اسمیشینگ (SMiShing) به “عمل استفاده از پیام متنی تلفنی (SMS) برای فریب دادن قربانیان جهت انجام اقدامات فوری مثل دانلود کردن بدافزار موبایلی، بازدید از یک وبسایت مخرب یا تماس گرفتن با یک شماره تلفن جعلی” گفته میشود.
اغلب مواقع پیامهای اسمیشینگ به گونهای ساخته میشوند که شخص مورد نظر یک اقدام فوری را انجام دهد و از آنها میخواهند که اطلاعات شخصی یا اطلاعات مربوط به اکانتشان را تحویل دهند. اغلب اوقات این کار با استفاده از ترساندن یا تطیع کاربر از طریق عباراتی مثل “به زودی حساب شما تعلیق میشود”، “فعالیتهای مشکوکی در حساب شما مشاهده شده” یا با پیشنهاد دادن یک جایزه یا تخفیف انجام میشود.
حملات اسمیشینگ به سرعت در حال افزایش و محبوبتر شدن هستند. طبق گزارش 2014 Annual Threat Report منتشر شده توسط Cloudmark در سپتامبر 2014 تعداد حوادث ناشی از اسمیشینگ در امریکا بیش از 3 برابر شده است. همچنین این گزارش مشخص کرد که از هر چهار پیامک غیرمنتظره یکی از آنها به دنبال سرقت اطلاعات مالی یا شخصی قربانی بوده است.
صعود این مسیر حمله را میتوان به چند عامل مختلف نسبت داد. اول و مشخصتر از همه گسترش میزان اسفتاده از گوشیهای هوشمند است. دوم اینکه شاهد افزایش استفاده از اپلیکیشنهای موبایلی جهت پرداخت قبوض و اجرای تراکنشهای بیزنسی هستیم.
در نهایت افزایش میزان استفاده از احرازهویت دو مرحلهای آنلاین باعث افزایش اعتبار پیامهای ارسال شده از طریق پیامک در نظر کاربران شده و کاربران معمولی به سختی میتوانند تفاوت بین یک پیامک معتبر مثل “لطفاً این کد اعتبارسنجی را قبل از انقضا وارد کنید” و پیامکی با مضمون “همین حالا اقدام کنید” را تشخیص دهند.
1. موسسات مالی
به دلیل اینکه روزبهروز بر میزان انجام تراکنشهای بانکی از طریق گوشی موبایل افزوده میشود، در بسیاری از پیامهای اسمیشینگ ادعا میشود که این پیام از طرف یک موسسه مالی ارسال شده است. بسیاری از کاربران وقتی پیامکی از طرف بانکشان دریافت میکنند خوب به آن فکر نمیکنند. مهاجمین هم از واژه پردازی و حتی یکسری برندسازیهای خاص برای معتبر جلوه دادن پیامهایشان استفاده میکنند.
شکل زیر نمونهای از یک حمله اسمیشینگ متداول را نشان میدهد.
منبع تصویر: http://numbercop.tumblr.com/post/120439546107/weekly-summary-518-531
2. مثالی از یک موسسه مالی
در اوایل سال 2015 یک حمله اسمیشینگ گسترده انجام گرفت که طی آن صدها هزار پیام به کاربران در محدوده هیوستن ارسال شد. در این پیامک وجود مشکلی در حساب بانکی به دریافت کننده اطلاع داده میشد و از آنها درخواست میشد برای اعتبارسنجی اطلاعات کارت اعتباری با شماره تعیین شده تماس بگیرند. وقتی کاربر با این شماره تماس میگرفت یک سیستم خودکار اطلاعات حساب را از وی میپرسید.
یک نکته جالب درباره این حمله به ظاهر تصادفی وجود داشت آن هم هدفمند بودن این حمله بود. بعدها محققین امنیتی متوجه شدند که مهاجمین با استفاده از کد منطقه، کاربران منطقه هیوستن را هدف گرفته بودند. شمارهای که قربانیان با آن تماس میگرفتند متعلق به Holiday Inn Express در هیوستن بود اما تماس آنها به رباتی که برای جمع آوری اطلاعات طراحی شده بود، هدایت میشد. میتوانید یکی از پیامهای خودکاری که مربوط به حملات اسمیشینگ هستند را در این لینک مشاهده کنید.
3. مثالهای دیگر
هر چند به نظر میرسد که منفعت مهاجمان اجرا کننده حملات اسمیشینگ بیشتر در این است که نقش موسسات مالی را بازی کنند اما حملات اسمیشینگ محدود به بخش بانکداری نیستند. تنها در سال 2015 گروه تحقیقاتی NUMBERCOP گزارش داد که حجم انبوهی از پیامهای اسمیشینگ از جانب شرکتهای تکنوژیکی و مخابراتی مثل Verizon، AT&T، Apple و T-Mobile ارسال شده که ترافیک را به سمت سایتهای خاصی هدایت کرده و تلاش کردند کنترل تعداد زیادی از حسابهای کاربران را به دست آورند.
در این حملات سعی میشد که کاربران هدف به گروههای 25 نفره یا کوچکتر تقسیم شوند تا هدفگیری با دقت بیشتری انجام شود. روش مورد استفاده در این حملات، هدایت کردن کاربران به سایتهای فیشینگ شناخته شده بود.
4. تجهیزات مورد نیاز برای اسمیشینگ
یکی از دلایل جذابیت اسمیشینگ برای مهاجمین، کم هزینه بودن آن است. تمام چیزی که برای ارسال پیامکهای هدفمند نیاز دارید عبارتند از: یک سرور VOIP، یک گوشی موبایل (burner cell phone) و یک متد جعل.
با وجود اپلیکیشنهایی مثل BurnerApp و SpoofCard خرید یک شماره جعلی برای ارسال پیامک کار راحت و بسیار کم هزینهای است.
5. محافظت از کاربران در برابر حملات اسمیشینگ
بهترین راه برای آموزش دادن کاربران جهت مقابله با حملات اسمیشینگ اجرای حملات شبیه سازی شده در برنامههای آموزشی و آگاهی بخشی امنیتی است. به این ترتیب میتوانید به افراد آموزش دهید که چگونه در برابر حملات واکنش نشان داده و با آنها مقابله کنند.
میتوان حملات شبیه سازی شده را به گونهای تنظیم کرد که کاربر را به صفحهای آموزشی هدایت کنند تا لحظهای که کاربر رفتار نادرستی دارد، تبدیل به یک لحظه آموزنده شود.