Σε όλους έχει τύχει να λάβουν ένα SMS στο κινητό τους που να τους πληροφορεί σχετικά με την αποτυχία παραλαβής κάποιου δέματος, με τον περιορισμό της πρόσβασης στο web banking, με δήθεν συναλλαγή που εντοπίστηκε που προτρέπει τον χρήστη να την ακυρώσει, με δήθεν επιστροφή χρημάτων και ο κατάλογος δεν τελειώνει. Πάντα αυτά τα μηνύματα συνοδεύονται με έναν ηλεκτρονικό σύνδεσμο (link). Και με τον έναν ή τον άλλο τρόπο το μήνυμα που το συνοδεύει έχει ως μοναδικό σκοπό ο χρήστης να πατήσει τον σύνδεσμο. Και πολλοί δυστυχώς… την πατάνε.
Μελέτη των Sharad Agarwal και Marie Vasek από το University College London και του Guillermo Suarez-Tangil από το IMDEA Networks, αναρτημένη στο arXiv, ανέλυσε 1,35 εκατ. αναφορές χρηστών για ύποπτα SMS σε συνεργασία με μεγάλο πάροχο κινητής τηλεφωνίας. Σύμφωνα με τους ερευνητές, το 89,16% των αναφορών αφορούσε γραπτά μηνύματα, ενώ από τα μοναδικά SMS που ταξινομήθηκαν, το 40,27% ήταν μηνύματα απάτης (scam).
Τι ακριβώς κάνει το link
Από τη στιγμή που ο χρήστης πατήσει το link δύο πράγματα μπορεί να συμβούν. Είτε να οδηγηθεί σε μία ψεύτικη σελίδα απομίμηση της πραγματικής χωρίς να το γνωρίζει, είτε να κατεβάσει και να εγκαταστήσει κακόβουλο λογισμικό στη συσκευή του.
Κακόβουλο λογισμικό
Στο ένα σενάριο, ο χρήστης, χωρίς να το γνωρίζει, κατεβάζει και εγκαθιστά κακόβουλο λογισμικό στο κινητό του. Αυτό το λογισμικό είτε δίνει πληροφορίες στους απατεώνες για το τι πληκτρολογεί ο χρήστης στο κινητό του, είτε τους δίνει πλήρη έλεγχο σε αυτό. Και μέσα από εκεί αποκτούν πρόσβαση σε λογαριασμούς. Σύμφωνα με το Proofpoint, τουλάχιστον 55% των smishing μηνυμάτων περιείχαν κακόβουλα URLs.
Σελίδα… copy paste
Δεν είναι όλα τα ύποπτα SMS ιοί. Πολλά είναι παγίδες για να δώσει ο ίδιος ο χρήστης τα στοιχεία του. Το επικίνδυνο δεν είναι μόνο το πάτημα του link, αλλά κυρίως ό,τι κάνουμε μετά: τι πληκτρολογούμε, τι εγκρίνουμε.
Στο άλλο σενάριο, λοιπόν, ο χρήστης, επειδή ακριβώς δεν γνωρίζει ότι βρίσκεται σε σελίδα απομίμηση της πραγματικής, δοκιμάζει να κάνει είσοδο στον λογαριασμό του με τα πραγματικά στοιχεία. Παραδείγματος χάριν το link μπορεί να οδηγεί σε μία ιστοσελίδα που να είναι απομίμηση της σελίδας του web banking της τράπεζας που χρησιμοποιεί ο χρήστης. Εκεί βάζοντας τα στοιχεία εισόδου του ουσιαστικά τα κάνει πάσα στους απατεώνες. Οι απατεώνες από την πλευρά τους παίρνουν τα στοιχεία εισόδου και δοκιμάζουν να τα χρησιμοποιήσουν στην πραγματική σελίδα της τράπεζας.
Ακόμα και αν ο χρήστης έχει ορίσει να λαμβάνει μήνυμα στο κινητό του που να εγκρίνει ή όχι την είσοδο (OTP), θα την εγκρίνει νομίζοντας ότι το μήνυμα έχει ενεργοποιηθεί από τη δική του προσπάθεια εισόδου, ενώ στην πραγματικότητα αυτό θα έχει ενεργοποιηθεί από την είσοδο που κάνουν οι απατεώνες, οι οποίοι πλέον βρίσκονται μέσα στον λογαριασμό και απλά τον αδειάζουν.
Πώς να προστατευτούμε
Ποια είναι τα βήματα που πρέπει να ακολουθήσουμε σε περίπτωση που λάβουμε ένα τέτοιο SMS:
- Το πρώτο πράγμα που πρέπει να ελέγξουμε είναι η ταυτότητα του αποστολέα. Τον αριθμό ή το όνομα της υπηρεσίας και να διασταυρώσουμε αν είναι το πραγματικό.
- Στη συνέχεια πρέπει να ελέγξουμε αν το περιεχόμενο βασίζεται στην πραγματικότητα. Παραδείγματος χάριν, αν το μήνυμα αναφέρεται σε δέμα και δεν περιμένουμε κάποιο δέμα, τότε είναι πολύ πιθανό, σχεδόν σίγουρο, ότι πρόκειται για μήνυμα smishing.
- Μπορούμε να επικοινωνήσουμε με την επίσημη υπηρεσία και να επιβεβαιώσουμε αν το μήνυμα είναι πραγματικό. Π.χ. αν λάβουμε μήνυμα σχετικό με τράπεζα, μπορούμε να επικοινωνήσουμε με την εξυπηρέτηση πελατών της τράπεζας και να διασταυρώσουμε αν πρόκειται ή όχι για απάτη.
- Σε καμιά περίπτωση δεν απαντάμε στο μήνυμα. Κάτι τέτοιο, αν το μήνυμα είναι smishing, θα επιβεβαιώσει στους απατεώνες ότι ο αριθμός είναι ενεργός και ότι κάποιος διαβάζει τα μηνύματα. Αυτό μπορεί να κάνει τον αριθμό σου πιο “πολύτιμο” για επόμενες απάτες ή να οδηγήσει σε περισσότερα μηνύματα.
- Να υποψιαστούμε από την αίσθηση επείγοντος που αφήνει το μήνυμα, που αποτελεί μια κλασική τεχνική πίεσης.
- Και το πιο σημαντικό. Δεν πατάμε στο link. Οι αρχές κυβερνοασφάλειας, όπως η ελληνική Δίωξη Ηλεκτρονικού Εγκλήματος, το FBI και η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC), συστήνουν να μην πατάμε links σε απρόσκλητα SMS, αλλά να μπαίνουμε στην υπηρεσία μόνο από την επίσημη εφαρμογή ή πληκτρολογώντας μόνοι μας τη διεύθυνση.
