Смишинг
Смишинг (от англ. SMS и phishing) — это вид мошенничества, основанный на использовании SMS-сообщений, а также сообщений в мессенджерах (например, WhatsApp, Viber, Telegram), с целью получения конфиденциальной информации жертвы: логинов, паролей, данных банковских карт, кодов подтверждения или принуждения к переводу денежных средств. Является разновидностью фишинга, адаптированной под мобильные платформы и текстовые коммуникации.
История и происхождение
Термин «смишинг» вошёл в обиход в середине 2000-х годов, когда злоумышленники начали массово использовать SMS-рассылки для обхода спам-фильтров электронной почты. Первые атаки были примитивными и содержали ссылки на поддельные веб-сайты, имитирующие банковские порталы. С развитием мобильных технологий и распространением смартфонов с доступом в интернет смишинг стал более изощрённым: мошенники начали использовать подмену номера отправителя (спуфинг), а также социальную инженерию для создания ощущения срочности и паники у жертвы.
В России первые массовые случаи смишинга были зафиксированы в конце 2000-х годов, когда злоумышленники рассылали сообщения о якобы блокировке банковской карты с просьбой перезвонить на указанный номер. С 2010-х годов, с ростом популярности онлайн-банкинга и мобильных платежей, смишинг стал одним из самых распространённых видов мошенничества в РФ.
Механизм атаки
Смишинг-атака обычно состоит из нескольких этапов:
- Подготовка и рассылка. Злоумышленники приобретают базы телефонных номеров (часто утекшие из различных сервисов) или используют автоматический перебор номеров. Сообщение может быть отправлено с подменного номера, который в интерфейсе телефона отображается как номер банка, госоргана или известной компании.
- Содержание сообщения. Текст строится по одному из нескольких типовых сценариев:
- Срочное уведомление: «Ваша карта заблокирована», «Обнаружен подозрительный вход в аккаунт», «Задолженность по налогам».
- Выгодное предложение: «Вы выиграли приз», «Специальная акция», «Кэшбэк за оплату».
- Просьба о помощи: «Мама, у меня проблемы, срочно переведи деньги» (часто с использованием подмены номера близкого человека).
- Уведомление от госорганов: «Вам назначена выплата», «Необходимо пройти перерегистрацию» (например, от имени Пенсионного фонда РФ или портала «Госуслуги»).
- Действие жертвы. Сообщение содержит один из следующих призывов:
- Перейти по ссылке на фишинговый сайт, который внешне неотличим от настоящего. Введённые на нём данные (логин, пароль, номер карты, CVV-код) попадают к мошенникам.
- Позвонить по указанному номеру. При звонке жертву соединяют с «оператором», который под видом сотрудника банка или службы поддержки выманивает конфиденциальные данные или убеждает установить вредоносное приложение.
- Ответить на сообщение (например, отправить код подтверждения или номер карты).
- Установить приложение (часто — APK-файл для Android), которое предоставляет злоумышленникам удалённый доступ к устройству или перехватывает SMS с кодами подтверждения.
Классификация смишинга
Смишинг можно классифицировать по нескольким признакам:
По цели атаки
- Финансовый смишинг: Нацелен на кражу денег с банковских карт и счетов. Наиболее распространённый тип.
- Кража учётных записей: Направлен на получение доступа к аккаунтам в соцсетях, мессенджерах, на портале «Госуслуги» (РФ) или в онлайн-играх.
- Распространение вредоносного ПО: Ссылка ведёт на загрузку трояна, программы-шпиона или банковского вируса.
По способу доставки
- SMS-смишинг: Классический вариант с использованием канала SMS.
- Мессенджер-смишинг: Атаки через WhatsApp (продукт Meta, признанной экстремистской и запрещённой в РФ), Telegram, Viber и другие мессенджеры. Часто используются для распространения мошеннических схем «от имени друга» или «от имени службы поддержки».
- Голосовой смишинг (вишинг): Хотя формально это отдельный вид (голосовой фишинг), часто рассматривается в связке со смишингом, так как SMS используется для инициирования звонка.
По используемому сценарию
- Социальная инженерия: Использование психологических приёмов (срочность, страх, жадность, доверие к авторитету).
- Технический обман: Подмена номера отправителя (спуфинг), создание поддельных сайтов, использование сокращателей ссылок (например, bit.ly) для маскировки фишингового URL.
