آشنایی با حملات اسمیشینگ و راه های مقابله با آن

اسمیشینگ نوعی حمله امنیتی سایبری شبیه به فیشینگ و ویشینگ است که از طریق سرویس‌های پیام کوتاه یا پیام متنی روی گوشی تلفن همراه و گوشی هوشمند انجام می‌شود و به عنوان فیشینگ پیامی نیز شناخته می‌شود. قربانیان این حمله سایبری، به روش‌های مختلفی فریب داده می‌شوند و اطلاعات حساس خود را در اختیار کلاهبرداران قرار می‌دهند. اسمیشینگ فقط از طریق اس ام اس اتفاق نمی‌افتد، بلکه در بسیاری از پلتفرم‌های پیام‌رسانی تلفن همراه، از جمله کانال‌های غیر پیامکی مانند برنامه‌های پیام‌رسانی مبتنی بر داده تلفن همراه هم رخ می‌دهد. بهترین راه برای جلوگیری از اسمیشینگ، آگاهی داشتن از آن و راه‌های مقابله با آن است. در این مطلب همراه ما باشید تا با این نوع حملات سایبری بیشتر آشنا شویم.

اسمشینگ چیست؟

اسمیشینگ (Smishing) اصطلاح ترکیبی است که از دو واژه “SMS” یا پیام کوتاه و “فیشینگ” است. اسمیشینگ به عنوان نوعی حمله مهندسی اجتماعی تعریف می‌شود که به جای بهره‌برداری فنی، بر بهره‌برداری از اعتماد انسانی متکی است.

فیشینگ زمانی اتفاق می‌افتد که مجرمان سایبری، ایمیل‌های جعلی ارسال می‌کنند و به دنبال فریب گیرنده برای کلیک کردن روی یک پیوند مخرب هستند. در اسمیشینگ، کلاهبردار به جای ایمیل از پیام‌های متنی استفاده می‌کند.

در اصل، این مجرمان سایبری قصد دارند اطلاعات شخصی شما را بدزدند، و سپس از آنها برای ارتکاب کلاهبرداری یا سایر جرایم سایبری استفاده کنند. این ارتکاب جرم معمولاً شامل سرقت پول می‌شود.

مجرمان سایبری اغلب از یکی از دو روش برای سرقت داده‌ها و اطلاعات شخصی شما استفاده می‌کنند:

1. بدافزار: لینک URL اسمیشینگ ممکن است شما را فریب دهد تا بدافزار – نرم افزار مخرب – را که به صورت اتوماتیک روی گوشی شما نصب می‌شود، دانلود کنید. این بدافزار پیامکی با اس ام اس یا پیامی به شما ارسال می‌شود که ظاهر آن شما را فریب می‌دهد که برنامه‌ای قانونی است و مشکلی ندارد. به این ترتیب شما اطلاعات محرمانه را تایپ می‌کنید و این داده‌ها را برای مجرمان سایبری ارسال می‌شود.
2. وب سایت مخرب: پیوند موجود در پیام smishing ممکن است به یک سایت جعلی برسد که از شما می‌خواهد اطلاعات شخصی و حساس را تایپ کنید. مجرمان سایبری از سایت‌های مخرب سفارشی استفاده می‌کنند که شبیه به سایت‌های معتبر طراحی شده‌اند و سرقت اطلاعات شما را آسان‌تر می‌کنند.

از آن جایی که تعداد افرادی که از تلفن همراه برای انجام کارهای بانکی خود استفاده می‌کنند، رو به افزایش است، جرایم سایبری که دستگاه‌های تلفن همراه را هدف قرار می‌دهند هم در حال افزایش هستند. جدای از این که پیامک رایج‌ترین نوع پیام‌رسانی در تلفن‌های هوشمند است، چند عامل دیگر نیز وجود دارند که  پیامک را به یک تهدید امنیتی تبدیل کرده است. در ادامه بیشتر با این موضوع خواهیم شد.

حملات اسمیشینگ چگونه اتفاق می‌افتند؟

فریب و کلاهبرداری اجزای اصلی تمامی حملات فیشینگ پیامکی هستند. از آنجایی که کلاهبردار از ترفندهای خاصی استفاده می‌کند تا شما را فریب دهد، ممکن است به‌راحتی به او اعتماد کنید و تسلیم درخواست‌های او شوید.

