اسمیشینگ (Smishing) چیست؟+ تفاوت ها و شباهت ها با فیشینگ 🟢

اسمیشینگ یکی از فرایند های هکی است. به نوعی یک حمله ی سایبری است که از طریق پیامک های شما یا هک پیامک های شما می تواند به اطلاعات مهمتری دسترسی پیدا کند. در حال حاضر این به عنوان یکی از حمله های سایبری ای شناخته می شود که می توانید آمار بالای آن را ببینید!. برای همه ما تا به حال پیش آمده است که روی لینک های مختلفی که از طریق پیامک می آید کلیک کنیم. این لینک ها به شدت خطر هک را بالا می برند. در این مقاله می خواهیم در مورد اسمیشینگ همه چیز را به شما بگوییم. اگر به فکر امنیت خودتان هستید حتما تا پایان مقاله همراه ما باشید.

 اسمیشینگ(Smishing) چیست؟

Smishing = فیشینگ متن پیامکی. به این دلیل که اصطلاح smishing بخشی از “پیام های متنی SMS” و “فیشینگ” است. بنابراین، این به آن معنی است که smishing نوعی فیشینگ است که از طریق پیام‌های سرویس پیام کوتاه (SMS) انجام می‌شود. در غیر این صورت به عنوان پیام‌های متنی که از طریق حامل تلفن همراه خود در تلفن خود دریافت می‌کنید، شناخته می‌شود. (SMS یک سیستم پیجینگ دو طرفه است که اپراتورها از آن برای انتقال پیام ها استفاده می کنند.) هدف از smishing در اینجا کلاهبرداری یا دستکاری مشتریان یا کارمندان سازمان است.

این نوع پیام‌ها معمولاً شامل نوعی محتوا هستند که از شما می‌خواهد روی یک پیوند کلیک کنید. اگر پیوند را فشار دهید، شما را به وب‌سایتی می‌برد که سعی می‌کند شما را وادار کند جزئیات ورود یا سایر اطلاعات خود را ارائه دهید. هدف در اینجا این است که شما را وادار به ارائه اطلاعاتی کنیم که مجرمان سایبری می توانند از آنها برای موارد زیر استفاده کنند:

به حساب های شخصی یا مرتبط با کار خود دسترسی داشته باشید،
مرتکب کلاهبرداری هویت یا
درگیر شدن در انواع دیگری از فعالیت های مخرب.

اسمیشینگ برگرفته از فیشینگ!

فیشینگ خود یک اصطلاح بسیار گسترده است که فعالیت های کلاهبرداری و جرایم سایبری علیه افراد و مشاغل را به طور یکسان توصیف می کند. علاوه بر پیام های متنی فیشینگ اس ام اس، فیشینگ چیزی است که می تواند از طریق کانال های مختلفی انجام شود، از جمله:

ایمیل ،
تماس های تلفنی (ویشینگ یا فیشینگ صوتی) و
پیام های رسانه های اجتماعی (مانند لینکدین، فیس بوک، توییتر و اینستاگرام).

اسمشینگ از کجا سرچشمه گرفت؟

“smishing” عبارتی است که توسط دیوید ریهاوک در وبلاگ مک آفی در سال 2006 ابداع شد. از آن زمان، افراد در صنعت اغلب مجرمان سایبری را که از حملات فیشینگ اس ام اس استفاده می کنند به عنوان “smishermen” یاد می کنند.

اسمیشینگ به عنوان یکی از مهمترین حمله های هکی شناخته می شود

انواع رایج کلاهبرداری های فیشینگ پیامکی

پیامک هایی از بانک ها، شرکت های سرمایه گذاری و سایر موسسات مالی مبنی بر وجود مشکل در حساب شما.
پیام‌هایی که وعده پول، محصولات یا خدمات رایگان را می‌دهند.
پیام های متنی از شرکت ها و ارائه دهندگان خدمات مبنی بر اینکه مشکلی وجود دارد و باید اطلاعات حساب پرداخت خود را به روز کنید.
پیام‌های «مقامات مختلف درباره به‌روزرسانی‌های ردیابی تماس COVID-19 و منابع مختلف مرتبط با بیماری همه‌گیر».

