«Настало время заниматься фишингом. Ничто так не привлекает цифровых бандитов, как праздники, и этот год не стал исключением.
Proofpoint, компания, занимающаяся цифровой безопасностью, сообщила во вторник, что ее исследователи наблюдают массовый рост числа мобильных фишинговых атак на тему праздников во всем мире, также известных как smishing.
Он отметил, что объем мобильных фишинговых сообщений почти удвоился по сравнению с этим периодом прошлого года.
Эти сообщения обещают все, от доставки посылок и подарков до специальных розничных предложений и особых исключений для доставки.
«В последние несколько лет наблюдалась тенденция мошенничества и мошенничества, связанного с праздниками и праздничными темами в четвертом квартале года», — отметила Хасинта Тобин, глобальный вице-президент Proofpoint по операциям Cloudmark.
«Мы наблюдаем неуклонный рост наших отчетов о мошенничестве и мошенничестве в США и мире, начиная с октября и увеличиваясь в течение декабря», — сказала она TechNewsWorld.
Содержание статьи
Сезон уязвимости
Бен Бриджида, директор по операциям SOC в Expel, поставщик услуг SOC в Херндоне, штат Вирджиния, объяснил, что количество фишинговых атак увеличивается во время праздников, потому что люди более восприимчивы к социальным сетям. инженерные разработки, направленные на их желание показать своим близким, что они неравнодушны.
«В это время нет ничего необычного в том, чтобы получать рекламу с обещаниями выгодных сделок или когда кто-то спрашивает, не хотите ли вы скинуться на крупный подарок», — сказал он TechNewsWorld.
«Злоумышленники могут отправить электронное письмо о сделке, которая слишком хороша, чтобы быть правдой для новой популярной игрушки, и люди на нее повадятся», — сказал он.
«Они могут выдавать себя за менеджера, — продолжил он, — и попросил кого-нибудь «забрать подарочные карты для всех в офисе», и это действительно имеет смысл, поэтому люди это делают ».
Магни Р. Сигурдссон, старший менеджер по технологиям обнаружения в компании Cyren, компания по кибербезопасности из Маклина, штат Вирджиния, которая специализируется на защите предприятий от фишинговых атак и потери данных, отметила, что количество фишинговых SMS-кампаний увеличилось, поскольку мобильных пользователей и устройств стало больше, чем год назад
«Фишинг — это коммерческое предприятие, поэтому киберпреступники приспосабливаются к изменениям в поведении потребителей так же, как и законные предприятия», — сказал он TechNewsWorld.
Успех с высоким рейтингом кликов
«Поскольку потребители все больше полагаются на мобильные устройства, вполне естественно, что злоумышленники сосредоточатся на этих платформах», — заметил Джон Бамбенек, главный специалист по поиску угроз из Нетенриха, Сан-Хосе, Калифорния. Компания, занимающаяся ИТ и цифровой безопасностью.
«Это особенно верно, если учесть, что количество кликов по SMS-атакам намного выше, чем по электронной почте, и тот факт, что на мобильных устройствах гораздо меньше безопасности», — он сообщил TechNewsWorld.
«Таким образом, нападения абсолютно увеличились, и они будут продолжать расти», — сказал он.
Хэнк Шлесс, старший менеджер по решениям безопасности Lookout, поставщика мобильных фишинговых решений из Сан-Франциско, отметил значительный рост корпоративного мобильного фишинга в конце 2019 и 2020 годов. С четвертого квартала 2019 года по первый квартал 2020 года, объем увеличился на 87 процентов, а с четвертого квартала 2020 года по первый квартал 2021 года они выросли на 127 процентов.
«Интересно то, что с этого момента в 2021 году субъекты угроз не сдавались, и частота столкновений продолжала расти в течение первых трех кварталов 2021 года, показывая, что это серьезная проблема, которая не исчезнет», он сказал TechNewsWorld.
Служба фиктивных клиентов
В блоге Proofpoint Тобин написал, что киберпреступники охотятся на мобильных пользователей с помощью сокрушительных атак, которые якобы исходят от известных компаний, включая известных розничных продавцов, бренды электронной коммерции и компании по доставке посылок.
Эти приманки пытаются украсть личную информацию у ничего не подозревающих целей, добавила она.
Многие из этих приманок запрашивают информацию о кредитной карте для решения проблемы, предположительно связанной с покупкой или доставкой несуществующего товара, отметила она.
Пример мошеннического SMS-уведомления с попыткой украсть личную информацию (Изображение предоставлено: Proofpoint)
В других случаях, писала она, злоумышленники пытаются украсть личную информацию через заманчивый URL-адрес или целевую страницу.
Expel видел похожие В блоге, опубликованном в понедельник, говорилось о мошенничестве с доставкой, когда цель была уведомлена о покупке дорогостоящего товара, который они не купили.
В электронном письме нет интерактивных ссылок — просто номер телефона «службы поддержки», напечатанный ярко-красным шрифтом внизу уведомления о покупке.
Когда получатель уведомления звонит по номеру телефона, «представитель службы поддержки клиентов» предлагает решить проблему , после сбора необходимой информации об учетной записи для сортировки проблема.
Пример поддельного электронного письма с уведомлением о доставке Amazon ( Изображение предоставлено: Expel)
В случае успеха этот тип мошенничества приведет к получению злоумышленником учетных данных, номеров кредитных карт или другой конфиденциальной личной информации от соответствующего получателя, пояснил Expel.
«Рост потребительских покупок в период праздников предоставляет злоумышленникам множество возможностей заставить людей раскрыть конфиденциальную информацию», — заметил Рэй Пью, менеджер по операциям безопасности Expel.
«Поддельные квитанции о покупке, счета-фактуры и уведомления о доставке особенно часто побуждают получателей щелкать ссылки или звонить по номерам телефонов, указанным в фишинговом письме, поскольку получатели ожидают таких писем в это время года, поэтому звонок «боевые действия сильны, и шансы злоумышленников на успех особенно высоки во время праздников», — сказал он TechNewsWorld.
Меры предосторожности
В своем блоге Тобин дала несколько советов по безопасности мобильных устройств во время праздников.
- Обращайте внимание на подозрительные текстовые сообщения. Преступники все чаще используют мобильные сообщения и SMS-фишинг в качестве вектора атаки.
- Будьте осторожны, сообщая свой номер мобильного телефона предприятиям или другим коммерческим организациям.
- Каждый раз, когда вы получаете сообщение, в том числе какое-либо предупреждение или уведомление о доставке пакета, которое содержит веб-ссылку, не используйте веб-ссылку, указанную в текстовом сообщении. Вместо этого используйте браузер своего устройства для прямого доступа к веб-сайту отправителя или используйте приложение бренда, если оно уже установлено на вашем устройстве. Сделайте то же самое для любых кодов предложений, которые вы получаете, вводя их прямо на веб-сайте отправителя в браузере.
- Сообщайте о SMS-фишинге и спаме в службу сообщений о спаме. Используйте функцию сообщений о спаме в своем клиенте обмена сообщениями, если он есть, или пересылайте текстовые сообщения со спамом на номер 7726, что означает «СПАМ» на клавиатуре телефона.
- Будьте осторожны при загрузке и установке нового программного обеспечения на свое мобильное устройство. Внимательно прочтите приглашения на установку, особенно для получения информации о правах и привилегиях, которые может запрашивать приложение.
- Не отвечайте на нежелательные корпоративные или коммерческие сообщения от поставщиков или предприятий, которых вы не знаете. Это часто подтверждает, что вы «настоящий человек».
- Не устанавливайте программное обеспечение на свое мобильное устройство из любого источника, кроме сертифицированного магазина приложений от поставщика или оператора мобильной связи.
- «Потребители должны понимать, что SMS-сообщения более небезопасны, чем электронная почта, и что каждое полученное ими сообщение является подозрительным», — сказал Бамбенек.
«Они должны предпочесть обмен сообщениями на основе приложений, а не текст, — добавил он, — и понять, что если что-то слишком хорошо, чтобы быть правдой, то, вероятно, так оно и есть».