آشنایی با اصول مهندسی اجتماعی و به کارگیری آن، کلاهبرداران را قادر می‌سازد تا در تصمیم‌گیری قربانی دستکاری کنند. عوامل محرک این فریب سه چیز است:

1. اعتماد: مجرمان سایبری با معرفی خود به عنوان افراد و سازمان‌های قانونی، شک و تردید قربانیان خود را کاهش می‌دهند. پیامک‌ها به‌عنوان یک کانال ارتباطی شخصی‌تر، به‌طور طبیعی قدرت دفاعی فرد را در برابر تهدیدات کاهش می‌دهند.
2. زمینه: استفاده از موقعیتی که می‌تواند با اهداف قربانی مرتبط باشد، به مهاجم اجازه می‌دهد تا یک پوشش موثر برای خود بسازد. پیام شخصی‌سازی شده به کلاهبرداران کمک می‌کند تا هرگونه سوء ظن مبنی بر اسپم و کلاهبرداری بودن پیام را برطرف کند.
3. احساسات: با افزایش احساسات قربانی، کلاهبرداران می‌توانند بر تفکر انتقادی هدف خود غلبه کنند و آنها را به اقدام سریع ترغیب کنند.

با استفاده از این روش‌ها، مهاجمان پیام‌هایی می‌نویسند که گیرنده را وادار به انجام عمل می‌کند.

به طور معمول، کلاهبرداران از گیرنده پیام می‌خواهند که لینکی را در پیام متنی باز کند؛ این لینک قربانی را به یک ابزار فیشینگ هدایت می‌کند و از آنها می‌خواهد اطلاعات خصوصی خود را افشا کنند. این ابزار فیشینگ اغلب به شکل یک وب سایت یا برنامه است که با هویت جعلی نیز ارسال می‌شود.

هدف کلاهبرداران به شیوه‌های مختلف انتخاب می‌شوند، اما معمولاً قربانیان را بر اساس وابستگی آنها به یک سازمان و شرکت یا یک منطقه جغرافیایی خاص انتخاب می‌کنند. کارمندان یا مشتریان یک موسسه خاص، مشترکین شبکه تلفن همراه، دانشجویان دانشگاه و حتی ساکنان یک منطقه معین می توانند هدف کلاهبرداری قرار گیرند.

لباس مبدل و ماسک کلاهبردار معمولاً مربوط به موسسه‌ای است که می خواهند به آن دسترسی داشته باشند. با این حال، به همین راحتی هر ماسکی می تواند به آنها کمک کند هویت یا اطلاعات مالی شما را بدست آورند. با استفاده از روشی به نام جعل، مهاجم می‌تواند شماره تلفن واقعی خود را در پشت یک فریب پنهان کند.

گام به گام، یک مهاجم حمله خود را در چند مرحله کلیدی انجام می دهد:

• پخش پیام متنی “طعمه” به اهداف مختلف.
• به خطر انداختن اطلاعات قربانی از طریق فریب دادن.
• اجرای سرقت مورد نظر با استفاده از اطلاعات در معرض خطر قربانیان.

طرح آسیب رساندن مهاجمان زمانی موفقیت‌آمیز است که از اطلاعات خصوصی شما برای ارتکاب سرقت مورد نظر خود استفاده کنند. این هدف می‌تواند شامل سرقت مستقیم از یک حساب بانکی، ارتکاب کلاهبرداری هویت برای باز کردن غیرقانونی کارت‌های اعتباری، یا افشای اطلاعات خصوصی شرکت‌ها باشد، اما محدود به آن نیست.

اسمیشینگ چگونه گسترش می‌یابد؟

همانطور که قبلاً گفته شد، حملات اسمیشینگ هم از طریق پیام‌های متنی (SMS) و هم از طریق برنامه‌های پیام‌رسان غیر پیام کوتاه مانند اپلیکیشن‌های واتس اپ و تلگرام انجام می‌شوند. با این حال، حملات فیشینگ پیامکی عمدتاً به دلیل ماهیت فریبنده‌یشان، رواج بیشتری دارند.

اولاً، بیشتر مردم در مورد خطرات کلاهبرداری ایمیل می دانند. تقریباً همه می‌دانند که به ایمیل‌های عمومی که در آن برای مثل نوشته شده «سلام—این پیوند را بررسی کنید» باید مشکوک باشند.

