Открыть сервис

Смишинг

Смишинг (от англ. SMS и phishing) — это вид мошенничества, основанный на использовании SMS-сообщений, а также сообщений в мессенджерах (например, WhatsApp, Viber, Telegram), с целью получения конфиденциальной информации жертвы: логинов, паролей, данных банковских карт, кодов подтверждения или принуждения к переводу денежных средств. Является разновидностью фишинга, адаптированной под мобильные платформы и текстовые коммуникации.

История и происхождение

Термин «смишинг» вошёл в обиход в середине 2000-х годов, когда злоумышленники начали массово использовать SMS-рассылки для обхода спам-фильтров электронной почты. Первые атаки были примитивными и содержали ссылки на поддельные веб-сайты, имитирующие банковские порталы. С развитием мобильных технологий и распространением смартфонов с доступом в интернет смишинг стал более изощрённым: мошенники начали использовать подмену номера отправителя (спуфинг), а также социальную инженерию для создания ощущения срочности и паники у жертвы.

В России первые массовые случаи смишинга были зафиксированы в конце 2000-х годов, когда злоумышленники рассылали сообщения о якобы блокировке банковской карты с просьбой перезвонить на указанный номер. С 2010-х годов, с ростом популярности онлайн-банкинга и мобильных платежей, смишинг стал одним из самых распространённых видов мошенничества в РФ.

Механизм атаки

Смишинг-атака обычно состоит из нескольких этапов:

  1. Подготовка и рассылка. Злоумышленники приобретают базы телефонных номеров (часто утекшие из различных сервисов) или используют автоматический перебор номеров. Сообщение может быть отправлено с подменного номера, который в интерфейсе телефона отображается как номер банка, госоргана или известной компании.
  2. Содержание сообщения. Текст строится по одному из нескольких типовых сценариев:
  • Срочное уведомление: «Ваша карта заблокирована», «Обнаружен подозрительный вход в аккаунт», «Задолженность по налогам».
  • Выгодное предложение: «Вы выиграли приз», «Специальная акция», «Кэшбэк за оплату».
  • Просьба о помощи: «Мама, у меня проблемы, срочно переведи деньги» (часто с использованием подмены номера близкого человека).
  • Уведомление от госорганов: «Вам назначена выплата», «Необходимо пройти перерегистрацию» (например, от имени Пенсионного фонда РФ или портала «Госуслуги»).
  1. Действие жертвы. Сообщение содержит один из следующих призывов:
  • Перейти по ссылке на фишинговый сайт, который внешне неотличим от настоящего. Введённые на нём данные (логин, пароль, номер карты, CVV-код) попадают к мошенникам.
  • Позвонить по указанному номеру. При звонке жертву соединяют с «оператором», который под видом сотрудника банка или службы поддержки выманивает конфиденциальные данные или убеждает установить вредоносное приложение.
  • Ответить на сообщение (например, отправить код подтверждения или номер карты).
  • Установить приложение (часто — APK-файл для Android), которое предоставляет злоумышленникам удалённый доступ к устройству или перехватывает SMS с кодами подтверждения.

Классификация смишинга

Смишинг можно классифицировать по нескольким признакам:

По цели атаки

  • Финансовый смишинг: Нацелен на кражу денег с банковских карт и счетов. Наиболее распространённый тип.
  • Кража учётных записей: Направлен на получение доступа к аккаунтам в соцсетях, мессенджерах, на портале «Госуслуги» (РФ) или в онлайн-играх.
  • Распространение вредоносного ПО: Ссылка ведёт на загрузку трояна, программы-шпиона или банковского вируса.

По способу доставки

  • SMS-смишинг: Классический вариант с использованием канала SMS.
  • Мессенджер-смишинг: Атаки через WhatsApp (продукт Meta, признанной экстремистской и запрещённой в РФ), Telegram, Viber и другие мессенджеры. Часто используются для распространения мошеннических схем «от имени друга» или «от имени службы поддержки».
  • Голосовой смишинг (вишинг): Хотя формально это отдельный вид (голосовой фишинг), часто рассматривается в связке со смишингом, так как SMS используется для инициирования звонка.

По используемому сценарию

  • Социальная инженерия: Использование психологических приёмов (срочность, страх, жадность, доверие к авторитету).
  • Технический обман: Подмена номера отправителя (спуфинг), создание поддельных сайтов, использование сокращателей ссылок (например, bit.ly) для маскировки фишингового URL.

