Mitä on SMS-urkinta ja kuinka puolustaudut sitä vastaan?

SMS-urkinnan merkitys ja määritelmä

Smishing on mobiililaitteiden tekstiviestien välityksellä tapahtuva kyberturvallisuushyökkäys, joka tunnetaan myös nimellä SMS-urkinta (SMS phishing).

Tietojenkalastelun muunnelmana uhreja huijataan antamaan arkaluonteisia tietoja naamioituneelle hyökkääjälle. SMS-urkinnan apuna voi olla haittaohjelmia tai huijaussivustoja. Sitä tapahtuu monilla mobiilitekstiviestialustoilla, myös muissa kuin tekstiviestikanavissa, kuten datapohjaisissa mobiiliviestisovelluksissa.

Mitä on SMS-urkinta?

Kuten SMS-urkinnan määritelmästä voi päätellä, termi yhdistää SMS-tekstiviestipalvelut ja "tietojenkalastelupalvelut". Tarkemmin määriteltynä SMS-urkinta luokitellaan sosiaaliseksi hyökkäykseksi, joka perustuu pikemminkin ihmisten luottamuksen hyväksikäyttöön kuin teknisiin keinoihin.

Kun verkkorikolliset "kalastelevat tietoja", he lähettävät vilpillisiä sähköpostiviestejä, joilla pyritään huijaamaan vastaanottajaa klikkaamaan haitallista linkkiä. SMS-urkinnassa käytetään yksinkertaisesti tekstiviestejä sähköpostin sijasta.

Pohjimmiltaan nämä verkkorikolliset pyrkivät varastamaan henkilötietojasi, joita he voivat sitten käyttää petoksiin tai muihin kyberrikoksiin. Tyypillisesti tähän sisältyy rahan varastaminen — yleensä sinun, mutta joskus myös yrityksesi rahojen.

Kyberrikolliset käyttävät usein kahta menetelmää näiden tietojen varastamiseen:

1. Haittaohjelma: SMS-urkinta-URL-linkki saattaa huijata sinua lataamaan haittaohjelmia, jotka asentuvat puhelimeesi. Tämä SMS-tekstiviesti-haittaohjelma saattaa esiintyä laillisena sovelluksena ja huijata sinua kirjoittamaan luottamuksellisia tietoja ja lähettämään nämä tiedot kyberrikollisille.
2. Haitallinen verkkosivusto: SMS-urkinta-viestissä oleva linkki saattaa johtaa väärennetylle sivustolle, jossa sinua pyydetään kirjoittamaan arkaluonteisia henkilötietoja. Kyberrikolliset käyttävät mukautettuja haittaohjelmia, jotka on suunniteltu jäljittelemään hyvämaineisia sivustoja, mikä helpottaa tietojesi varastamista.

SMS-urkinta-tekstiviestit ovat usein muka pankkisi lähettämiä, ja niissä pyydetään henkilö- tai taloustietoja, kuten tilisi tai pankkiautomaattikortin numero. Tietojen antaminen on sama kuin antaisi varkaille pankkisaldosi avaimet.

Koska yhä useammat ihmiset käyttävät henkilökohtaisia älypuhelimiaan työssään (suuntaus, jota kutsutaan BYOD:ksi eli "tuo oma laitteesi"), SMS-urkinnasta on tulossa uhka sekä yrityksille että kuluttajille. Kun kyberrikolliset "kalastelevat tietoja", he lähettävät vilpillisiä sähköpostiviestejä, joilla pyritään huijaamaan vastaanottajaa napsauttamaan haitallista linkkiä.

Mobiililaitteisiin kohdistuva kyberrikollisuus lisääntyy mobiililaitteiden käytön myötä. Sen lisäksi, että tekstiviestit ovat älypuhelinten yleisin käyttötapa, muutamat muut tekijät tekevät tästä erityisen salakavalan tietoturvauhan. Seuraavassa selitetään, miten MS-urkinta-hyökkäykset toimivat.

Miten SMS-urkinta toimii?

