Key takeaways
- Federal Communications Commission (FCC) har varnat människor för en betydande ökning av nätfiskeattacker som utförs via SMS.
- Experter hävdar att SMS har blivit farligare än e-post för att lura människor i nätfiskebedrägerier.
-
Bedrägliga SMS-meddelanden kan kringgå teknik som utformats för att fånga nätfiske-e-postmeddelanden.
Precis när du trodde att du hade koll på nätfiske-e-postmeddelanden kommer nyheter om hotaktörer som byter slag och attackerar människor med bedrägliga SMS-meddelanden.
Federal Communications Commission (FCC) lade nyligen ut ett meddelande för att varna människor för en ökning av SMS-nätfiskeattacker, och delade att sms-bedrägerier ökade svindlande 168 procent mellan 2019-2021, med över 8 500 klagomål just detta enbart år.
"Cyberbrottslingar använder allt oftare textmeddelanden som en metod för att kringgå säkerhetskontrollerna som vanligtvis implementeras i e-post och andra kommunikationssystem", säger Josh Yavor, Chief Information Security Officer på Tessian, till Lifewire. "Vi ser nya vågor av soci alt utvecklade attacker där angripare imiterar olika typer av SMS-meddelanden för att lura konsumenter att ge upp känslig och personlig information."
Weaponizing SMS
Phishing-attacker som begås via bedrägliga SMS-meddelanden är allmänt kända som smishing, eller som FCC hänvisar till dem i sin anteckning: robotexts.
Enligt kommissionen har klagomålen om sådana oönskade textmeddelanden ökat stadigt de senaste åren från cirka 5 700 2019, 14 000 2020 och 15 300 2021 till 8 500 till 30 juni, 2022.
Det antydde också att denna siffra bara kunde vara toppen av ett isberg, och pekade på en Robokiller-rapport som uppskattade att amerikaner fick över 12 miljarder robottextmeddelanden i juli 2022, i genomsnitt cirka 44 skräppostmeddelanden för varje medborgare.
FCC delade också med sig av några av de vanliga lockelser som bedragare bakom dessa smishing-kampanjer använder för att lura människor att lämna över konfidentiell information.
"Som robocallers, kan en robotexter använda rädsla och ångest för att få dig att interagera", noterade FCC. "Texter kan innehålla falska men trovärdiga påståenden om obetalda räkningar, paketleveransproblem, bankkontoproblem eller brottsbekämpande åtgärder mot dig."
Dessutom, i sitt försök att komma i kontakt med dig, kan bedragarna också använda de bedrägliga SMS-meddelandena för att ge förvirrande information, som om de sms:a någon annan, för att få dig att svara, på ett eller annat sätt.
Med utgångspunkt från FCC:s anteckning, påpekar Yavor att SMS är "inherent farligare" än e-post som ett nätfiskemedium eftersom det är betydligt svårare att bekämpa bedrägliga meddelanden via text än e-post.
"Tyvärr släpar världen av säkerhet för SMS efter e-post eftersom kärnskydden vi har i e-post bara inte existerar med texter", sa Yavor. "Med SMS är det svårare att utbilda människor att identifiera bedrägliga avsändare, och människor saknar de stödmekanismer de är vana vid när de använder e-post."
I Yavors erfarenhet har människor en bättre chans att identifiera en falsk e-postadress, medan det är svårare med SMS, tack vare förekomsten av nummerspoofing.
SMS är farligare
Yavor pekade på en Tessian-undersökning, som visade att över hälften av de tillfrågade hade fått ett bluff-sms under det senaste året. Dessutom föll en tredjedel av dem för bluffen, en siffra som är högre än de som interagerade med ett nätfiske-e-postmeddelande.
Människor förväntar sig vanligtvis inte att bli lurade via sina sms, varför SMS har blivit en riktigt effektiv attackvektor, konstaterade Jeff Hancock, Harry och Norman Chandler professor i kommunikation vid Stanford University, i Tessians undersökning.
Förtroendet med SMS, hävdade han, härrörde från det faktum att tills nyligen var det väldigt få personer utanför vårt nätverk som skulle kunna nå oss via SMS. "När vi handlar online och uppmanas att dela vårt mobilnummer, får vi nu textmeddelanden från kontakter som vi inte vet - vissa meddelanden är legitima och andra inte", sa Hancock.
Om du har fått ett misstänkt sms eller en ovanlig förfrågan från någon du annars litar på, föreslår Yavor att den bästa vägledningen är densamma som i e-post – istället för att kontakta direkt, ta en stund att nå avsändaren via ett annat sätt att verifiera SMS:s äkthet.
"Det är absolut nödvändigt att alltid skapa förtroende utanför SMS-konversationen och komma ihåg att legitima organisationer [som din bank] aldrig skulle ställa ett ultimatum (som att ringa tillbaka om 12 timmar eller annat) eller be om ekonomiska detaljer eller lösenord via sms," sa Yavor."Äntligen kan folk rapportera spam och bedrägliga sms till sin operatör genom att vidarebefordra meddelandena till 7726."