بیشتر بخوانید🚀🚀🚀🚀🚀🚀: امنیت گوشی های شیائومی

چگونه Smishing کار می کند: مروری بر فرآیند فیشینگ SMS

یک حمله smishing اساسی چیزی نیست که آنقدر پیچیده باشد. این شامل یک مجرم سایبری است که هدفی در ذهن دارد (یا در برخی موارد اصلاً هدفی ندارد) و چند فناوری در دست دارد. حملات هدفمندتر شامل استفاده از تاکتیک های مهندسی اجتماعی است.

بیایید نحوه انجام یک حمله smishing را بررسی کنیم:

یک مجرم سایبری از یک شماره جعلی برای شما پیامک ارسال می کند. محتوا و عددی که متن از آن منشا گرفته است ممکن است به نظر برسد که از تجارت قانونی آمده است. اگر تکالیف خود را انجام دادند، حتی ممکن است پیام را با تظاهر به شرکت یا سرویسی که واقعاً از آن استفاده می‌کنید (مانند سرویس پخش ویدیو یا بانک) مشخص‌تر کنند.

پیامی را بر روی تلفن خود دریافت می کنید که نوعی پاسخ را در پی دارد. پیام ممکن است حاوی یک پیشنهاد وسوسه انگیز باشد، یا ممکن است چیزی بالقوه نگران کننده باشد که قصد دارد شما را به اقدام تحریک کند.

کاری که بعداً انجام می دهید، عامل تعیین کننده ای است که در نحوه انجام همه چیز است. اگر پیام را نادیده بگیرید یا آن را گزارش کنید، اساساً این پایان کار است. اما اگر روی پیوند کلیک کنید، به وب سایتی هدایت می شوید که قانونی به نظر می رسد (اما اینطور نیست)

. قبل از اینکه بتوانید ادامه دهید، از شما خواسته می‌شود اطلاعاتی ارائه دهید یا چیزی (مانند به‌روزرسانی دستگاه یا مرورگر) را بارگیری کنید.
از شما خواسته می شود اطلاعاتی را ارائه کنید که در غیر این صورت نمی توانید ارائه دهید. در این وب‌سایت، از شما خواسته می‌شود که وارد شوید یا برخی از جزئیات حساس دیگر را ارائه دهید. این می تواند اطلاعات قابل شناسایی شخصی (PII)، شماره کارت اعتباری یا نقدی یا حتی اطلاعات ورود به سیستم کار شما باشد.

پیام های فیشینگ پیامکی چه ویژگی های مشترکی دارند؟

اگرچه پیام‌های متنی اسمیشینگ متفاوت است، برخی از مشترکات وجود دارد که برخی از «موفق‌ترین» (به عنوان مثال، خطرناک‌ترین) انواع پیام‌های متنی به اشتراک گذاشته می‌شوند. در واقعیت، کمپین‌های فیشینگ پیامکی می‌توانند از نظر واقع‌گرایی گستره وسیعی داشته باشند. در برخی موارد، آنها به وضوح جعلی هستند مانند یک تابلوی نئونی چشمک زن که فریاد می زند “این یک کلاهبرداری است!” اما در موقعیت های دیگر، آنها در واقع بسیار هدفمند یا تخصصی هستند، که تشخیص آنها را از پیام های قانونی برای گیرندگان دشوارتر می کند.

موفقیت یک کمپین smishing موفق اغلب به میزان واقعی ظاهر شدن پیام ها خلاصه می شود. اگر یک مجرم سایبری بتواند پیام‌های متنی خود را مشروع جلوه دهد، در این صورت احتمال بیشتری وجود دارد که اهدافش با آنها درگیر شوند.

1-پیام های متنی Smishing معمولاً حاوی پیوندهای وب سایت هستند

مانند سایر انواع فیشینگ، هدف از پیامک فیشینگ این است که مردم را با آن درگیر کند. اغلب اوقات، هدف این است که آنها را وادار کنیم روی پیوندی کلیک کنند که آنها را به یک وب سایت فیشینگ یا مخرب می برد. هدف ممکن است وادار کردن آنها به وارد کردن اطلاعات حساس مانند اعتبار ورود به سیستم یا بازدید از سایتی باشد که نرم افزارهای مخرب را روی دستگاه آنها نصب می کند. در هر صورت، نتایج نهایی خبر بدی را به همراه دارد.

یکی از نکاتی که باید به آن اشاره کرد این است که در بسیاری از موارد، پیام‌های smishing معمولاً از کوتاه‌کننده‌های URL استفاده می‌کنند. این ابزارها برای سازمان های قانونی که می خواهند اندازه پیام ها را به حداقل برسانند مفید هستند. با این حال، آنها ابزاری مناسب برای مجرمان سایبری هستند زیرا کوتاه‌کننده‌ها به آن‌ها امکان می‌دهند URL‌های مخرب را پنهان کنند. برخی از خبرهای خوب این است که ابزارهایی وجود دارد که می توانید از آنها برای گسترش برخی URL های کوتاه شده استفاده کنید، اما در همه موارد کار نمی کنند.

مراحل اسمیشینگ

2-پیام های متنی Smishing فوریت و طعمه احساسات اهداف خود را منتقل می کند

بنابراین، مجرمان سایبری دقیقاً چگونه کاربران را وادار می کنند تا روی پیوندهای پیام فیشینگ پیامکی کلیک کنند؟ اغلب اوقات، مانند سایر انواع پیام‌های فیشینگ است: با انتقال احساس فوریت یا برانگیختن واکنش‌های احساسی دیگر. . اگر پیامی مهم به نظر می رسد – مانند پیامی از شرکت خدمات شهری شما که می گوید برق شما به دلیل عدم پرداخت قطع می شود – احتمال اینکه مردم به سادگی آن را نادیده بگیرند، کمتر است.

بیشتر بخوانید🚀🚀🚀🚀🚀🚀: نرم افزار هک لپ تاپ

3-Smishing اغلب از جعل شماره تلفن استفاده می کند

ما در گذشته در مورد جعل ایمیل صحبت کرده ایم، اما همانطور که اکنون متوجه شدید، جعل فقط به فیشینگ ایمیل محدود نمی شود. کلاهبرداری همچنین ابزاری برای کلاهبرداری تماس تلفنی و پیام های متنی اس ام اس است. (بله، هیچ چیز مانند حضور در یک جلسه مجازی در هنگام کار از خانه نیست، زمانی که ناگهان به نظر می رسد که شماره تلفن خود شما با شما تماس می گیرد یا پیامک می دهد…)

جعل ابزاری مفید برای کلاهبرداران است زیرا به آنها اجازه می دهد در ناشناس بودن کار کنند. با استفاده از برنامه‌های تلفن همراه و سایر ابزارهای آنلاین، smishers می‌توانند پیام‌های متنی فیشینگ اس ام اس ناخوشایند خود را برای افراد ارسال کنند در حالی که به نظر می‌رسد از شماره تلفن شخص دیگری آمده است.

شباهت و تفاوت فیشینگ و اسمیشینگ

نکته: در این بخش به «فیشینگ» به معنای محدود «فیشینگ ایمیل» اشاره می کنیم. با این حال، فیشینگ را می توان به عنوان خانواده ای از حملات مهندسی اجتماعی نیز در نظر گرفت که شامل اسمیشینگ نیز می شود.

اسمیشینگ و Phishing هر دو شکلی از حملات سایبری هستند که هدف آنها فریب قربانیان برای افشای اطلاعات حساس است. با این حال، آنها در روش های مورد استفاده برای ارتباط و تاکتیک های خاص به کار گرفته شده متفاوت هستند.

در اینجا شباهت ها و تفاوت های اصلی بین smishing و فیشینگ وجود دارد:

شباهت ها:

تکنیک‌های فریبنده: هم ضربه زدن و هم فیشینگ از مهندسی اجتماعی برای دستکاری قربانیان برای ارائه اطلاعات شخصی یا حساس استفاده می‌کنند. مهاجمان اغلب برای جلب اعتماد قربانی جعل سازمان‌ها یا مقامات قانونی هستند.
احساس فوریت: در هر دو نوع حمله، پیام ها اغلب احساس فوریت را ایجاد می کنند و از تهدید یا پیامدهای منفی برای اقدام فوری قربانی استفاده می کنند.
هدف: هدف اصلی حملات اسمیشینگ و فیشینگ به دست آوردن اطلاعات حساس مانند اعتبار ورود، اطلاعات مالی یا جزئیات شخصی است که می تواند برای سرقت هویت، دسترسی غیرمجاز یا سایر فعالیت های مخرب استفاده شود.

تفاوت:

روش ارتباطی: حملات Smishing از پیام های متنی (SMS) به عنوان روش اصلی ارتباط استفاده می کنند، در حالی که حملات فیشینگ معمولاً از طریق ایمیل انجام می شود.
دستگاه هدف: حملات اسمیشینگ دستگاه‌های تلفن همراه را هدف قرار می‌دهند، در حالی که حملات فیشینگ عموماً رایانه‌ها یا هر دستگاهی را که به ایمیل دسترسی دارد هدف قرار می‌دهند. با این حال، حملات فیشینگ را می توان از طریق کلاینت های ایمیل موبایل نیز انجام داد.
پیوندها و پیوست‌ها: ایمیل‌های فیشینگ اغلب حاوی لینک‌ها یا پیوست‌های مخربی هستند که با کلیک یا باز کردن آن‌ها می‌توانند منجر به نصب بدافزار یا هدایت قربانی به یک وب‌سایت جعلی شوند. در مقابل، حملات smishing معمولاً شامل یک لینک یا شماره تلفنی است که باید روی آن کلیک کرد یا تماس گرفت و قربانی را به یک وب سایت کلاهبردار یا خط تلفنی که توسط مهاجم اداره می شود هدایت می کند.

برای پیشگیری از اسمیشینگ باید مانند سایر حملات سایبری تلاش کنید

برای پیشگیری از اسمیشینگ چه کنیم؟

پیام های متنی کاربران ناشناس را باز نکنید

اگر متنی را از یک شماره ناشناخته دریافت کردید – به خصوص متنی که حاوی پیوند است – آن را باز نکنید یا به شکل دیگری با آن درگیر نشوید.

اگر متنی را باز کردید، روی هیچ پیوندی کلیک نکنید

شما یک متن از طرف شخصی که نمی‌شناسید باز کرده‌اید و حاوی پیوندی است که به نظر می‌رسد از بانک شما است. حالا چی؟ اگر مطمئن نیستید که پیامی قانونی است، روی آن کلیک نکنید. با این حال، همیشه می توانید مرورگر وب خود را باز کرده و آدرس وب سایت بانک خود را در آنجا وارد کنید.

اگر روی پیوند کلیک کردید، هیچ اطلاعاتی ارائه نکنید

این باید ناگفته نماند، اما باید تکرار شود، زیرا به نظر می رسد که مردم به هر حال این کار را انجام می دهند. هرگز اطلاعات حساسی را از طریق پیامک (PII، اطلاعات مالی، اعتبار کاری یا شخصی و غیره) در اختیار ما قرار ندهید. اگر از شما خواسته شد اطلاعاتی ارائه دهید و به وب‌سایتی هدایت می‌شوید، مستقیماً در مرورگر خود به آن وب‌سایت بروید و با مشاهده اطلاعات گواهی امنیتی وب‌سایت در مرورگر خود تأیید کنید که وب‌سایت قانونی است.

اگر روی پیوندی کلیک کردید و اطلاعاتی را ارائه کردید، اقدام کنید

خوب، شما واقعاً باید این زمان را صرف کنید تا از خود محافظت کنید. بسته به نوع اطلاعاتی که ارائه می‌دهید، این ممکن است شامل تغییر اطلاعات امنیتی حسابتان (به‌ویژه رمزهای عبور)، تماس با بانک یا خدمات مالی برای گزارش مشکوک به کلاهبرداری یا لغو اطلاعات کارت بدهی/اعتباری، ارائه گزارش با اعتبار اصلی باشد. اگرچه ممکن است همه دستگاه‌ها این گزینه‌ها را نداشته باشند، بررسی کنید که آیا دستگاه شما این گزینه‌ها را دارد یا خیر.

بیشتر بخوانید🚀🚀🚀🚀🚀🚀: کتاب امنیت سایبری

چگونه سازمان ها می توانند از مشتریان، سیستم های فناوری اطلاعات و داده های خود محافظت کنند؟

البته بسیاری از نکات ذکر شده در لیست بالا از طریق آموزش کارمندان برای مشاغل نیز قابل استفاده است. اما در اینجا چند کار دیگر وجود دارد که مشاغل و سازمان ها می توانند انجام دهند:

آموزش آگاهی سایبری را به همه کارکنان ارائه دهید

اولین قدم برای مبارزه با هر نوع کلاهبرداری سایبری این است که به کاربران خود در مورد انواع مختلف خطرات موجود آموزش دهید. این شامل آموزش در مورد فیشینگ، اسمیشینگ ، vishing، و انواع دیگر تهدیدات سایبری است. بسیاری از مواردی که در بخش آخر به آنها پرداختیم، مواردی هستند که می توانید در آموزش خود پوشش دهید.

سیاست BYOD را اجرا کنید

اگر شما یکی از بسیاری از سازمان‌هایی هستید که به کارمندان خود اجازه می‌دهید (یا از آنها می‌خواهید که از دستگاه‌های شخصی خود برای کار استفاده کنند، این برای شماست. خط‌مشی ایجاد کنید که قوانینی را که کارکنان شما باید هنگام استفاده از دستگاه‌های شخصی رعایت کنند و اینکه چگونه تیم فناوری اطلاعات شما از آن دستگاه‌ها پشتیبانی می‌کند، مشخص می‌کند. این می تواند به شما در کاهش خطرات امنیتی با کنترل نحوه استفاده کارکنان از آن دستگاه ها کمک کند.

از کنترل های دسترسی استفاده کنید تا دسترسی را فقط برای کسانی که به آن نیاز دارند محدود کنید

من و شما می دانیم که همه افراد در سازمان شما نیازی به دسترسی به همه چیز ندارند. به همین دلیل است که شما باید دسترسی به وب‌سایت‌ها، پایگاه‌های داده، شبکه‌ها و سایر سیستم‌های ضروری را فقط به کسانی محدود کنید که برای انجام کارهای خود نیاز به دسترسی دارند. با محدود کردن دسترسی، در صورت به خطر افتادن حساب شخصی از طریق ضربه زدن یا سایر تلاش‌های مهندسی اجتماعی، قرار گرفتن در معرض احتمالی خود را کاهش می‌دهید.

راهی برای مشتریان ارائه دهید تا شما را در مورد کلاهبرداری های احتمالی مطلع کنند

در دنیای دیجیتال ما، همیشه به عنوان یک سازمان ایده خوبی است که به مشتریان راهی برای گزارش پیام های مشکوک یا کلاهبرداری مشکوک ارائه دهیم.

مشتریان را در مورد کلاهبرداری های احتمالی فیشینگ پیامکی مطلع کنید

اگر خبر دریافت کردید که شخصی جعل هویت سازمان شما را نشان می دهد، حتماً در اسرع وقت از طریق ایمیل به مشتریان خود اطلاع دهید. حتماً تکرار کنید که سازمان شما هرگز از مشتریان نمی‌خواهد اطلاعات حساب را از طریق پیام‌های متنی، کانال‌های اجتماعی یا ایمیل تأیید کنند.

نتیجه

کلاهبرداری های پیامک Smishing جدید نیستند، اما به این زودی ها به جایی نمی رسند. اسمیشینگ قطعا یکی از زمینه هایی است که هر سازمانی باید در آموزش های آگاهی سایبری خود آن را پوشش دهد. این مورد به‌ویژه زمانی که افراد بیشتری از دستگاه‌های تلفن همراه شخصی و شرکتی برای رسیدگی به عملکردهای مرتبط با تجارت استفاده می‌کنند، صادق است.

مجرمان سایبری همیشه به دنبال راه های جدیدی برای هدف قرار دادن قربانیان بالقوه، یا قرار دادن چرخش های جدید در ترفندهای قدیمی هستند. امیدوارم این مقاله آنچه را که برای اطمینان از اینکه شما و کارمندانتان قربانی بعدی کلاهبرداری های فیشینگ پیامکی نشوید، به شما ارائه کرده باشد.