Huijaus ja petos ovat tekstiviestien SMS-urkinta-hyökkäysten keskeisiä osatekijöitä. Koska hyökkääjä omaksuu henkilöllisyyden, johon saatat luottaa, suostut todennäköisemmin hänen pyyntöihinsä.

Sosiaalisen manipuloinnin periaatteiden avulla SMS-urkintahyökkääjät voivat manipuloida uhrin päätöksentekoa. Tämän petoksen taustalla on kolme tekijää:

1. Luottamus: Esittäytymällä laillisina henkilöinä ja organisaatioina kyberrikolliset vähentävät kohteensa epäilevyyttä. Koska SMS-tekstiviestit ovat henkilökohtaisempi viestintäkanava, ne heikentävät luonnollisesti myös henkilön puolustuskykyä uhkia vastaan.
2. Asiayhteys: Käyttämällä tilannetta, joka voi olla merkityksellinen kohteille, hyökkääjä voi rakentaa tehokkaan valeasun. Viesti tuntuu henkilökohtaiselta, mikä auttaa ohittamaan kaikki epäilyt siitä, että se voisi olla roskapostia.
3. Tunne: Korostamalla kohteen tunteita hyökkääjät voivat ohittaa kohteensa kriittisen ajattelun ja kannustaa häntä nopeaan toimintaan.

Näiden menetelmien avulla hyökkääjät kirjoittavat viestejä, jotka saavat vastaanottajan ryhtymään toimiin.

Tyypillisesti hyökkääjät haluavat, että vastaanottaja avaa tekstiviestissä olevan URL-linkin, jonka kautta hänet johdetaan tietojenkalastelutyökaluun, jossa häntä kehotetaan luovuttamaan yksityisiä tietojaan. Tämä tietojenkalastelutyökalu on usein verkkosivuston tai sovelluksen muodossa, joka esiintyy myös väärällä henkilöllisyydellä.

Kohteet valitaan monin eri tavoin, mutta yleensä ne valitaan organisaatioon kuulumisen tai alueellisen sijainnin perusteella. Kohteina voivat olla tietyn laitoksen työntekijät tai asiakkaat, matkapuhelinverkon tilaajat, yliopisto-opiskelijat ja jopa tietyn alueen asukkaat.

Hyökkääjän valepuku liittyy yleensä laitokseen, johon hän haluaa päästä käsiksi. Se voi kuitenkin yhtä hyvin olla mikä tahansa naamio, jonka avulla he voivat hankkia henkilöllisyytesi tai taloudelliset tietosi.

Käyttämällä niin sanottua huijausmenetelmää hyökkääjä voi piilottaa todellisen puhelinnumeronsa harhautuksen taakse. SMS-urkintahyökkääjät voivat myös käyttää "polttopuhelimia" — halpoja, kertakäyttöisiä prepaid-puhelimia — peittääkseen hyökkäyksen alkuperän entisestään. Hyökkääjien tiedetään käyttävän sähköposti-tekstipalveluja toisena keinona piilottaa numeronsa.

Hyökkääjä toteuttaa hyökkäyksensä vaiheittain muutamassa keskeisessä vaiheessa:

• Tekstiviestin "syötin" jakelu kohteille.
• Uhrin tietojen vaarantaminen petoksen avulla.
• Halutun varkauden suorittaminen uhrien vaarantamien tietojen avulla.

Hyökkääjän SMS-urkintahuijaus on onnistunut, kun hän on käyttänyt yksityisiä tietojasi tavoitellun varkauden tekemiseen. Tavoitteena voi olla muun muassa pankkitilin suora varastaminen, identiteettipetos luottokorttien laittoman avaamisen mahdollistamiseksi tai yrityksen yksityisten tietojen vuotaminen.



Miten SMS-urkinta levittäytyy?

Kuten aiemmin todettiin, SMS-urkintahyökkäyksiä tehdään sekä perinteisten tekstiviestien että muiden kuin tekstiviestisovellusten kautta. SMS-urkintahyökkäykset leviävät kuitenkin pääasiassa keskeytyksettä ja huomaamatta niiden harhaanjohtavan luonteen vuoksi.

SMS-urkintaa tehostaa se, että käyttäjät luottavat virheellisesti tekstiviestien turvallisuuteen.

Ensinnäkin useimmat ihmiset tietävät sähköpostipetosten riskit. Olet luultavasti oppinut suhtautumaan epäluuloisesti yleisiin sähköpostiviesteihin, joissa lukee "Hei — tsekkaa tämä linkki" Aidon henkilökohtaisen viestin puuttuminen on yleensä merkittävä merkki sähköpostihuijauksista.

Kun ihmiset käyttävät puhelinta, he ovat varovaisempia. Monet olettavat, että heidän älypuhelimensa ovat tietokoneita turvallisempia. Älypuhelinten tietoturvalla on kuitenkin rajoituksia, eikä se voi aina suojata suoraan SMS-urkinnalta.

Riippumatta siitä, mitä keinoja käytetään, nämä juonet vaativat viime kädessä hyvin vähän muuta kuin luottamuksen ja harkintakyvyn heikkenemisen onnistuakseen. Tämän seurauksena SMS-urkinta voi hyökätä mihin tahansa mobiililaitteeseen, jossa on tekstiviestiominaisuudet.

Vaikka Android-laitteet ovat markkinoiden enemmistöalusta ja ihanteellinen kohde haittaohjelmatekstiviesteille, iOS-laitteet ovat yhtä lailla kohteita. Applen iOS-mobiiliteknologialla on hyvä maine tietoturvan suhteen, mutta mikään mobiilikäyttöjärjestelmä ei voi yksinään suojata sinua SMS-urkinta-tyyppisiltä hyökkäyksiltä. Väärä turvallisuudentunne voi jättää käyttäjät erityisen haavoittuviksi alustasta riippumatta.

Toinen riskitekijä on se, että käytät älypuhelinta liikkeellä ollessasi, usein silloin kun olet hajamielinen tai kiireinen. Tämä tarkoittaa, että olet todennäköisemmin tilanteessa, jossa et ole varuillasi ja vastaat ajattelematta, kun saat viestin, jossa pyydetään pankkitietoja tai kupongin lunastamista.

SMS-urkintahyökkäysten tyypit

Jokaisessa SMS-urkintahyökkäyksessä käytetään samankaltaisia menetelmiä, mutta esitystapa voi vaihdella huomattavasti. Hyökkääjät voivat käyttää monenlaisia henkilöllisyyksiä ja tiloja pitääkseen nämä tekstiviestihyökkäykset tuoreina.

Valitettavasti kattava luettelo SMS-urkinta-tyypeistä on lähes mahdoton, koska näitä hyökkäyksiä keksitään jatkuvasti uudelleen. Käyttämällä muutamia vakiintuneita huijauspaikkoja voimme paljastaa ominaisuuksia, joiden avulla voit tunnistaa SMS-urkintahyökkäyksen ennen kuin joudut uhriksi.

Seuraavassa on joitakin yleisiä SMS-urkinta-hyökkäysten tiloja:

COVID-19 SMS-urkinta

COVID-19-SMS-urkinta-huijaukset perustuvat laillisiin avustusohjelmiin, jotka hallitus, terveydenhuolto ja rahoituslaitokset ovat suunnitelleet COVID-19-pandemiasta toipumista varten.

Hyökkääjät ovat käyttäneet näitä järjestelmiä manipuloidakseen uhrien terveys- ja rahoituspelkoja petosten tekemistä varten. Varoitusmerkkejä voivat olla mm:

• Yhteydenoton jäljittäminen, jossa pyydetään arkaluonteisia tietoja (sosiaaliturvatunnus, luottokortin numero jne.)
• Veropohjaiset taloudelliset helpotukset, kuten kannustinshekit.
• Kansanterveyden turvallisuuspäivitykset.
• Pyynnöt täyttää väestönlaskentatiedot.

Rahoituspalvelujen SMS-urkinta

Rahoituspalvelujen SMS-urkintahyökkäykset naamioidaan rahoituslaitosten ilmoituksiksi. Lähes kaikki käyttävät pankki- ja luottokorttipalveluita, joten he ovat alttiita sekä yleisille että laitoskohtaisille viesteille. Myös lainat ja sijoittaminen ovat yleisiä tiloja tässä kategoriassa.

Hyökkääjä esiintyy pankkina tai muuna rahoituslaitoksena, mikä on ihanteellinen valeasu rahoituspetosten tekemistä varten. Rahoituspalvelujen SMS-urkinta-huijauksen piirteitä voivat olla muun muassa kiireellinen pyyntö avata tilisi lukitus, pyyntö vahvistaa epäilyttävä tilitoiminta ja paljon muuta.

Lahja SMS-urkinta

Lahja SMS-urkinta tarkoittaa lupausta ilmaisista palveluista tai tuotteista, usein hyvämaineiselta jälleenmyyjältä tai muulta yritykseltä. Nämä voivat olla lahjakilpailuja, ostopalkintoja tai mitä tahansa muita ilmaisia tarjouksia. Kun hyökkääjä herättää innostuksesi ehdottamalla ajatusta "ilmaisesta", tämä toimii logiikan ohituksena, jolla sinut saadaan toimimaan nopeammin. Tämän hyökkäyksen merkkejä voivat olla esimerkiksi määräaikaiset tarjoukset tai ilmaisen lahjakortin yksinoikeusvalinta.

Laskun tai tilausvahvistuksen SMS-urkinta

Vahvistuksen SMS-urkinta tarkoittaa väärää vahvistusta äskettäisestä ostoksesta tai palvelua koskevasta laskusta. Seurantaan voidaan antaa linkki, jolla manipuloidaan uteliaisuuttasi tai kehotetaan välittömiin toimiin tarpeettomien maksujen aiheuttaman pelon herättämiseksi. Todisteet tästä huijauksesta voivat liittyä tilausvahvistustekstien ketjuihin tai yrityksen nimen puuttumiseen.

Asiakastuen SMS-urkinta

Asiakastuen SMS-urkinta-hyökkääjät esiintyvät luotettavan yrityksen tukiedustajana, joka auttaa sinua ratkaisemaan ongelman. Korkean teknologian ja sähköisen kaupankäynnin yritykset, kuten Apple, Google ja Amazon, ovat tehokkaita valepukuja hyökkääjille tässä tilassa.

Tyypillisesti hyökkääjä väittää, että tilissäsi on virhe, ja antaa ohjeita sen ratkaisemiseksi. Pyyntö voi olla niinkin yksinkertainen kuin vilpillisen kirjautumissivun käyttäminen, kun taas monimutkaisemmissa järjestelmissä sinua saatetaan pyytää antamaan todellinen tilin palautuskoodi salasanasi palauttamiseksi. Varoituksia tukeen perustuvasta SMS-urkinta-yrityksestä ovat esimerkiksi laskutukseen, tilinkäyttöön, epätavalliseen toimintaan tai äskettäisen asiakasvalituksen ratkaisemiseen liittyvät ongelmat.

SMS-urkinta-esimerkkejä

Koska tekstiviestit ovat lähes kaikkien saatavilla, joilla on matkapuhelin, SMS-urkintahyökkäyksiä on tehty maailmanlaajuisesti. Seuraavassa on muutamia esimerkkejä SMS-urkinta-hyökkäyksistä, joista kannattaa olla tietoinen.

Varhaisen saatavuuden Apple iPhone 12 -huijaus — tilausvahvistus ja lahja-SMS-urkinta

Syyskuussa 2020 ilmaantui SMS-urkinta-kampanja, jossa ihmisiä houkuteltiin antamaan luottokorttitietoja ilmaista iPhone 12 -puhelinta varten.

Huijauksessa käytetään tilausvahvistuksen oletusta, jossa tekstiviestissä väitetään, että pakettilähetys on lähetetty väärään osoitteeseen. Tekstin sisäinen URL-linkki lähettää kohteet tietojenkalastelutyökaluun, joka esiintyy Applen keskustelubottina. Työkalu ohjaa uhrin prosessin läpi, jotta tämä voi lunastaa ilmaisen iPhone 12:n osana varhaisen käytön kokeiluohjelmaa, mutta pyytää väistämättä luottokorttitietoja pienen toimitusmaksun kattamiseksi.

USPS ja FedEx-huijaukset — tilausvahvistus- ja lahja-SMS-urkinta

Syyskuussa 2020 alkoi liikkua raportteja vääristä USPS:n ja FedExin pakettitoimitusten tekstiviestihuijauksista. Tämä SMS-urkinta-hyökkäys voi yrittää varastaa tilitietosi eri palveluihin tai luottokorttitietosi.

Viesteissä väitetään, että paketti on jäänyt toimittamatta tai että se on toimitettu väärin, ja niissä on linkki verkkosivuston SMS-urkintatyökaluun, joka esittää FedExin tai USPS:n lahjakyselyä. Vaikka näiden SMS-urkinta-sivustojen tilat voivat vaihdella, monien on todettu pyrkivän keräämään tilitunnuksia esimerkiksi Googlen kaltaisiin palveluihin.

Pakollinen online COVID-19-testi - COVID-19-huijaus - COVID-19 SMS-urkinta

Huhtikuussa 2020 Better Business Bureau sai yhä useampia ilmoituksia, joissa Yhdysvaltain hallituksen nimissä esiintyvät huijarit lähettivät tekstiviestejä, joissa heitä pyydettiin osallistumaan pakolliseen COVID-19-testiin linkitetyn verkkosivuston kautta.

Monet ovat tietenkin heti huomanneet tämän huijauksen, koska COVID-19:lle ei ole olemassa online-testiä. Näiden SMS-urkinta-hyökkäysten tilat voivat kuitenkin helposti kehittyä, sillä pandemiapelkojen hyödyntäminen on tehokas tapa huijata yleisöä.

Miten ehkäistä SMS-urkinta

Hyvä uutinen on, että näiden hyökkäysten mahdollisia seurauksia vastaan on helppo suojautua. Voit pitää itsesi turvassa tekemättä yhtään mitään. Periaatteessa hyökkäykset voivat aiheuttaa vahinkoa vain, jos tartut syöttiin.

Muista kuitenkin, että tekstiviestit ovat monille vähittäismyyjille ja laitoksille laillinen keino tavoittaa sinut. Kaikkia viestejä ei kannata jättää huomiotta, mutta siitä huolimatta sinun on toimittava turvallisesti.

On muutamia asioita, jotka kannattaa pitää mielessä, jotta voit suojautua näitä hyökkäyksiä vastaan.

• Älä vastaa. Jopa kehotukset vastata, kuten tekstiviestin "STOP" lähettäminen tilauksen peruuttamiseksi, voivat olla temppu aktiivisten puhelinnumeroiden tunnistamiseksi. Hyökkääjät luottavat uteliaisuuteesi tai ahdistuneisuuteesi kyseisestä tilanteesta, mutta voit kieltäytyä osallistumasta.
• Vähennä kiirettä, jos viesti on kiireellinen. Kiireelliset tilipäivitykset ja määräaikaiset tarjoukset ovat varoitusmerkkejä mahdollisesta SMS-urkinnasta. Pysy epäluuloisena ja toimi varovasti.
• Soita suoraan pankkiin tai kauppiaalle, jos olet epävarma. Lailliset laitokset eivät pyydä tilipäivityksiä tai kirjautumistietoja tekstiviestillä. Lisäksi kaikki kiireelliset ilmoitukset voidaan tarkistaa suoraan verkkotileiltäsi tai virallisen puhelinneuvontapuhelimen kautta.
• Vältä linkkien tai yhteystietojen käyttöä viestissä. Vältä linkkien tai yhteystietojen käyttöä viesteissä, jotka aiheuttavat sinulle epämukavuutta. Siirry suoraan virallisiin yhteydenottokanaviin, kun se on mahdollista.
• Tarkista puhelinnumero. Oudon näköiset puhelinnumerot, kuten 4-numeroiset, voivat olla todiste sähköpostista tekstiviestiksi -palveluista. Tämä on yksi monista taktiikoista, joita huijari voi käyttää peittääkseen todellisen puhelinnumeronsa.
• Älä koskaan pidä luottokortin numeroita puhelimessasi. Paras tapa estää taloudellisten tietojen varastaminen digitaalisesta lompakosta on, ettet koskaan laita niitä sinne.
• Käytä monivaiheista todennusta (MFA). Paljastettu salasana voi silti olla hyödytön SMS-urkinta-hyökkääjälle, jos murron kohteena oleva tili vaatii toisen "avaimen" vahvistusta varten. MFA:n yleisin vaihtoehto on kahden tekijän todennus (2FA), jossa käytetään usein tekstiviestin vahvistuskoodia. Saatavilla on vahvempia vaihtoehtoja, joihin kuuluu oman sovelluksen käyttäminen vahvistamiseen (kuten Google Authenticator).
• Älä koskaan anna salasanaa tai tilin palautuskoodia tekstiviestillä. Sekä salasanat että tekstiviestillä lähetettävät kahden tekijän (2FA) todennuskoodit voivat vaarantaa tilisi vääriin käsiin joutuessaan. Älä koskaan anna näitä tietoja kenellekään, ja käytä niitä vain virallisilla sivustoilla.
• Lataa haittaohjelmien torjuntasovellus. Tuotteet, kuten Kaspersky Internet Security for Android, voivat suojata haitallisilta sovelluksilta sekä itse tekstiviestien SMS-urkinta-linkkejä vastaan.
• Ilmoita kaikista tekstiviestien SMS-urkinta-yrityksistä nimetyille viranomaisille.

Muista, että kuten sähköpostin tietojenkalastelussa, myös SMS-urkinnassa on kyse huijauksesta — se perustuu siihen, että uhri huijataan tekemään yhteistyötä napsauttamalla linkkiä tai antamalla tietoja. Yksinkertaisin suojaus näitä hyökkäyksiä vastaan on olla tekemättä mitään. Jos et vastaa, haittaohjelmateksti ei voi tehdä mitään.

Mitä tehdä, jos joudut SMS-urkinnan uhriksi

SMS-urkinta-hyökkäykset ovat ovelia ja ovat saattaneet jo saada sinut uhriksi, joten sinulla on oltava käytössäsi palautussuunnitelma.

Ryhdy näihin tärkeisiin toimiin, jotta onnistuneen SMS-urkintayrityksen aiheuttamia vahinkoja voidaan rajoittaa:

1. Ilmoita epäillystä hyökkäyksestä kaikille laitoksille, jotka voivat auttaa.
2. Jäädytä luottokorttisi, jotta estät tulevat tai jatkuvat identiteettipetokset.
3. Vaihda kaikki salasanat ja tilien PIN-koodit mahdollisuuksien mukaan.
4. Tarkkaile raha-asioita, luottoja ja erilaisia verkkotilejä outojen kirjautumispaikkojen ja muiden toimintojen varalta.

Jokaisella näistä vaiheista on huomattava painoarvo suojautumisellesi SMS-urkinta-hyökkäyksen jälkeen. Hyökkäyksestä ilmoittaminen auttaa sinua palautumaan ja estää myös muita joutumasta hyökkäyksen uhriksi.

Aiheeseen liittyviä linkkejä:

• Ovatko sähköiset tilisiirrot turvallisia?
• Mitä tehdä, jos sähköpostitilisi hakkeroidaan?
• Koronavirukseen liittyvät hyväntekeväisyyshuijaukset
• Kuinka tunnistat mobiilihuijaukset ja suojaat itseäsi