifisere falske avsendere, og folk mangler støttemekanismene de er vant til når de bruker e-post.»
I Yavors erfaring har folk en bedre sjanse til å identifisere en falsk e-postadresse, mens det er vanskeligere med SMS, takket være utbredelsen av nummerforfalskning.
SMS er farligere
Yavor pekte på en Tessian-undersøkelse, som fant at over halvparten av respondentene hadde mottatt en svindel-tekstmelding det siste året. Dessuten f alt en tredjedel av dem for svindelen, et tall som er høyere enn de som interagerte med en phishing-e-post.
Folk forventer vanligvis ikke å bli svindlet via tekstene sine, og det er derfor SMS har blitt en virkelig effektiv angrepsvektor, bemerket Jeff Hancock, Harry og Norman Chandler professor i kommunikasjon ved Stanford University, i Tessians undersøkelse.
Tilliten til SMS, hevdet han, stammet fra det faktum at inntil nylig var det svært få personer utenfor nettverket vårt som ville kunne nå oss via SMS. "Når vi handler på nettet og blir bedt om å dele mobilnummeret vårt, mottar vi nå tekstmeldinger fra kontakter vi ikke vet - noen meldinger er legitime, og andre ikke," sa Hancock.
Hvis du har mottatt en mistenkelig tekstmelding eller en uvanlig forespørsel fra noen du ellers stoler på, foreslår Yavor at den beste veiledningen er den samme som i e-post – i stedet for å engasjere deg med en gang, ta deg tid til å kontakte avsenderen via en annen måte å bekrefte autentisiteten til SMS-en.
"Det er viktig å alltid etablere tillit utenfor SMS-samtalen og huske at legitime organisasjoner [som banken din] aldri ville gi et ultimatum (som å ringe tilbake om 12 timer eller annet) eller be om økonomiske detaljer eller passord via tekstmelding," sa Yavor."Endelig kan folk rapportere spam og falske tekstmeldinger til operatøren deres ved å videresende meldingene til 7726."
