Смишинг — одно из самых милых названий для кибератаки, которые я когда- либо слышал, но это не делает его менее опасным. Очевидно, что мы недостаточно обсуждаем это сочетание SMS-сообщений и фишинга, а также не проводим достаточно обучения по распознаванию и реагированию на подобные атаки.
Последние несколько месяцев я становился жертвой множества агрессивных смишинг-атак, которые можно обозначить как «долгожданный друг или знакомый».
Эти попытки социальной инженерии неизменно исходят от неизвестных номеров через стандартные SMS на моем iPhone 15 Pro Max, обычно с коротким, дружелюбным и любопытным сообщением.
Сообщения приходят от таких имен, как Миа, Диана и Алисса. Обычно они утверждают, что мы знакомы. Миа сказала, что нашла мой номер в своей адресной книге, подразумевая, что мы, возможно, когда-то встретились на мероприятии и обменялись контактами. В силу своей работы я встречаю много людей, но редко раздаю свой номер телефона. Фактически, у меня даже нет визиток. Я говорю людям, чтобы они нашли меня в Google, и они быстро определяют, как со мной связаться.
Иногда эти мошенники утверждают, что мы случайно столкнулись в коридоре, и из вежливости они представляются и хотят узнать мое имя. Такой подход выбрала Диана: «Меня зовут Диана. Как вас зовут?».
Вижу вас насквозь
Моя система обнаружения мошенничества, вероятно, настроена выше, чем у большинства людей, так что я не поддаюсь на эти приемы. Тем не менее, мне интересно не столько то, что они хотят (мои личные данные, включая банковские данные и номера социального страхования), сколько то, как они планируют это сделать.
Однако уровень моего раздражения так высок, что я редко отвечаю так, чтобы оставить возможность для дальнейшей коммуникации. На сообщение Дианы я ответил: «Вы же мне написали. Если вы не знаете, кто я, нам не о чем говорить».
Не смягчившись, Диана ответила, что она тоже не знает: «Я нашла этот номер, когда перебирала свою адресную книгу, но там не было имени. Мы ранее общались по делам?».
Все еще в ворчливом настроении, я ответил: «Без понятия. Не знаю, кто вы». Это привело к лучшему моменту: фото Дианы с сообщением «Теперь вы знаете, кто я».
Что особенно комично в этом, так это то, что если вести таких людей достаточно долго, они все предоставят изображения, которые в некоторых аспектах удивительно похожи: на всех изображены молодые, прилично одетые азиатки в совершенно банальных обстановках.
Изображение женщины азиатской внешности выглядит как комбинация реального человека с AI-сгенерированной головой в невзрачной и тщательно обрезанной локации. Что особенно комично в этом, так это то, что если вести таких людей достаточно долго, они все предоставят изображения, которые в некоторых аспектах удивительно похожи: на всех изображены молодые, прилично одетые азиатки в совершенно банальных обстановках.
Я ответил Диане: «Нет, ничего не напоминает». Но Диана была настойчива: «Как вас зовут? Может быть, вы поделитесь своей фотографией?». Когда я не ответил, Диана прислала «Привет». Несколько дней спустя я ответил фото, которое мне прислал другой смишинг- мошенник. Диана ответила, что я выгляжу как китайская и назвала меня «красивой леди».
В конце концов, она попросила меня на китайском добавить ее в контакты WeChat. Другой мошенник, которого я тоже долго вел, в конечном итоге тоже начал писать на китайском, прося меня показать свою фотографию.
Растущая проблема
Хоть это и выглядит комично, в общении с такими людьми есть довольно серьезные риски. Исследование FTC (Федеральная торговая комиссия США) в 2022 году показало, что мошеннические атаки через текстовые сообщения привели к потерям в размере 330 миллионов долларов. Очевидно, что эта сумма сейчас гораздо выше. Хотя спам-сообщения от фальшивых банков, социальных служб, ФБР и Amazon могут быть легче обнаружены из-за номера телефона, требующего перезвонить, и ссылок, которые хотят, чтобы вы перешли, новые «смишинг-атаки со связями» могут оказаться более хитрыми и опасными. Они играют на одиночестве, плохой памяти, вежливости и нужде в общении.
Я заметил, что все эти атаки появляются от лиц женского пола, а изображения при этом показывают молодых и привлекательных женщин. Это почти текстовая форма мошенничества под видом романтических отношений. Если мошенник сумеет убедить вас по-настоящему связаться с Дианой, Миой или Алиссой, он сможет вскоре вынудить вас пересылать ему деньги для оплаты счетов, и вы начнете строить планы на «встречу в реальной жизни» в будущем.
Что делать
Операторы сотовых сетей могут помочь вам блокировать спам-сообщения, и, как отмечает Verizon, они автоматически блокируют миллиарды спам-сообщений до того, как вы их увидите. Тем не менее, они кажутся менее эффективными в блокировке таких смишинг-атак. В США вы также можете сообщать о них в Федеральную торговую комиссию, но поскольку они в основном используют временные или поддельные номера телефонов, мало что FTC сможет сделать. Это значит, что вам придется действовать самостоятельно.
Я понимаю, что не всегда легко различить истинного друга или знакомого, который неожиданно связался с вами, и одного из таких мошенников. Когда со мной связалась Алисса, первое сообщение было игривым «Угадай, кто я?.»
«Без понятия», ответил я, задаваясь вопросом, не является ли это другом, которого я просто не отметил в своей адресной книге.
«Я Алисса, ты что, меня забыл?», последовало сообщение.
Это заставило меня задуматься. Я знаком с Алиссой, с которой давно не общался. Может быть, это она?
«Алисса? Какая Алисса?» спросил я. (Еще один признак этих мошенничеств — время, которое требуется мошеннику на продумывание идеального ответа).
Следующее сообщение пришло с фотографией молодой азиатки рядом с букетом цветов: «Мы обменялись номерами на приеме. Ты что, меня забыл?»
Мошенник надеется, что я вспомню какое — ни будь недавнее мероприятие и попытаюсь вспомнить, кто мне мог давать свой номер и могла ли это быть «Алисса».
В таких ситуациях и при других мошеннических попытках лучший выход — минимизировать общение. Если человек вас знает, это будет очевидно; в противном случае в каждом сообщении будет не хватать важных данных, а мошенник будет стараться выудить у вас все больше личной информации. Один из них даже спросил, где я живу, как будто я собирался предоставить свой домашний адрес.
Еще вы можете нажать на информационную кнопку рядом с номером телефона и заблокировать его. Это мгновенно прекратит разговор, или хотя бы этот разговор. К сожалению, вы, вероятно, получите другие подобные попытки смишинга. Все, что я могу посоветовать — это не вступать в общение, блокировать номера и, возможно, рассказать об этом друзьям и родственникам, чтобы они тоже были бдительны.
Источник: TechRadar