Распространённые схемы в России
В России наиболее часто встречаются следующие схемы смишинга:
- «Блокировка карты»: Сообщение от имени банка (Сбербанк, ВТБ, Т-Банк и др.) о блокировке карты или подозрительной операции. Номер для звонка или ссылка ведут на мошенников.
- «Выплата от государства»: Сообщение о якобы положенной единовременной выплате (например, к 1 сентября, на детей, ветеранам). Для получения требуется перейти по ссылке и ввести данные карты.
- «Взлом Госуслуг»: Сообщение о том, что аккаунт на портале «Госуслуги» взломан, и для восстановления доступа нужно перейти по ссылке или назвать код из SMS. Получив доступ, мошенники могут оформить кредиты на имя жертвы.
- «Помощь родственнику»: Сообщение от имени знакомого или родственника с просьбой срочно перевести деньги (якобы на лечение, залог, такси). Часто номер отправителя подменён.
- «Проверка от оператора связи»: Сообщение от имени мобильного оператора (МТС, Билайн, МегаФон) с просьбой подтвердить паспортные данные или продлить договор, иначе номер будет заблокирован.
Методы защиты
Для защиты от смишинга рекомендуется соблюдать следующие правила:
- Не переходить по ссылкам из SMS и сообщений от неизвестных отправителей. Даже если сообщение пришло от знакомого, лучше перепроверить информацию личным звонком.
- Не сообщать конфиденциальные данные. Ни один банк, госорган или легальный сервис никогда не запрашивает по SMS или в мессенджере PIN-код, CVV-код, пароль от аккаунта или полный номер карты.
- Проверять информацию официально. При получении подозрительного сообщения от банка или госоргана необходимо самостоятельно позвонить по номеру, указанному на официальном сайте организации, а не по номеру из сообщения.
- Использовать антивирусное ПО на мобильных устройствах. Современные антивирусы (например, Kaspersky, Dr.Web, ESET) блокируют фишинговые ссылки и вредоносные приложения.
- Включить двухфакторную аутентификацию для всех важных аккаунтов (банки, соцсети, «Госуслуги»). Это снижает риск кражи аккаунта, даже если пароль стал известен мошенникам.
- Не устанавливать приложения из непроверенных источников. APK-файлы, полученные по ссылке из SMS, почти всегда являются вредоносными.
- Блокировать спам-сообщения. Многие современные мессенджеры и операторы связи предоставляют функции автоматической фильтрации и блокировки спама. В РФ операторы «большой четвёрки» (МТС, Билайн, МегаФон, Tele2) с 2020 года активно внедряют системы блокировки мошеннических SMS на уровне сети.
Ответственность и законодательство в РФ
В Российской Федерации смишинг квалифицируется как мошенничество и подпадает под действие статьи 159 Уголовного кодекса РФ («Мошенничество»). В зависимости от суммы ущерба и способа совершения преступления (например, с использованием служебного положения или в крупном размере) наказание может варьироваться от штрафа до лишения свободы на срок до 10 лет.
В 2021 году вступил в силу Федеральный закон № 319-ФЗ, который обязал операторов связи блокировать SMS-сообщения с подменных номеров и сообщения, содержащие фишинговые ссылки. Также была создана система «Антифишинг» для оперативного выявления и блокировки мошеннических сайтов.
Примеры
- Пример 1 (финансовый смишинг): «Сбербанк: Ваша карта заблокирована. Подробности по ссылке: bit.ly/3xYzAbc». Ссылка ведёт на поддельную страницу входа в Сбербанк Онлайн.
- Пример 2 (кража аккаунта): «Госуслуги: Ваш аккаунт взломан. Восстановите доступ по ссылке: gosuslugi-verify.ru». Сайт-двойник собирает логин и пароль.
- Пример 3 (социальная инженерия): «Привет, это Анна. У меня проблемы, срочно нужно 5000 рублей. Скинь на карту 2200 1234 5678 9012». Номер отправителя подменён на номер реального контакта жертвы.
Источники
- Уголовный кодекс Российской Федерации, статья 159 «Мошенничество».
- Федеральный закон от 02.07.2021 № 319-ФЗ «О внесении изменений в Федеральный закон «О связи» и отдельные законодательные акты Российской Федерации».
- Материалы Банка России (Центрального банка РФ) по противодействию мошенничеству.
- Отчёты и публикации «Лаборатории Касперского» и «Dr.Web» о киберугрозах в мобильных сетях.
- Аналитические обзоры МВД России по статистике киберпреступлений.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →