Smishing, phishing i vishing: jaka jest różnica?
Szybkie linki
⭐ Phishing vs. Smishing vs. Vishing
⭐ Co to jest phishing?
⭐ Co to jest smishing?
⭐ Co to jest Vishing?
⭐ Jak rozpoznać oszustwa typu phishing, smishing i vishing
Kluczowe wnioski
Phishing, smishing i vishing to różne taktyki stosowane przez cyberprzestępców w celu oszukania osób i zdobycia poufnych danych, a także zasobów finansowych. Schematy te często polegają na oszukiwaniu za pomocą wiadomości e-mail lub połączeń telefonicznych, które wydają się legalne, w celu nakłonienia ofiar do ujawnienia cennych informacji lub przelania środków na nieautoryzowane konta.
Phishing to forma oszustwa wykorzystująca metody komunikacji elektronicznej, takie jak wiadomości e-mail, w celu nakłonienia osób do ujawnienia poufnych informacji lub danych osobowych. Podobnie smishing, skrót od SMS phishing, wykorzystuje niechciane wiadomości tekstowe wysyłane za pośrednictwem urządzeń mobilnych w celu oszukania odbiorców, zachęcając ich do kliknięcia złośliwych linków lub podania poufnych danych. Z drugiej strony, vishing wykorzystuje komunikację telefoniczną, w której przestępcy podszywają się pod legalne organizacje w celu wyłudzenia krytycznych informacji od niczego niepodejrzewających ofiar przez telefon.
Aby uniknąć stania się celem takich oszukańczych schematów, ważne jest, aby dokładnie sprawdzić adres nadawcy, hiperłącza i żądania, zweryfikować autentyczność wiadomości, nie klikając żadnych linków ani nie wybierając numerów telefonów, dopóki nie upewnimy się, że są one autentyczne, a jeśli istnieją wątpliwości co do legalności połączenia, należy przerwać połączenie i ponownie wybrać numer, korzystając z autoryzowanego numeru.
Czy otrzymałeś niekonwencjonalną korespondencję z prośbą o rekompensatę finansową, prywatne dane lub instrukcje dotyczące śledzenia podejrzanych adresów internetowych w celu spełnienia określonych wymagań? Jest prawdopodobne, że te prośby wynikają z próby zwabienia Cię za pomocą taktyk phishingu, smishingu lub vishingu, które są coraz bardziej powszechne w dzisiejszym cyfrowym krajobrazie.
Można się jednak zastanawiać, jak zidentyfikować takie wprowadzające w błąd argumenty i uniknąć stania się ich ofiarą.
Phishing vs. Smishing vs. Vishing Vishing
Zanim zagłębimy się w zawiłe szczegóły, przedstawmy ogólne podsumowanie natury i cech każdego oszukańczego schematu:
|
Phishing
|
Smishing
|
Vishing
-|-|-|-
Definicja
|
Oszustwa wysyłane pocztą elektroniczną
|
Oszustwa typu phishing wysyłane za pośrednictwem wiadomości SMS
|
Oszustwa typu phishing przeprowadzane za pośrednictwem połączeń telefonicznych
Cel
|
Uzyskanie nieautoryzowanego dostępu do poufnych danych osobowych, takich jak dane logowania i dane finansowe.
|
Infiltracja danych osobowych, takich jak dane logowania i informacje finansowe, za pomocą nieautoryzowanych środków lub potajemne instalowanie szkodliwego oprogramowania na urządzeniu.
|
Nakłanianie osób do ujawnienia poufnych informacji za pośrednictwem komunikacji telefonicznej i potajemne uzyskiwanie kontroli nad ich kontami online to dwie nikczemne taktyki stosowane przez cyberprzestępców w celu wykorzystania luk w zabezpieczeniach i naruszenia bezpieczeństwa ofiary.
Przykład
|
Będziemy wdzięczni za skorzystanie z podanego linku w celu zweryfikowania ostatniej transakcji i odebrania hojnej nagrody. Należy pamiętać, że niniejsza korespondencja służy jako oficjalne powiadomienie o kwalifikowalności do takiej rekompensaty, która została przyznana w ramach naszego stałego zaangażowania w zadowolenie klientów. Mamy szczerą nadzieję, że ta okazja przyniesie Ci wiele radości i satysfakcji. Dziękujemy za wybranie nas jako preferowanego dostawcy usług.
|
Wysłano wiadomość SMS z prośbą o przejście pod określony adres internetowy w celu potwierdzenia danych konta osobistego.
|
Oszukańcza wiadomość może zostać odebrana telefonicznie od renomowanej instytucji, takiej jak Internal Revenue Service (IRS), instytucji finansowej lub innego godnego zaufania podmiotu, rzekomo żądającego zapłaty za rzekomy dług lub proszącego o podanie poufnych danych osobowych w celu rozwiązania rzekomego problemu.
Defense
|
Ważne jest, aby zachować ostrożność podczas sprawdzania źródła wiadomości e-mail, w tym adresu nadawcy, wszelkich osadzonych linków i charakteru żądania, przed podjęciem jakichkolwiek działań.
|
Przed skorzystaniem z podejrzanych wiadomości tekstowych należy zweryfikować ich autentyczność, porównując je z zaufanym źródłem. Ponadto należy powstrzymać się od wybierania numerów telefonów zawartych w takich wiadomościach, chyba że masz pewność, że są one autentyczne.
|
Jeśli napotkasz wątpliwe połączenie telefoniczne, rozsądne może być przerwanie połączenia i ponowne wybranie numeru przy użyciu ustalonego, legalnego numeru jako środka zapobiegawczego.
Co to jest phishing?
Ataki phishingowe często wykorzystują pocztę elektroniczną jako sposób komunikacji ze względu na łatwość fałszowania adresu nadawcy, stwarzając w ten sposób wrażenie, że wiadomość pochodzi od instytucji finansowej, sprzedawcy detalicznego, agencji rządowej lub innego renomowanego źródła. Takie oszustwa są zwykle osiągane poprzez wymyślanie treści związanych z transakcjami powszechnie przeprowadzanymi za pośrednictwem poczty elektronicznej, takimi jak czynności bankowe, zakupy online, aktualizacje wysyłek z United Parcel Service (UPS) lub Federal Express (FedEx) lub resetowanie haseł wymagane przez platformy mediów społecznościowych, w tym Facebook lub usługę Gmail firmy Google.
Po otrzymaniu powiadomienia, początkową skłonnością może być natychmiastowe zajęcie się sprawą poprzez kliknięcie dostarczonego hiperłącza w celu niezwłocznego zajęcia się nią. Jednak zamiast kierować użytkownika do prawdziwej witryny, ten konkretny link prowadzi go do imitacji strony logowania opracowanej przez cyberprzestępców. Gdy dana osoba wprowadzi swoje dane logowania na tej fałszywej platformie, przestępcy uzyskują nieograniczony dostęp do jej konta. W rezultacie mogą zmienić hasło ofiary, opróżnić jej aktywa finansowe lub przejąć jej tożsamość bez wykrycia.
Niedawno natknąłem się na wiadomość elektroniczną, która wzbudziła obawy co do jej autentyczności ze względu na pewne wskaźniki sugerujące możliwy schemat phishingu. Załączony zrzut ekranu przedstawia te czerwone flagi, które obejmują:
Obecnie nie posiadam konta Cash App, ani nie rejestrowałem się na nie w przeszłości.
Wygląd adresu nadawcy wydaje się być bezsensowny, nielegalny i oderwany od jakiejkolwiek legalnej korespondencji związanej z autoryzowaną platformą komunikacyjną Square Inc. dla elektronicznych transakcji finansowych, a mianowicie Cash App.
Rzeczywiście, można się zastanawiać, dlaczego istnieje konieczność ręcznego zainicjowania procesu potwierdzenia poprzez kliknięcie linku do wpłat dokonanych za pośrednictwem Cash App, zamiast umożliwienia ich natychmiastowego odzwierciedlenia na koncie.
Urok rzekomego oświadczenia “bez zobowiązań kosztowych” wydaje się być celowo spreparowany, aby ukryć wszelkie ukryte intencje, które mogą istnieć w komunikacji nadawcy. Chociaż wiadomość wydaje się oferować hojną sumę pieniędzy bez żadnych kosztów, ważne jest, aby rozpoznać i uznać potencjalne zagrożenia związane z takimi ofertami. Zagrożenia te mogą obejmować kradzież tożsamości, pobieranie szkodliwego złośliwego oprogramowania lub inne nikczemne intrygi mające na celu wykorzystanie poufnych informacji. W świetle tych licznych znaków ostrzegawczych postanowiłem szybko usunąć korespondencję, zamiast angażować się w dalszą interakcję.
Co to jest smishing?
Smishing, rodzaj cyberprzestępczości, polega na wykorzystaniu wiadomości tekstowych w przeciwieństwie do wiadomości e-mail w celu nieuczciwego uzyskania danych osobowych lub korzyści finansowych poprzez podszywanie się pod godny zaufania podmiot. Metoda ta łączy w sobie akronim SMS, który oznacza usługę krótkich wiadomości tekstowych, z terminem “phishing”, tworząc nazwę “smishing”.
Smishing to forma ataku phishingowego, w której oszuści wykorzystują różne taktyki, aby nakłonić osoby do kliknięcia w linki lub ujawnienia poufnych informacji. Wiadomości te często wyglądają na legalne, przypominając komunikaty z wiarygodnych źródeł, takich jak banki, znajomi lub firmy, z którymi regularnie się kontaktujemy. Mogą również zawierać hiperłącza, które są przeznaczone do kliknięcia, prowadząc niczego niepodejrzewające ofiary do nieświadomego podania swoich danych logowania, a tym samym padnięcia ofiarą oszustwa.
Close
W innej sytuacji wiadomość smishingowa może zapewniać, że użytkownik triumfalnie odebrał nagrodę lub loterię bez wcześniejszego wskazania lub udziału z jego strony. Aby zrealizować tę rzekomą nagrodę, użytkownik jest proszony o uiszczenie symbolicznej opłaty, skontaktowanie się z określonym numerem telefonu lub kliknięcie hiperłącza, które wymagałoby ujawnienia poufnych informacji, w tym danych logowania. Należy koniecznie zauważyć, że ta rzekoma nagroda w ogóle nie istnieje; raczej dostarczenie takich poufnych danych może ułatwić pozbawionym skrupułów osobom wyczerpanie środków w instytucji finansowej.
W podobnym duchu inna wprowadzająca w błąd komunikacja może twierdzić, że dana osoba odniosła triumf w losowaniu i pragnie obdarować ją swoimi hojnymi zyskami. Nic dziwnego, że odbiorca zostanie poinstruowany, aby podążał za hiperłączem lub podał poufne dane, aby zdobyć te bogactwa.
Pomimo faktu, że nawet sezon podatkowy jest odporny, złośliwe wiadomości tekstowe są powszechne, które oferują obietnice zwrotu podatku lub twierdzą, że ktoś jest winien fundusze do Internal Revenue Service.
Dlaczego więc SMS, a nie e-mail? Cóż, według Gartnera , znacznie więcej osób czyta i odpowiada na SMS-y - około 98% w porównaniu do zaledwie 20% w przypadku e-maili. Ponieważ jesteśmy stale przyklejeni do naszych telefonów, smishing ma większe szanse powodzenia.
Co to jest Vishing?
macrovector/ freepik
Vishing, znany również jako “phishing głosowy”, obejmuje oszukańcze schematy, które są realizowane za pośrednictwem komunikacji telefonicznej. Ta forma oszustwa polega na tym, że osoba odbiera połączenie od oszusta, który szuka informacji osobistych, zamiast wysyłać wiadomości elektroniczne.
Oszustwa typu vishing wykorzystują różne taktyki socjotechniczne mające na celu oszukanie osób poprzez wywoływanie emocji, takich jak strach lub panika, poprzez sfabrykowane scenariusze dotyczące pilnych i groźnych sytuacji, takich jak nieautoryzowane użycie ich numerów ubezpieczenia społecznego lub zaległe długi podatkowe wobec Internal Revenue Service (IRS). Taktyki te mają na celu zmanipulowanie ofiar do podania poufnych danych osobowych w celu ułatwienia rozwiązania rzekomych problemów. Przykład tego można zobaczyć w wątku zatytułowanym “X” na naszej platformie, który ilustruje klasyczny przypadek oszustwa vishingowego.
Jedną z powszechnych taktyk stosowanych przez oszustów vishingowych jest manipulacja informacjami identyfikującymi dzwoniącego, znana jako spoofing ID dzwoniącego. Fałszując źródło połączenia przychodzącego, aby wyglądało na pochodzące od renomowanej organizacji, takiej jak instytucja finansowa lub agencja rządowa, oszust może zwiększyć swoje szanse na pomyślne wykonanie swojego planu. Wykorzystując dane osobowe uzyskane w wyniku wcześniejszych naruszeń danych, oszuści często stosują przekonujące taktyki w celu ustalenia wiarygodności. Na przykład mogą przywitać ofiarę wiadomością typu “Witam Panie Smith, dzwoni Pana bank”, aby zdobyć zaufanie ofiary przed przystąpieniem do realizacji swoich nikczemnych zamiarów.
Jedna z dwóch rzeczy ma teraz miejsce.
Osoba, do której skierowany jest ten scenariusz, jest proszona o podanie poufnych informacji finansowych, takich jak numer karty kredytowej lub debetowej, wraz z powiązanymi osobistymi numerami identyfikacyjnymi (PIN) i dodatkowymi osobistymi danymi identyfikacyjnymi za pośrednictwem automatycznego interaktywnego systemu odpowiedzi głosowej.
Po zainicjowaniu kontaktu ze swoją instytucją finansową, osoba będąca celem tego schematu może zaangażować się w rozmowę z oszustem podającym się za przedstawiciela tej instytucji. Nie przerywając połączenia, gdy zostanie o to poproszony, sprawca skutecznie utrzymuje kontrolę nad kanałem komunikacji.Następnie niczego niepodejrzewająca ofiara zostanie prawdopodobnie poddana symulowanemu sygnałowi wybierania numeru, który zostanie następnie zastąpiony przez oszukańczego aktora udającego rolę legalnego autorytetu. W tym charakterze zażąda od ofiary poufnych informacji, rzekomo w celu weryfikacji, ale ostatecznie wykorzysta te dane do przelania środków z kont ofiary na nowo utworzony, rzekomo bezpieczny instrument finansowy pod ich kontrolą.
Niestety, kwestia strat finansowych wynikających z programów vishingowych pozostaje niejasna pod względem odpowiedzialności prawnej, ponieważ banki twierdzą, że pewne środki odpowiedzialności powinny spoczywać na ofiarach w celu ochrony ich własnych interesów, nawet jeśli takie działania są celowo prowadzone przez oszustów.
Jak rozpoznać oszustwa typu phishing, smishing i vishing
Chociaż oszuści mogą wykorzystywać przebiegłość i dwulicowość w swoich działaniach, można wyposażyć się w kilka proaktywnych środków, które okażą się skuteczne w udaremnianiu takich prób. Strategie te są zarówno praktyczne, jak i proste, oszczędzając cenne zasoby, takie jak czas, finanse i niepotrzebnie wydatkowana energia.
Potwierdź autentyczność osoby kontaktującej się z Tobą, weryfikując jej numer telefonu, adres e-mail lub kanał komunikacji, za pośrednictwem którego się z Tobą skontaktowała. Możliwe, że podany numer został sfałszowany, aby wyglądać na legalne źródło.
W razie wątpliwości zaleca się skorzystanie z alternatywnego połączenia telefonicznego, nawet jeśli numer wydaje się godny zaufania. W ten sposób można uniknąć potencjalnych oszustw znanych jako “brak rozłączenia”. Zaleca się skorzystanie z numeru telefonu, który niedawno pojawił się na wyciągu bankowym lub alternatywnie, wyszukanie głównego numeru obsługi klienta swojej instytucji finansowej za pośrednictwem wiarygodnych źródeł internetowych.
Podczas interakcji z innymi osobami należy zachować ostrożność przy podawaniu osobistych informacji finansowych, niezależnie od ich uporu. Pod żadnym pozorem nie należy ujawniać wrażliwych danych, takich jak cyfry identyfikacyjne, w tym te znajdujące się na odwrocie karty kredytowej lub data jej ważności.
Powstrzymaj się od spełniania niechcianych próśb od nieznanych rozmówców o przelanie środków na inne konto, ponieważ jest mało prawdopodobne, aby takie działania zostały zainicjowane przez Twoją instytucję finansową. Ponadto renomowane banki zazwyczaj nie wysyłają kurierów w celu odzyskania książeczek czekowych klientów, a legalne władze uciekają się do takich środków tylko w przypadkach, gdy uzasadnione są działania prawne, takie jak ściganie przez Internal Revenue Service.
Należy zachować ostrożność w przypadku otrzymywania nieproszonych wiadomości tekstowych rzekomo pochodzących od instytucji finansowej lub innego renomowanego podmiotu. Taka komunikacja nie powinna mieć miejsca, chyba że odbiorca wyraził wcześniej zgodę na otrzymywanie takich powiadomień za pośrednictwem wiadomości SMS.
Należy zachować ostrożność w przypadku napotkania skróconych linków w wiadomościach tekstowych, ponieważ mogą one prowadzić do niezamierzonych miejsc docelowych. Niepewność związana z takimi linkami stwarza potencjalne ryzyko dla osób, które je naciskają lub klikają, co utrudnia przewidzenie ich ostatecznego miejsca docelowego.
W przypadku otrzymania jakichkolwiek połączeń telefonicznych, które zawierają zastraszający lub przymusowy język, zaleca się natychmiastowe przerwanie komunikacji. Legalne organizacje nie uciekają się do pustych gróźb bez uzasadnionych powodów do obaw.
Rozsądnie jest nie korzystać z nieodwołalnych metod płatności, takich jak karty podarunkowe, waluty cyfrowe lub przelewy bankowe w kontaktach z nieznanymi stronami, ponieważ te formy płatności zapewniają niewielki lub żaden regres w przypadku nieuczciwej działalności.
Zaleca się poleganie na intuicji w obliczu wiadomości e-mail, SMS-ów lub połączeń, które wydają się wątpliwe lub wydają się zbyt piękne, aby mogły być prawdziwe. Rozsądnie byłoby uznać je za potencjalne oszustwa i odpowiednio postępować.
Po dokładnym rozważeniu i rozwadze, utrzymanie podwyższonego stanu świadomości powinno być nadrzędnym imperatywem. W przypadkach, w których pojawia się niepewność, rozsądnym sposobem działania byłoby natychmiastowe zakończenie komunikacji. Ponadto, w obliczu nieproszonej korespondencji elektronicznej w formie wiadomości e-mail lub wiadomości tekstowej, zaleca się całkowite ich zignorowanie.