اما وقتی مردم از تلفن همراه خود استفاده می‌کنند، احتیاط کمتری دارند بسیاری تصور می کنند که گوشی‌های هوشمندشان از کامپیوترها ایمن‌تر هستند. اما امنیت گوشی‌های هوشمند محدودیت‌هایی دارد و همیشه نمی‌تواند مستقیماً در برابر آسیب‌ها محافظت کند.

صرف نظر از ابزاری که استفاده می‌شود، این طرح ها در نهایت به چیزی فراتر از اعتماد شما و عدم قضاوت برای موفقیت نیاز دارند. در نتیجه، اسمیشینگ می‌تواند به هر دستگاه تلفن همراهی با قابلیت دریافت پیام متنی حمله کند.

اگرچه اکثر پلتفرم‌های گوشی‌های تلفن همراه، اندروید هستند اما دستگاه‌های iOS هم به همین اندازه در معرض آسیب هستند. فناوری موبایل iOS اپل از نظر امنیت شهرت خوبی دارد، اما هیچ سیستم عامل موبایلی به تنهایی نمی‌تواند از شما در برابر حملات فیشینگ محافظت کند. احساس امنیت کاذب می‌تواند کاربران را بدون توجه به پلتفرم، آسیب‌پذیر کند.

عامل خطر دیگر این است که ما معمولاً از گوشی هوشمند خود در حال حرکت هم استفاده می‌کنیم، یعنی درست زمانی که حواس پرت است یا عجله داریم. این به معنای آن است که با دریافت پیامی مبنی بر درخواست اطلاعات بانکی یا اطلاعات شخصی، احتمال بیشتری وجود دارد که بدون فکر کردن پاسخ دهید.

انواع حملات اسمیشینگ

تمام حملات اسمیشینگ از روش‌های مشابهی استفاده می‌کنند و فقط نحوه اجرای آن برای قربانی متفاوت است. مهاجمان می‌توانند از طیف گسترده‌ای از هویت‌ها و مکان‌ها برای تازه نگه داشتن این حملات پیامکی استفاده کنند.

متأسفانه، به دلیل این که کلاهبرداران اسمیشینگ هر روز راه‌های مختلفی را اختراع می‌کنند، تهیه فهرست جامعی از انواع اسمیشینگ ها تقریباً غیرممکن است. با این حال، چند روش رایج وجود دارد که عبارتند از:

اسمیشینگ از طریق ارائه خدمات کووید-۱۹

کلاهبرداری‌هایی که در پوشش مقابله با کووید-۱۹ انجام شده، بر اساس برنامه های کمک قانونی و دولتی، مراقبت‌های بهداشتی، و سازمان‌های مالی برای بهبودی از کووید-۱۹ بوده است.

کلاهبرداران در این روش، از ترس قربانیان برای حفظ سلامت خود کلاهبرداری می‌کردند. علائم هشداردهنده این روش اسمیشینگ شامل موارد زیر است:

• تماسی که اطلاعات حساسی را از مردم می‌خواهد (شماره تامین اجتماعی، شماره کارت اعتباری و غیره)؛
• ارائه تسهیلات مالی؛
• به روز رسانی ایمنی بهداشت عمومی؛
• درخواست برای تکمیل شمارش افراد بیمار.

اسمیشینگ از طریق خدمات مالی

تقریباً همه افراد از خدمات بانکی و کارت اعتباری استفاده می‌کنند و به همین دلیل است که از سوی بانک یا موسسه اعتباری پیام دریافت می‌کنند. پیامک‌های مبنی بر دریافت وام و سرمایه‌گذاری رایج‌ترین نوع اسمیشینگ‌های متعلق به این دسته هستند.

کلاهبرداران در این روش خود را به عنوان یک بانک یا مؤسسه مالی معرفی می‌کنند تا لباسی ایده‌آل برای ارتکاب کلاهبرداری مالی داشته باشد. ویژگی‌های یک کلاهبرداری اسمیشینگ خدمات مالی ممکن است شامل درخواست فوری برای باز کردن حساب شما، درخواست تأیید فعالیت مشکوک حساب و موارد دیگر باشد.