Распространённые схемы в России

В России наиболее часто встречаются следующие схемы смишинга:

  • «Блокировка карты»: Сообщение от имени банка (Сбербанк, ВТБ, Т-Банк и др.) о блокировке карты или подозрительной операции. Номер для звонка или ссылка ведут на мошенников.
  • «Выплата от государства»: Сообщение о якобы положенной единовременной выплате (например, к 1 сентября, на детей, ветеранам). Для получения требуется перейти по ссылке и ввести данные карты.
  • «Взлом Госуслуг»: Сообщение о том, что аккаунт на портале «Госуслуги» взломан, и для восстановления доступа нужно перейти по ссылке или назвать код из SMS. Получив доступ, мошенники могут оформить кредиты на имя жертвы.
  • «Помощь родственнику»: Сообщение от имени знакомого или родственника с просьбой срочно перевести деньги (якобы на лечение, залог, такси). Часто номер отправителя подменён.
  • «Проверка от оператора связи»: Сообщение от имени мобильного оператора (МТС, Билайн, МегаФон) с просьбой подтвердить паспортные данные или продлить договор, иначе номер будет заблокирован.

Методы защиты

Для защиты от смишинга рекомендуется соблюдать следующие правила:

  • Не переходить по ссылкам из SMS и сообщений от неизвестных отправителей. Даже если сообщение пришло от знакомого, лучше перепроверить информацию личным звонком.
  • Не сообщать конфиденциальные данные. Ни один банк, госорган или легальный сервис никогда не запрашивает по SMS или в мессенджере PIN-код, CVV-код, пароль от аккаунта или полный номер карты.
  • Проверять информацию официально. При получении подозрительного сообщения от банка или госоргана необходимо самостоятельно позвонить по номеру, указанному на официальном сайте организации, а не по номеру из сообщения.
  • Использовать антивирусное ПО на мобильных устройствах. Современные антивирусы (например, Kaspersky, Dr.Web, ESET) блокируют фишинговые ссылки и вредоносные приложения.
  • Включить двухфакторную аутентификацию для всех важных аккаунтов (банки, соцсети, «Госуслуги»). Это снижает риск кражи аккаунта, даже если пароль стал известен мошенникам.
  • Не устанавливать приложения из непроверенных источников. APK-файлы, полученные по ссылке из SMS, почти всегда являются вредоносными.
  • Блокировать спам-сообщения. Многие современные мессенджеры и операторы связи предоставляют функции автоматической фильтрации и блокировки спама. В РФ операторы «большой четвёрки» (МТС, Билайн, МегаФон, Tele2) с 2020 года активно внедряют системы блокировки мошеннических SMS на уровне сети.

Ответственность и законодательство в РФ

В Российской Федерации смишинг квалифицируется как мошенничество и подпадает под действие статьи 159 Уголовного кодекса РФ («Мошенничество»). В зависимости от суммы ущерба и способа совершения преступления (например, с использованием служебного положения или в крупном размере) наказание может варьироваться от штрафа до лишения свободы на срок до 10 лет.

В 2021 году вступил в силу Федеральный закон № 319-ФЗ, который обязал операторов связи блокировать SMS-сообщения с подменных номеров и сообщения, содержащие фишинговые ссылки. Также была создана система «Антифишинг» для оперативного выявления и блокировки мошеннических сайтов.

Примеры

  • Пример 1 (финансовый смишинг): «Сбербанк: Ваша карта заблокирована. Подробности по ссылке: bit.ly/3xYzAbc». Ссылка ведёт на поддельную страницу входа в Сбербанк Онлайн.
  • Пример 2 (кража аккаунта): «Госуслуги: Ваш аккаунт взломан. Восстановите доступ по ссылке: gosuslugi-verify.ru». Сайт-двойник собирает логин и пароль.
  • Пример 3 (социальная инженерия): «Привет, это Анна. У меня проблемы, срочно нужно 5000 рублей. Скинь на карту 2200 1234 5678 9012». Номер отправителя подменён на номер реального контакта жертвы.

Источники

  1. Уголовный кодекс Российской Федерации, статья 159 «Мошенничество».
  2. Федеральный закон от 02.07.2021 № 319-ФЗ «О внесении изменений в Федеральный закон «О связи» и отдельные законодательные акты Российской Федерации».
  3. Материалы Банка России (Центрального банка РФ) по противодействию мошенничеству.
  4. Отчёты и публикации «Лаборатории Касперского» и «Dr.Web» о киберугрозах в мобильных сетях.
  5. Аналитические обзоры МВД России по статистике киберпреступлений.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →