اسمیشینگ (Smishing) چیست؟

اسمیشینگ (SMiShing) به “عمل استفاده از پیام متنی تلفنی (SMS) برای فریب دادن قربانیان جهت انجام اقدامات فوری مثل دانلود کردن بدافزار موبایلی، بازدید از یک وبسایت مخرب یا تماس گرفتن با یک شماره تلفن جعلی” گفته می‌شود.

اغلب مواقع پیام‌های اسمیشینگ به گونه‌ای ساخته می‌شوند که شخص مورد نظر یک اقدام فوری را انجام دهد و از آن‌ها می‌خواهند که اطلاعات شخصی یا اطلاعات مربوط به اکانتشان را تحویل دهند. اغلب اوقات این کار با استفاده از ترساندن یا تطیع کاربر از طریق عباراتی مثل “به زودی حساب شما تعلیق می‌شود”، “فعالیت‌های مشکوکی در حساب شما مشاهده شده” یا با پیشنهاد دادن یک جایزه یا تخفیف انجام می‌شود.

حملات اسمیشینگ به سرعت در حال افزایش و محبوب‌تر شدن هستند. طبق گزارش 2014 Annual Threat Report منتشر شده توسط Cloudmark در سپتامبر 2014 تعداد حوادث ناشی از اسمیشینگ در امریکا بیش از 3 برابر شده است. همچنین این گزارش مشخص کرد که از هر چهار پیامک غیرمنتظره یکی از آن‌ها به دنبال سرقت اطلاعات مالی یا شخصی قربانی بوده است.

صعود این مسیر حمله را می‌توان به چند عامل مختلف نسبت داد. اول و مشخص‌تر از همه گسترش میزان اسفتاده از گوشی‌های هوشمند است. دوم اینکه شاهد افزایش استفاده از اپلیکیشن‌های موبایلی جهت پرداخت قبوض و اجرای تراکنش‌های بیزنسی هستیم.

در نهایت افزایش میزان استفاده از احرازهویت دو مرحله‌ای آنلاین باعث افزایش اعتبار پیام‌های ارسال شده از طریق پیامک در نظر کاربران شده و کاربران معمولی به سختی می‌توانند تفاوت بین یک پیامک معتبر مثل “لطفاً این کد اعتبارسنجی را قبل از انقضا وارد کنید” و پیامکی با مضمون “همین حالا اقدام کنید” را تشخیص دهند.

1. موسسات مالی

به دلیل اینکه روزبه‌روز بر میزان انجام تراکنش‌های بانکی از طریق گوشی موبایل افزوده می‌شود، در بسیاری از پیام‌های اسمیشینگ ادعا می‌شود که این پیام از طرف یک موسسه مالی ارسال شده است. بسیاری از کاربران وقتی پیامکی از طرف بانکشان دریافت می‌کنند خوب به آن فکر نمی‌کنند. مهاجمین هم از واژه پردازی و حتی یکسری برندسازی‌های خاص برای معتبر جلوه دادن پیام‌هایشان استفاده می‌کنند.

شکل زیر نمونه‌ای از یک حمله اسمیشینگ متداول را نشان می‌دهد.

منبع تصویر: http://numbercop.tumblr.com/post/120439546107/weekly-summary-518-531

2. مثالی از یک موسسه مالی

در اوایل سال 2015 یک حمله اسمیشینگ گسترده انجام گرفت که طی آن صدها هزار پیام به کاربران در محدوده هیوستن ارسال شد. در این پیامک وجود مشکلی در حساب بانکی به دریافت کننده اطلاع داده می‌شد و از آن‌ها درخواست می‌شد برای اعتبارسنجی اطلاعات کارت اعتباری با شماره تعیین شده تماس بگیرند. وقتی کاربر با این شماره تماس می‌گرفت یک سیستم خودکار اطلاعات حساب را از وی می‌پرسید.

یک نکته جالب درباره این حمله به ظاهر تصادفی وجود داشت آن هم هدفمند بودن این حمله بود. بعدها محققین امنیتی متوجه شدند که مهاجمین با استفاده از کد منطقه، کاربران منطقه هیوستن را هدف گرفته بودند. شماره‌ای که قربانیان با آن تماس می‌گرفتند متعلق به Holiday Inn Express در هیوستن بود اما تماس آن‌ها به رباتی که برای جمع آوری اطلاعات طراحی شده بود، هدایت می‌شد. می‌توانید یکی از پیام‌های خودکاری که مربوط به حملات اسمیشینگ هستند را در این لینک مشاهده کنید.

3. مثال‌های دیگر

هر چند به نظر می‌رسد که منفعت مهاجمان اجرا کننده حملات اسمیشینگ بیشتر در این است که نقش موسسات مالی را بازی کنند اما حملات اسمیشینگ محدود به بخش بانکداری نیستند. تنها در سال 2015 گروه تحقیقاتی NUMBERCOP گزارش داد که حجم انبوهی از پیام‌های اسمیشینگ از جانب شرکت‌های تکنوژیکی و مخابراتی مثل Verizon، AT&T، Apple و T-Mobile ارسال شده که ترافیک را به سمت سایت‌های خاصی هدایت کرده و تلاش کردند کنترل تعداد زیادی از حساب‌های کاربران را به دست آورند.

در این حملات سعی می‌شد که کاربران هدف به گروه‌های 25 نفره یا کوچکتر تقسیم شوند تا هدفگیری با دقت بیشتری انجام شود. روش مورد استفاده در این حملات، هدایت کردن کاربران به سایت‌های فیشینگ شناخته شده بود.

4. تجهیزات مورد نیاز برای اسمیشینگ

یکی از دلایل جذابیت اسمیشینگ برای مهاجمین، کم هزینه بودن آن است. تمام چیزی که برای ارسال پیامک‌های هدفمند نیاز دارید عبارتند از: یک سرور VOIP، یک گوشی موبایل (burner cell phone) و یک متد جعل.

با وجود اپلیکیشن‌هایی مثل BurnerApp و SpoofCard خرید یک شماره جعلی برای ارسال پیامک کار راحت و بسیار کم هزینه‌ای است.

5. محافظت از کاربران در برابر حملات اسمیشینگ

بهترین راه برای آموزش دادن کاربران جهت مقابله با حملات اسمیشینگ اجرای حملات شبیه سازی شده در برنامه‌های آموزشی و آگاهی بخشی امنیتی است. به این ترتیب می‌توانید به افراد آموزش دهید که چگونه در برابر حملات واکنش نشان داده و با آن‌ها مقابله کنند.

می‌توان حملات شبیه سازی شده را به گونه‌ای تنظیم کرد که کاربر را به صفحه‌ای آموزشی هدایت کنند تا لحظه‌ای که کاربر رفتار نادرستی دارد، تبدیل به یک لحظه آموزنده شود.