اسمیشینگ از طریق هدیه دادن

هدیه دادن، نشان‌دهنده وعده ارائه خدمات یا محصولات رایگان است که اغلب از یک خرده‌فروش معتبر یا شرکت‌های دیگر ارائه می‌شود. اسمشینگ از طریق هدیه دادن می‌تواند با ترغیب به شرکت در مسابقات، جوایز خرید، یا پیشنهادهای رایگان دیگر باشد. زمانی که کلاهبردار با پیشنهاد جایزه «رایگان» هیجان شما را بالا می‌برد، ذهن شما ممکن است منطقی عمل نکند و شما را وادار به انجام سریع‌تر اقدام کند. نشانه‌های این روش اسمیشینگ می‌تواند شامل پیشنهاداتی با زمان محدود یا محدودیت‌هایی باشد که شما را فریب دهد.

اسمیشینگ از طریق فاکتور یا تایید سفارش

اسمیشینگ از طریق تایید سفارش شامل ارسال تأیید نادرست خرید اخیر شما یا صورت‌حساب جعلی برای سرویسی است که اخیراً دریافت کرده‌اید. ممکن است پیوندی برای هم پیگیری ارسال شود تا کنجکاوی شما یا اقدام فوری برای ایجاد ترس از هزینه‌های ناخواسته ارائه شود. شواهد این کلاهبرداری ممکن است شامل مجموعه‌ای از متون تأیید سفارش یا عدم وجود نام تجاری باشد.

اسمیشینگ از طریق پشتیبانی مشتری

کلاهبرداران در این روش اسمیشینگ خود را به عنوان نماینده پشتیبانی شرکت مورد اعتماد مردم معرفی می‌کنند و اظهار می‌کنند که می‌خواهند مشکل شما را حل کنند. شرکت‌های مشهور معمولاً انتخاب‌های مناسبی هستند که کلاهبرداران خود را زیر نام آن‌ها پنهان کنند و به عنوان پشتیبانی و خدمات مشتری آن‌ها خود را معرفی کنند.

در اسمیشینگ از طریق پشتیبانی مشتری به طور معمول، کلاهبردار ادعا می‌کند که یک خطا در حساب کاربری شما وجود دارد و مراحلی را برای حل آن به شما ارائه می‌دهد. این درخواست می‌تواند به سادگی استفاده از یک صفحه ورود به سیستم جعلی باشد، در حالی که طرح های پیچیده‌تر ممکن است از شما بخواهند که یک کد بازیابی حساب واقعی را در تلاش برای بازنشانی رمز عبور خود ارائه دهید. نشانه‌های اسمیشینگ مبتنی بر پشتیبانی شامل مشکل در صورت‌حساب، دسترسی به حساب، فعالیت غیرمعمول یا حل و فصل شکایت اخیر شما از یک برند است.

چگونه از اسمیشینگ جلوگیری کنیم؟

تا اینجا با اسمیشینگ و انواع آن آشنا شدیم. اکنون بیایید بررسی کنیم که آیا راهی برای جلوگیری از این کلاهبرداری وجود دارد؟ خوشبختانه به‌راحتی می توان از پیامدهای احتمالی این کلاهبرداری‌ها محافظت کرد.

توجه داشته باشید که پیام‌های متنی روشی رایج برای بسیاری از کسب و کارها و مؤسسات برای دسترسی به شما و اطلاع‌رسانی به شما است. قطعاً تمامی پیام‌ها کلاهبرداری نیستند، اما باید دقت داشته باشید تا مبادا در دام فریب کلاهبرداران بیفتید.

نکات زیر به شما کمک می‌کند از خود در برابر حملات اسمیشینگ محافظت کنید:

• پاسخ پیام‌ها را ندهید. حتی درخواست‌هایی برای پاسخ دادن مانند “ارسال عدد ۱ برای لغو اشتراک” هم می تواند ترفندی برای شناسایی شماره تلفن‌های فعال باشد.
• اگر پیامی فوری است سعی کنید سرعت عکس‌العملتان را کنترل کنید. باید پیام‌هایی را که محدودیت زمانی در نظر می‌گیرند را به عنوان خطر در نظر بگیرید و به آن‌ها شک کنید. سپس با تحقیق و بررسی اقدام لازم را انجام دهید.
• اگر به پیامی شک دارید، بلافاصله با بانک، موسسه مالی یا هر کسب و کاری که اس ام اس از طرف آن ارسال شده، تماس بگیرید و از آن‌ها پرس‌وجو کنید.
• روی لینک‌های ارسالی در پیام‌ها یا تماس با شماره‌ها اعلام شده در پیام خودداری کنید.
• شماره تلفن را بررسی کنید. شماره تلفن‌هایی که ظاهر عجیبی دارند، مانند شماره های ۴ رقمی، می‌توانند عامل حملهس اسمیشینگ باشند. این یکی از تاکتیک‌هایی است که کلاهبرداران می‌توانند از آن برای پنهان کردن شماره تلفن واقعی خود استفاده کنند.
• هرگز شماره کارت اعتباری و رمز عبور کارت خود را در تلفن همراه خود نگه ندارید. بهترین راه برای جلوگیری از سرقت اطلاعات مالی این است که هرگز اطلاعات محرمانه را در دسترس سارقان قرار ندهید.
• از احراز هویت چند عاملی (MFA) استفاده کنید. در صورتی که اکانت در حال نفوذ از سوی کلاهبرداران به یک “رمز عبور” دوم برای تأیید نیاز داشته باشد، رمز عبور اول که افشا شده همچنان برای یک مهاجم اسمیشینگ بی فایده خواهد بودس. رایج ترین نوع احراز هویت چند عاملی، احراز هویت دو مرحله‌ای (۲FA) است که اغلب از کد تأیید پیام متنی استفاده می‌کند. انواع قوی‌تر شامل استفاده از یک برنامه اختصاصی برای تأیید مانند Google Authenticator  است.
• هرگز رمز عبور یا کد بازیابی حساب خود را از طریق اس ام اس یا پیام متنی ارسال نکنید. هم رمز عبور و هم کدهای بازیابی احراز هویت دو مرحله ای می‌توانند حساب شما را در معرض خطر قرار دهند. هرگز این اطلاعات را به کسی ندهید و فقط در سایت‌های رسمی از آن استفاده کنید.
• یک برنامه ضد بدافزار دانلود کنید. محصولاتی مانند Kaspersky Internet Security for Android می‌توانند اطلاعات شما را در برابر برنامه‌های مخرب و همچنین پیوندهای فیشینگ پیامکی محافظت کنند.
• تمام تلاش‌های فیشینگ پیامکی را به پلیس گزارش دهید.

به یاد داشته باشید که مانند فیشینگ که در ایمیل اتفاق می‌افتد، اسمیشینگ هم یک جرم فریبکاری است – این امر به فریب دادن قربانی برای کلیک کردن روی یک پیوند یا ارائه اطلاعات منجر می‌شود. ساده‌ترین روش محافظت در برابر این حملات این است که هیچ کاری انجام ندهید و هیچ پیامی را پاسخ ندهید. اگر پاسخ ندهید، یک پیام مخرب نمی‌تواند آسیب‌رسان باشد.

اگر قربانی اسمیشینگ شدیم، چه کاری انجام دهیم؟

حملات اسمیشینگ فریب‌دهنده هستند و ممکن است شما هم قربانی آن شوید؛ بنابراین باید برای بعد از قربانی شدن برنامه داشته باشید. بعد از بروز اسمیشینگ، این اقدامات مهم را برای محدود کردن آسیب به امنیتتان بلافاصله انجام دهید:

• حمله مشکوک را بلافاصله به پلیس گزارش کنید.
• اگر حساب بانکیتان مورد حمله قرار گرفته، حساب را بلافاصله مسدود کنید تا از هرگونه کلاهبرداری هویتی هم در حال حاضر و هم در آینده جلوگیری کنید.
• تمام رمزهای عبور و پین‌کد حساب‌ها را تغییر دهید.
• بر امور مالی، اعتبار و حساب‌های آنلاین مختلف نظارت داشته باشید تا لاگین‌های عجیب اتفاق نیفتد.

یوآیدی اولین سرویس احراز هویت دیجیتال در کشور است که فرایند احراز هویت کاربران را با الگوریتم های هوش مصنوعی و یادگیری ماشین نظیر تشخیص چهره و تشخیص زنده بودن چهره کاربر انجام می دهد. فرایند احراز هویت غیرحضوری با یوآیدی به صورت آنی و با دقت بالای ۹۸ درصد انجام می پذیرد. برای دریافت مشاوره رایگان جهت احراز هویت کاربران خود با کارشناسان ما تماس بگیرید.