اسمیشینگ چیست و چطور می‌شود از خود در برابر آن محافظت کرد؟

اسمشینگ به شدت رواج پیدا کرده و از این رو رسانه‌های آمریکا، ایتالیا و برزیل شروع کرده‌اند که انتشار داستان‌هایی در مورد اسکم‌ها جدید. پلیس آلمان نیز هشداری رسمی در خصوص یک کمپین اسمیشینگ صادر کرده است. شواهد نشان می‌دهد (با توجه به میزان رواج آن) این پدیده مبالغ هنگفتی را به خود اختصاص داده است. در ادامه با ما همراه شوید تا توضیح دهیم اساساً اسمیشینگ چیست و چطور عمل می‌کند.

اسمیشینگ و عملکرد آن

اسمیشینگ همان فیشینگی است که به جای ایمیل از طریق اس‌ام‌اس پخش می‌شود؛ از این رو: اسمیشینگ مساوی است با اس‌ام‌اس+ فیشینگ. برخی دسته‌بندی‌های عبارتند از فیشینگ از طریق اپ‌های پیام‌رسان به عنوان بخشی از اسمیشینگ؛ اما ما آن را دسته‌بندی جداگانه‌ای قلمداد می‌کنیم (دسته‌بندی‌‌ای که توضیح آن از حوصله‌ی این متن خارج است). هدف –درست مانند هر اقدام فیشینگ دیگری- فریب دادن گیرندگان برای افشای اطلاعات حساس‌شان است که معمولاً شامل پسورد بانک آنلاین یا اطلاعات کارت بانکی‌شان می‌شود. به منظور انجام این کار، اسکمرها پیام متنی را ارسال می‌کنند. این متن‌ها به طور کلی در مورد مشکلی من‌درآوردی هستند؛ برای مثال مشکل دلیوری، صورتحساب پرداخت‌نشده یا اکانت بلاک‌شده. یک‌جورهایی پیامی که باید با کلیک روی لینک رفع گردد. ادامه روند سپس به دو روش صورت خواهد گرفت:

سناریو شماره یک: قربانی با بدافزاری مواجه می‌شود که در لباس اپی قانون ظاهر شده اما هدف اصلی‌اش درخواست اطلاعات مهم کردن است.

سناریو شماره دو: قربانیبه وب‌پیجی هدایت خواهد شد که خود را به وبسایتی قانونی مبدل کرده اما هدف واقعی‌اش درخواست اطلاعات مهم کردن است.

انتخاب سناریو در واقع به منطقه امن اسکمرها بستگی دارد- بدافزار یا وبسایت جعلی. پیامد برای قربانی در هر صورت یکی است. اسکم‌‌های مشابه در نهایت به سرقت هزاران دلار، یورو و پوند منجر شده است. چرا فیشینگ اس‌ام‌اسی اخیراً به این اندازه محبوب شده و چه چیزی آن را حتی از فیشینگ معمولی هم خطرناک‌تر می‌کند؟

چه چیزی اسمیشینگ را حتی از فیشینگ معمولی هم خطرناک‌تر می‌کند؟

بیشتر ما کم و بیش به شنیدن اخبار در مورد فیشینگ ایمیلی عادت کرده‌ایم اما مردم به طور کلی می‌دانند چطور باید آن را شناخته و در برابر آن از خود محافظت کنند. پیام‌های متنی برای اسکم‌ها کانال غیرمنتظره‌تری‌اند؛ از این رو افراد کمتر به این فکر می‌کنند که پیام کوتاه بتواند نماینده‌ی یک اسکم باشد. جدا از آن، گرچه افراد به پیام‌های متنی بیشتر اعتماد می‌کنند اما متن‌ها از ایمیل‌ها از امنیت کمتری برخوردارند. این روزها، هر سرویس ایمیلی که دارد کار خودش را قانونی انجام می‌دهد به یک فیلتر اسپم درون‌سازه‌ای مجهز است. این فیلترها شاید بی نقص نباشد اما اسکمرها باید مدام دست به اقدامات جدیدی و ابداع‌گرانه بزنند تا از آن‌ها عبور کنند. متأسفانه وقتی صحبت از انعطاف‌پذیری و دقت می‌شود، فیلترهای اسپم اپراتورهای موبایل ضعیف عمل می‌کنند. افراد نیز معمولاً پیام‌های متنی خود را وقتی می‌خوانند که در مسیر باشند و یا این کار را بین امور دیگرشان انجام می‌دهند. ترکیب این حقیقت با توقع کمتری از خطر در پیام‌های متنی داشتن مساوی می‌شود با احتمال بیشتر موفقیت مجرمان سایبری. به بیانی دیگر، وقتی افراد پیامی را دریافت می‌کنند، به احتمال زیاد چک‌لیست ذهنی‌شان از علایم هشدار و خطر را نادیده گرفته و فقط کلیک می‌کنند. در نهایت، پیام‌های SMS علائم کمتری را که به شما در تشخیص یک اسکم کمک کند نشان خواهد داد. وقتی ایمیلی دریافت می‌کنید، می‌توانید به آدرس فرستنده نگاه کنید، طراحی و چینش آن را ارزیابی نموده و مقبولیت کلی پیام را مد نظر قرار دهید- به طور خلاصه شما می‌توانید به دنبال پرچم‌های قرمز استاندارد بگردید. اما با متن‌ها، حتی پیام‌های قانونی هم بسیار به هم شباهت پیدا می‌کنند. پیام‌های کوتاه اغلب زبان غیراستاندارد به کار می‌بندند و طراحی آنچنانی هم ندارند. اسکمرهایی که مهارت‌های فنی دارند فی‌الواقع می‌توانند اطلاعات فرستنده را اصطلاحاً اسپوف کرده و آن را با شماره جعلی عوض کنند.

راهکارهای امنیتی

درست مانند فیشینگ سنتی، شما خیلی سرسختانه می‌توانید از خود در برابر اسمیشینگ دفاع کنید. روی لینک‌ها کلیک نکرده و هیچ اطلاعاتی از خود را در رشته متنی به اشتراک نگذارید. این یک قانون کلی است: هر چه فعالیت کمتر، بهتر. هر جا امکانش بود، از احراز هویت دوعاملی استفاده کنید. بدین‌ترتیب حتی اگر پسورد شما هم سرقت شود اسکمرها نخواهند توانست به اکانت شما دسترسی پیدا کنند. چنانچه شک کرده‌اید که مجرمان سایبری به اکانت شما دسترسی پیدا کرده‌اند فوراً با بانک خود تماس بگیرید. بانک می‌تواند کارت شما را بسوزاند، پسورد شما را تغییر دهد و شما را در انجام امور امنیتی بعدی راهنمایی کند. و بحث را با پرسش‌های متداول می‌بندیم که «آیا باید به پیام‌های جعلی پاسخ بدهم یا فقط باید بگذارم من را از لیست میلینگ خود حذف کنند؟»: پاسخ ندهید. پاسخ دادن پیام‌های جعلی تأیید می‌کند که شماره تلفن شما فعال است. لغو اشتراک می‌تواند سخت باشد حتی با شرکت‌های قانونی. انتظار معامله‌ی جوانمردانه و منصفانه از افرای که قانون را زیر پا می‌گذارند نداشته باشید!

«اگر اسمیشینگ نباشد چه؟ اگر صرفاً یک پیام مهم از طرف بانکم باشد چه؟»: اگر شک دارید مستقیماً با خود بانک خود تماس حاصل فرمائید. بعید است آن‌ها چنین پیامی فرستاده باشند. حرف تماس با بانک به میان آمد یادمان افتاد تأکید کنیم که مطمئن شوید شماره تلفن‌ از منبع رسمی باشد (مثلاً وبسایت رسمی خود بانک). هرکاری که انجام می‌دهید، فقط از هیچ جزئیات متن مشکوک استفاده نکنید.

«آیا راهی هست که به شود به طور خودکار فیشینگ پیام‌های اس‌ام‌اسی را فیلتر کرد؟»: البته که هست!

بسیاری از راهکارهای امنیتی از پیش فیلترهای درون‌سازه‌ای استفاده می‌کرده‌اند تا بدین‌ترتیب لینک‌های مشکوک در پیام‌های متنی و اپ‌های پیام‌رسان را پیدا کرده، در مورد آن‌ها به شما اخطار داده و مطمئن شوند صرفاً به خاطر یک سهل‌انگاری ساده پول خود را از دست نداده‌اید. برای مثال، پیشنهاد ما به شما Kaspersky Internet Security for Android است.