מתקפות הפישינג, שבעבר היו נחלתם הבלעדית של מחשבים האישיים, עושות עכשיו עליה למכשירי הסמארטפונים שלנו. התופעה צוברת תאוצה וכבר זכתה לכינוי – smishing. איך נזהה ונתגונן מפני התקפות smishing? קאמרון קאמפ, חוקר אבטחה ראשי בחברת ESET מסביר.
התקפות פישינג – (השגה במרמה של מידע יקר כגון סיסמאות, פרטי כרטיס אשראי וכו') על סמארטפונים נמצאות במגמת עליה. מחקר שביצעה החברה האמריקנית Pew Research Center חושף שמשתמשים בגילאים 18 עד 24 מקבלים ושולחים ממוצע של 109.5 הודעות SMS ביום. הכמות הגדולה הזו של הודעות טקסט שיוצאות ונכנסות ביום מסבירה, לפחות באופן חלקי, למה משתמשים לא נוטים להתעכב לפני שהם לוחצים על לינקים בהודעות האלו שלכאורה התקבלו מאחד מאנשי הקשר שלהם או מחברה מסחרית מוכרת.
הודעות ה- smishing מעוצבת כך שהן יראו לגיטימיות כדי לגרום למשתמש להרגיש בטוח כשהוא לוחץ על הלינקים המצורפים להם. התקפות מעין אלו היו עד עתה מופצות בהודעות אי-מייל בלבד ומתוך מטרה לגרום למשמשי PC לבקר באתרים המכילים ווירוסים ותוכנות ריגול אחרות. אבל ההאקרים פושעי האינטרנט האחרים הבינו שבממוצע יש יותר קורבנות והרבה פחות הגנות כשמדובר במשתמשי הסמארטפון. מה שאומר מבחינתם – הרבה מאוד כסף.
לא הפתעה
כל זה אינו מפתיע את מומחי האבטחה. הטלפון הנייד שלנו הוא הוא כבר הרבה יותר מטלפון נייד. רק לפני שנים ספורות השתמשנו בטלפון הסלולרי שלנו בעיקר כדי לבצע שיחות, אבל עכשיו שיחות טלפון זה רק אחד מעשרות הפונקציות שהמכשירים החדישים מציעים לנו. בין אם מדובר בגלישה באינטרנט, צפייה בסרטוני וידאו, שליחת אימיילים או הקשבה למוזיקה, המכשיר הנייד שלנו הוא יותר כמו מחשב קטן מאשר טלפון והוא במקרה גם מאפשר לנו להוציא או לקבל שיחות. אבל יחד עם היתרונות אנחנו צריכים להבין שהמכשיר הנייד הזה מכיל הרבה מאוד מידע אישי על המשתמש, מה שהופך אותו לטרף יחסית קל.
הפשע המאורגן של המרחב הווירטואלי מיומן מאוד בניצול טרנדים חמים ואירועים תקשורתיים בעלי עניין ציבורי גבוה, והוא משתמש בהם כדי להושיט את ידו מעברו השני של המסך היישר לתוך הכיס שלכם – המשתמשים. בצורה הזו הם גורמים לכם להתקין תוכנות ריגול או אפליקציות שישלחו הודעות SMS בתעריף מופקע שייראו כאפליקציות לגיטימיות. (עיין ערך וירוס מתחזה למשחק Angry Birds Space). רוב המשתמשים לא יבחינו בכלל שקיימת אפליקציה שפועלת ברקע ומתעדת את כל מה שהם עושים עם הטלפון שלהם, אוגרת סיסמאות או שולחת הודעות SMS יקרות מבלי ידיעתם (או לפחות עד שיגיע החשבון).
בדוגמא המצורפת ניתן לראות הודעת smishing כזאת. במבט חטוף הלינק נראה לגיטימי לחלוטין, אך מי שיבדוק קצת יותר לעומק יבחין בכך שהאתר שכביכול שייך לחברת וולמארט למעשה שייך למישהו או משהו אחר לחלוטין. אבל רוב האנשים ממהרים ואינם חושדים מספיק על מנת לבדוק. אבל בין אם אתם יודעים למה צריך לשים לב כדי לדעת אם מדובר בלינק בטוח, עדיין אתם יכולים להסכים שדי לא סביר שחברת וולמארט תחליט לחלק פתאום שוברי מתנה על סך 1000$ לכמה ברי מזל ועוד תשלח להם את ההודעה על הזכייה ב SMS. בנוסף, ניתן להבחין בכך שההודעה יוצרת תחושת דחיפות מדומה בכך שהיא מפצירה בך למהר ולממש את שובר הזכייה שלך לפני ש 161 השוברים שנשארו ינוצלו על ידי אחרים. עד כמה פישי שזה נשמע, הונאות כאלה מצליחות בגדול ועדות לכך היא מספר המתקפות, כמו גם מספרי הקורבנות, שרק גדלים.
אז איך נתגונן מפני smishing?
הכלל הראשון שעליך לאמץ כדי להתגונן מפני smishing הוא להגביל לחלוטין הורדת האפליקציות לחנויות הרשמיות יצרניות מערכות ההפעלה כדוגמת Google Play ו- App Store או מאתרים של חברות מסחריות מוכרות בלבד, ולהימנע מהורדת אפליקציות מאתר צד שלישי. למרות שכבר ראינו שאפליקציות מזויפות יכולות להגיע גם לאתרים הרשמיים, החברות הגדולות סורקות באופן קבוע את הפורטלים שלהן כדי לאתר ולמנוע מאפליקציות מזויפות או זדוניות להסתנן לאתרים שלהן, מה שיכול לתת לך קצת מרווח בטחון.
כלל נוסף שכדאי לך לאמץ אומר שכמו ללחוץ על לינקים מאימיילים לא מוכרים יהיה רעיון רע, כך גם המצב בהודעות SMS. ואם קיבלת לינק כזה עדיף שפשוט תמחק את ההודעה.
ולסיום, זה יהיה חכם מצדך ללמוד על הגדרות האבטחה של המכשיר שלך ולגלות איך המכשיר עצמו יכול להיות מוגן יותר בעזרת הגדרות נכונות (כמו למשל הגדרת סיסמאות) ואולי אפילו כדאי לך לשקול התקנה של תוכנת אבטחהטובה שתאתר ותמנע את ההונאות האלו מראש. בשורה התחתונה, ככל שהמודעות שלך לאבטחת המכשיר תגדל, כך הסיכוי שתיפול קורבן לתעשיית ה smishing יפחת. בהצלחה.