Смішинг (англ. SMiShing – від “SMS” і “фішинг”) – вид фішингу через SMS. Шахраї надсилають жертві SMS-повідомлення, що містить посилання на фішинговий сайт і мотивує його увійти на цей сайт. Як варіант, жертві пропонується надіслати у відповідному SMS-повідомленні, конфіденційну інформацію щодо платіжних реквізитів або персональних параметрів доступу на інфораційно-платіжні ресурси в мережі Інтернет.
Смішинг-повідомлення, що входить, може виглядати як СМС від банку, знайомої одержувачу компанії або як повідомлення про виграш в лотерею. В електронних листах такого штибу можна помітити друкарські помилки або загальну неграмотність мови і тим самим розпізнати фішинг-повідомлення (хоча часто такі послання виглядають дуже переконливо). У випадку із СМС все не так просто, оскільки за розміром вони невеликі. Відмінність хіба що в тому, що банки, компанії чи лотереї насправді таких повідомлень не надсилатимуть.
Найчастіше підставне СМС говорить: «Вітаємо, ви виграли!» — і пропонує ввести спеціальний код для того, щоб отримати приз. Також для отримання призу можуть запропонувати зателефонувати за безкоштовним номером або відповісти на СМС-повідомлення. Можливо і просто пропозиція зайти за вказаним у повідомленні посиланням.
У такий спосіб зловмисники заманюють довірливих громадян. Якщо жертва відповідає на подібне повідомлення, то злочинець починає витягувати з неї персональну інформацію, а то й просить переказати гроші на свій рахунок в обмін на приз. Якщо ж перейти за посиланням у повідомленні, то цілком реально завантажити вірус на свій мобільний.
Щоб не стати жертвою шахраїв, необхідно дотримуватись наступних рекомендацій:
- Чи не вірте. Пам’ятайте, торгові мережі не роздають цінні призи та подарункові картки просто так. Якщо щось виглядає надто добре, щоб бути правдою, то вас намагаються обдурити.
- Не відповідайте. Просто видаліть повідомлення, не відповідаючи. Якщо SMS містить номер телефону, не дзвоніть по ньому, інакше ви ризикуєте привернути до себе увагу як до потенційної жертви. Не йдіть за посиланнями, щоб не завантажити жодні віруси на свій мобільний телефон.
- Не розкривайте свої особисті дані. Якщо вас просять повідомити будь-які відомості особистого характеру для того, щоб нібито надіслати вам приз, назвати номер вашого банківського рахунку або перерахувати гроші, які потрібні на «доставку» подарунка, – не розкривайте своїх персональних даних.
- Повідомте вашого стільникового оператора і т.п. Якщо ви отримали змішинг-повідомлення, сповістіть про це вашого мобільного оператора і заблокуйте номери, з яких ці повідомлення були надіслані. У випадку якщо ви отримали шахрайське СМС нібито від вашого банку або торгової мережі, також поінформуйте їх про те, що відбувається.
Розпізнати СМС шахрайство з банківськими картками досить важко. Відправник, що вселяє довіру, збиває з пантелику, а при спілкуванні з «оператором» ви почуєте характерний шум, властивий роботі офісному співробітнику.
За більш тонкого підходу до розмови з майбутньою жертвою заздалегідь готуються. Наразі не важко зібрати додаткову інформацію за допомогою соціальних мереж. До вас можуть звернутися по імені-по батькові, назвати вашу дату народження, місце роботи. Все це, щоб приспати пильність. Пам’ятайте, шахраї-професіонали мають хорошу підготовку, вони розумні та хитрі.
Повинно насторожити:
- незвичний сервісний номер банку (будь-які комбінації букв і цифр, схожі на реальний банківський номер). Найкраще взагалі не передзвонювати за вказаними телефонами. Адже подібні розсилки СМС використовуються з єдиною метою збору інформації;
- ухильні відповіді про стан вашого рахунку;
- якщо вам пропонують назвати реквізити вашої картки;
- якщо пропонують підійти до банкомату та дотримуватися вказівок оператора.
У разі, коли СМС про блокування пластику справді прийшла від банку, у контактних даних буде вказано прямий телефон банку, кол-центру. При цьому обов’язково буде прописано частину номера картки. Уважно подивіться, хто вказаний як відправник.
Онлайнові шахраї розширили напрямок своїх атак на стільникові телефони. Випадки масового розсилання фальшивих SMS, що заманюють користувачів на інфікований веб-сайт, вже мали місце в Ісландії та Австралії, що змусило експертів з безпеки поширити попередження про смішінг (SMiShing).
У тексті фальшивої SMS користувачеві повідомляється про те, що він підписаний на платну послугу, за яку з його рахунку утримуватиметься $2 щодня, і якщо він хоче відмовитися від цієї послуги, то йому потрібно зайти на сайт. На сайті користувачів «чекала» троянська програма, написана на VBS, яка відкривала лазівку хакерам на заражений нею комп’ютер і розпочинала автоматичне розсилання SMS на випадкові номери через відповідні веб-сервіси стільникових операторів.
