Nadpis (Sender ID)
Napastnicy wykorzystują bramki SMS do nadpisywania pola nadawcy alfanumerycznymi nazwami banków. Systemy operacyjne telefonów automatycznie grupują takie wiadomości w oficjalnych wątkach bankowych, co usypia czujność odbiorcy.
Szczegółowa weryfikacja mechanizmów wyłudzeń danych za pośrednictwem krótkich wiadomości tekstowych (SMS) oraz metod maskowania tożsamości nadawcy.
Napastnicy wykorzystują bramki SMS do nadpisywania pola nadawcy alfanumerycznymi nazwami banków. Systemy operacyjne telefonów automatycznie grupują takie wiadomości w oficjalnych wątkach bankowych, co usypia czujność odbiorcy.
Ataki opierają się na wywoływaniu presji czasu. Komunikaty o "zablokowanym koncie" lub "nieautoryzowanej transakcji" wymuszają natychmiastowe kliknięcie w załączony odnośnik bez uprzedniej weryfikacji źródła.
Zastosowanie skracaczy linków (np. bit.ly) ukrywa docelową domenę. Fałszywe strony logowania są hostowane na serwerach z certyfikatami SSL, co błędnie sugeruje bezpieczeństwo witryny w oczach użytkownika.
Według danych z , ponad 60% zidentyfikowanych kampanii smishingowych w regionie wykorzystywało domeny zarejestrowane w ciągu ostatnich 24 godzin. Proces ten pozwala przestępcom omijać czarne listy filtrów antyspamowych operatorów telekomunikacyjnych.
Analiza techniczna wykazuje, że złośliwe skrypty na stronach docelowych są projektowane pod konkretne urządzenia mobilne. Strona rozpoznaje system operacyjny (iOS/Android) i serwuje odpowiednio dopasowany interfejs graficzny, imitujący aplikację mobilną danego banku. Więcej o standardach można przeczytać w sekcji Standardy Komunikacji Bankowej.
Źródło: Wewnętrzne repozytorium incydentów Local Grove Way.
Odbiorca otrzymuje wiadomość z nadpisem "INFO_BANK" o rzekomej próbie logowania z innego urządzenia.
Kliknięcie w link przekierowuje na stronę z formularzem, który identycznie odwzorowuje panel logowania banku.
Użytkownik podaje login i hasło, a następnie kod SMS, który w rzeczywistości autoryzuje dodanie zaufanego urządzenia sprawcy.
Przestępca uzyskuje pełny dostęp do konta i wykonuje przelewy natychmiastowe na rachunki typu "muł".
W przypadku podejrzenia ataku, należy niezwłocznie wdrożyć Procedury Po Wyłudzeniu Danych w celu minimalizacji strat finansowych.
Zapoznaj się z pełnym słownikiem terminologii, aby lepiej rozumieć techniczne aspekty zagrożeń sieciowych.
Słownik Terminologii