- Penipuan merangkumi pelbagai teknik penyamaran (SMS, panggilan, e-mel, web, IP, DNS, GPS, wajah) yang bertujuan untuk mencuri data atau wang.
- Dalam pemalsuan SMS dan pemalsuan ID Pemanggil, penjenayah memalsukan penghantar dan nombor untuk menyamar sebagai bank atau organisasi yang dipercayai.
- Pertahanan terbaik adalah berwaspada terhadap mesej dan panggilan yang tidak dijangka, tidak berkongsi data sensitif dan sentiasa membuat pengesahan dengan saluran rasmi.
- Latihan, alat keselamatan dan langkah kawal selia mengukuhkan perlindungan, tetapi kehati-hatian pengguna kekal penting.
La kecurian identiti melalui SMS dan panggilan Ia telah menjadi salah satu penipuan paling berbahaya dan biasa yang menjejaskan individu dan perniagaan; lihat yang terkini Berita tentang keselamatan komputer dan keselamatan siber.
Dalam artikel ini kami akan menerangkan secara terperinci Apakah itu penipuan SMS, bagaimana ia berfungsi dan bagaimana ia berkaitan dengan jenis penipuan yang lain? (dalam panggilan, e-mel, laman web, IP, DNS, GPS, dll.), serta tanda-tanda untuk mengesannya dan langkah praktikal yang boleh anda gunakan untuk melindungi diri anda dalam kehidupan seharian anda, baik secara peribadi mahupun profesional, dan dalam hal ehwal keselamatan dan privasi dalam program.
Apakah itu spoofing dan mengapa ia begitu berbahaya?
Apabila kita bercakap tentang penipuan, kita merujuk kepada satu set teknik kecurian identiti Ini digunakan oleh penyerang untuk menyamar sebagai orang, syarikat atau organisasi yang dipercayai. Matlamatnya sentiasa sama: untuk memperdaya mangsa supaya mendedahkan data sensitif, membuat pembayaran atau melakukan tindakan yang memberi manfaat kepada penipu.
Penjenayah siber menggabungkan penipuan dengan pelbagai bentuk Pancingan data (menipu untuk mencuri data)Penipuan ini boleh berlaku melalui e-mel, SMS, panggilan telefon atau laman web palsu. Dalam sektor perbankan, penipuan ini memberi tumpuan terutamanya kepada mendapatkan kelayakan perbankan dalam talian, butiran kad, kod pengesahan SMS (OTP) atau maklumat peribadi lain yang boleh digunakan untuk melakukan penipuan kewangan atau jenayah kecurian identiti yang lain.
Penting untuk mengingatnya Institusi kewangan yang bereputasi baik tidak meminta maklumat melalui SMS, telefon atau e-mel. Maklumat seperti nama pengguna dan kata laluan perbankan dalam talian, kod yang dihantar ke telefon bimbit anda, nombor kad, tarikh luput atau kod keselamatan tiga digit (CVV/CVC) harus diminta. Jika seseorang meminta maklumat ini melalui saluran ini, anda harus segera curiga.
Penipuan SMS: Apakah itu dan bagaimana ia berfungsi
El SMS spoofing Ia merupakan teknik yang membolehkan penyerang menghantar mesej teks yang kelihatan datang daripada pengirim yang sah (biasanya bank, syarikat kurier atau agensi kerajaan), sedangkan pada hakikatnya ia dihantar oleh penjenayah. Amalan ini sering digunakan dalam varian pancingan data yang dipanggil smishing, di mana penipuan itu tiba melalui SMS.
Dalam praktiknya, penipu itu Ubah suai nombor atau nama pengirim yang anda lihat pada skrin mudah alih anda (medan yang dikenali sebagai ID Penghantar). Disebabkan ini, mesej palsu boleh muncul dalam thread SMS yang sama di mana anda sebelum ini menerima komunikasi yang sah daripada bank anda atau perkhidmatan yang dipercayai. Penampilan kesinambungan ini membuatkan pengguna mengurangkan langkah berjaga-jaga mereka.
Kandungan mesej SMS ini biasanya merangkumi notis penggera atau segeraPenipuan ini selalunya termasuk: caj yang tidak disedari, penutupan akaun yang akan berlaku, keperluan untuk mengemas kini maklumat, hadiah atau bayaran balik cukai yang didakwa, antara lain. Dari situ, mereka menjemput anda untuk mengklik pautan atau menghubungi nombor telefon yang sebenarnya bukan milik entiti yang disamarkan.
Salah satu taktik yang paling biasa adalah untuk mesej tersebut mengandungi pautan ke laman web palsu yang meniru laman web bankHalaman ini boleh jadi hampir sama dengan halaman sebenar: logo, warna, teks yang serupa dan juga URL yang sangat serupa. Matlamatnya adalah untuk anda memasukkan kelayakan perbankan dalam talian, butiran kad dan kod yang anda terima melalui SMS supaya penjenayah boleh mengakses akaun anda.
Dalam kes lain, SMS tersebut mengarahkan mangsa untuk nombor telefon palsudi mana seorang "pengurus" atau "ejen" yang dikatakan menyamar sebagai kakitangan bank, meminta data peribadi dan membimbing orang itu langkah demi langkah untuk membenarkan pemindahan atau pembayaran, dengan mempercayai bahawa mereka sedang "menyelesaikan masalah keselamatan".
Mengapa mesej SMS palsu dicampuradukkan dengan mesej rasmi
Salah satu soalan yang paling kerap ditanya ialah bagaimana mesej palsu boleh muncul dalam thread yang sama daripada mesej SMS yang sah daripada bank. Penjelasannya terletak pada bagaimana telefon bimbit dan rangkaian mengendalikan pengecam penghantar.
Peranti tersebut mengumpulkan perbualan berdasarkan semata-mata pada ID PengirimMedan alfanumerik ini kekurangan pengesahan yang kukuh dan pengesahan undang-undang global. Dalam erti kata lain, rangkaian dan peranti mudah alih menganggap bahawa sesiapa yang mendakwa sebagai "Bank X" atau menggunakan nombor tertentu sebenarnya adalah "Bank X", tanpa kawalan ketat.
Kelemahan ini membolehkan penjenayah siber merampas nama penghantaran yang digunakan oleh bank dan syarikatOleh kerana tiada pengesahan yang kukuh terhadap pemegang alias, terminal pengguna akan mencampurkan mesej palsu dengan mesej yang sah, sekali gus mewujudkan gambaran normal sepenuhnya.
Hasilnya ialah walaupun pengguna yang prihatin dan berpengalaman Mereka mungkin terjerumus ke dalam perangkap, kerana saluran dan konteksnya (benang mesej daripada "bank anda") kelihatan benar-benar asli, dan nada mesej itu memainkan peranan dalam ketakutan, desakan, atau perasaan kerugian kewangan.
Penipuan ID Pemanggil: Penyamaran dalam panggilan telefon
El Penipuan ID Pemanggil Penipuan telefon adalah bersamaan dengan penipuan SMS, tetapi digunakan untuk panggilan. Daripada memanipulasi penghantar SMS, penyerang memalsukan nombor yang tertera pada ID pemanggilOleh itu, skrin telefon bimbit mungkin memaparkan nombor sebenar bank, badan rasmi atau kenalan yang diketahui, walaupun panggilan itu berasal dari tempat lain.
Dengan teknik ini, penipu berpura-pura menjadi pekerja bank, pengurus akaun atau kakitangan perkhidmatan rasmi dan menghubungi mangsa dengan mendakwa terdapat masalah segera: pergerakan yang mencurigakan, percubaan akses tanpa kebenaran, penyekatan kad, keperluan untuk mengesahkan data dengan segera, dsb.
Semasa panggilan, orang di hujung sana biasanya bertanya data yang sangat sensitif: nama pengguna dan kata laluan perbankan digital, kod yang diterima melalui SMS, nombor kad penuh, PIN, data peribadi (ID, tarikh lahir, alamat) atau pun mangsa membuat pemindahan "untuk menyekat penipuan" yang sebenarnya diarahkan ke akaun yang dikawal oleh penjenayah.
Akibatnya boleh menjadi serius: akses terus ke akaun bankIni termasuk pemindahan tanpa kebenaran, pembukaan akaun atas nama mangsa atau kecurian identiti untuk melakukan jenayah lain. Oleh itu, jika anda diminta memberikan maklumat keselamatan semasa panggilan, anda harus menutup telefon dan menghubungi nombor telefon rasmi bank itu sendiri.
Untuk mengenal pasti kemungkinan kes pemalsuan ID Pemanggil, adalah dinasihatkan untuk melihat sama ada Mereka menegaskan tentang pentingnya menjalankan operasi, jika nadanya menakutkan, atau jika soalannya di luar kebiasaan (contohnya, meminta kata laluan atau kod lengkap yang tidak pernah diminta oleh bank melalui telefon).
Jenis-jenis spoofing lain yang sangat biasa
Walaupun pemalsuan SMS dan pemalsuan ID Pemanggil amat berbahaya dalam sektor kewangan, terdapat juga kaedah lain. banyak variasi spoofing lain yang juga cuba menipu dan mencuri maklumat atau wang. Memahaminya membantu mengenali corak dan melindungi diri anda dengan lebih baik.
Penipuan e-mel
Di dalamnya e-mel spoofingPenyerang menghantar e-mel yang kelihatan seperti datang dari alamat yang sah: bank, syarikat terkenal atau kenalan peribadi. Caranya adalah dengan memalsukan medan penghantar (DARI), supaya pada pandangan pertama domain itu kelihatan boleh dipercayai, walaupun setelah diperiksa lebih dekat biasanya boleh dipercayai. sedikit berbeza daripada domain sebenar bagi entiti tersebut (contohnya, tukar huruf, tambah tanda sempang atau gunakan sambungan yang berbeza).
E-mel ini biasanya meminta pengguna memberikan data peribadi atau kewanganMuat turun lampiran atau klik pada pautan yang membawa kepada halaman penipuan. Dalam kebanyakan kes, ini digunakan untuk memasang perisian hasad (virus, Trojan, keylogger) atau untuk membuka laman web yang sama dengan bank, di mana mangsa akan memasukkan kelayakan mereka.
Penipuan laman web atau domain
El pemalsuan web atau pemalsuan domain Ini melibatkan penciptaan laman web palsu yang meniru laman web yang sah (bank, kedai dalam talian, agensi kerajaan, dll.). URL yang dipaparkan dalam bar alamat pelayar biasanya sangat serupa, tetapi tidak sama, dengan URL laman web sebenar. Penyerang sering menggabungkan teknik ini dengan penipuan SMS atau e-mel untuk memacu trafik ke laman web palsu ini.
Sebaik sahaja berada di laman web palsu, mangsa akan masuk kelayakan log masuk, butiran kad atau maklumat sulit anda yang lain mempercayai bahawa mereka berada di halaman asal. Penjenayah merakam data ini dalam masa nyata dan boleh menggunakannya serta-merta untuk mengakses akaun, membuat pembelian atau mengosongkan baki.
IP spoofing
Di dalamnya IP spoofingPenjenayah siber memalsukan alamat IP komputer lain supaya sistem sasaran percaya bahawa sambungan itu berasal dari sumber yang dipercayai. Dengan cara ini, mereka boleh elakkan penapis keselamatan, mengakses sumber terhad atau memanfaatkan kepercayaan yang wujud antara mesin pada rangkaian yang sama.
Serangan jenis ini sering digunakan sebagai sebahagian daripada strategi yang lebih kompleksseperti serangan penafian perkhidmatan (DDoS) atau pencerobohan ke dalam rangkaian korporat, dan boleh membenarkan kecurian maklumat sulit jika langkah perlindungan yang mencukupi tidak disediakan.
Penipuan DNS
El DNS spoofing Ia bergantung pada manipulasi Sistem Nama Domain (DNS), yang menterjemahkan nama laman web kepada alamat IP. Penyerang menjangkiti penghala atau komputer mangsa, atau memanipulasi respons DNS, supaya apabila pengguna melayari laman web yang diketahui, mereka dialihkan secara senyap ke laman web yang berniat jahat. laman web penipuan yang dikawal oleh mereka.
Dari sudut pandangan pengguna, semuanya kelihatan normal (mereka menaip URL yang selalu mereka gunakan), tetapi sebenarnya mereka memasuki laman web yang dimanipulasi di mana mereka boleh mencuri kelayakan, butiran bank atau memasang perisian hasad tanpa menyedarinya.
Penipuan GPS
El Spoofing GPS Ia melibatkan pemalsuan atau manipulasi isyarat kedudukan supaya peranti percaya ia berada di lokasi yang berbeza daripada lokasi sebenarnya. Teknik ini boleh digunakan untuk menipu sistem navigasi, mengubah laluan pengangkutan, mengubah suai rekod lokasi atau melakukan penipuan berkaitan penghantaran atau laluan yang dibilkan berdasarkan jarak.
Contohnya, pemandu yang berniat jahat boleh menggunakan penipuan GPS untuk memperdaya platform supaya mempercayai bahawa mereka telah mengembara lebih banyak kilometer daripada yang sebenar dan dengan itu mengecas lebih banyak, atau mengalihkan pengangkutan ke kawasan lain tanpa sistem mengesannya dengan segera.
Serangan Man-in-the-Middle (MitM).
Dalam serangan jenis Man-in-the-Middle (MitM)Penjenayah siber meletakkan diri mereka di antara dua pihak yang berkomunikasi (contohnya, pengguna dan laman web) dan memintas lalu lintas tanpa disedari oleh kedua-dua merekaSatu cara biasa untuk melakukan ini adalah dengan mencipta rangkaian Wi-Fi palsu dengan nama yang hampir serupa dengan rangkaian Wi-Fi yang sah (dari kafe, hotel, universiti, dll.).
Jika pengguna bersambung ke rangkaian perangkap itu, penyerang boleh menangkap kata laluan, butiran kad, e-mel dan maklumat sensitif yang lainDalam beberapa kes, ia juga boleh mengubah suai trafik untuk mengalihkan ke laman web palsu atau menyuntik kod berniat jahat.
Penipuan Muka
El penipuan wajah Ia memberi tumpuan kepada menipu sistem pengecaman wajah. Penyerang menggunakan gambar, video atau model wajah orang lain untuk membuka kunci telefon bimbit, mengakses aplikasi perbankan atau memintas kawalan pengesahan biometrik.
Jika sistem tersebut kekurangan mekanisme pengesanan hayat yang canggih (contohnya, menganalisis kedalaman, pergerakan semula jadi atau pantulan cahaya), ia boleh ditipu dan membenarkan akses tanpa kebenaran ke akaun dan perkhidmatan sangat sensitif.
Penipuan dalam persekitaran profesional dan perniagaan
Perniagaan, daripada syarikat besar hingga PKS, juga kerap menjadi sasaran teknik penyamaran ini. Dalam bidang profesional, penyerang menyesuaikan mesej mereka untuk menyamar sebagai bos, rakan sekerja, pembekal atau pelanggan yang berinteraksi dengan organisasi setiap hari.
Adalah perkara biasa bagi mereka untuk cuba meyakinkan pekerja untuk melaksanakan tugas mereka pembayaran segera kepada akaun yang dikawal oleh penjenayahMereka mungkin memberikan maklumat sulit (data pelanggan, laporan dalaman, kelayakan log masuk) atau memuat turun dokumen yang mengandungi perisian hasad. Kebanyakan penipuan ini dikenali sebagai penipuan CEO atau Kompromi E-mel Perniagaan (BEC).
Untuk mengurangkan risiko, ia adalah penting melatih seluruh pasukan dalam amalan terbaik keselamatan siber dan memperkukuhkan proses pengesahan dalaman (contohnya, memerlukan semakan semula untuk perubahan pada akaun bank pembekal atau untuk pemindahan besar). Ia juga membantu untuk mempunyai penyelesaian teknikal yang menganalisis e-mel, menyekat mesej yang mencurigakan dan memantau aktiviti yang tidak normal.
Sesetengah institusi kewangan menawarkan perkhidmatan keselamatan siber khusus untuk perniagaan, seperti platform berpusat yang mengesan dan menyekat percubaan pancingan data dan spoofing, menilai tahap risiko dan menyediakan latihan berterusan kepada pekerja untuk mempelajari cara mengenali komunikasi berniat jahat.
Kerangka kerja perundangan dan langkah pengawalseliaan terhadap penipuan
Peningkatan besar-besaran dalam penipuan berasaskan spoofing telah menyebabkan pengawal selia meluluskan peraturan khusus untuk membendung amalan iniSalah satu tindakan adalah untuk memaksa pengendali telekomunikasi memperkukuh kawalan ke atas penomboran yang digunakan dalam panggilan dan SMS.
Antara langkah yang paling ketara ialah kewajipan untuk menyekat komunikasi dengan nombor palsu, dimanipulasi atau tidak diberikan dan peraturan pengenalpastian nombor yang digunakan dalam khidmat pelanggan dan panggilan jualan. Ini bertujuan untuk menjadikannya lebih sukar untuk menggunakan alias atau nombor yang tidak sepadan dengan entiti sebenar.
Walaupun begitu, perlindungan undang-undang dan teknikal sahaja tidak mencukupi: ia tetap penting bagi pengguna Mengekalkan sikap kritis dan berhemat Berhati-hati dengan sebarang komunikasi yang meminta maklumat sulit atau memberi tekanan kepada anda untuk bertindak segera, terutamanya jika ia diterima melalui SMS atau panggilan telefon.
Cara mengenali dan mengelakkan pemalsuan SMS dan pemalsuan ID pemanggil
Walaupun tiada sistem yang kalis kerosakan, terdapat beberapa garis panduan yang membantu meminimumkan risiko menjadi mangsa penipuan ini. Yang pertama adalah untuk membangunkan sistem tertentu "Akal sehat digital"Berwaspada terhadap sebarang mesej atau panggilan yang tidak dijangka yang meminta maklumat atau yang menimbulkan kebimbangan.
Apabila berhadapan dengan mesej teks yang mencurigakan, peraturan utamanya ialah Jangan klik pada pautan disertakan dalam teks dan jangan hubungi nombor yang muncul dalam mesej tersebut. Jika ia kelihatan dari bank anda, pergi terus ke laman web rasmi dengan menaip URL ke dalam pelayar anda atau akses aplikasi rasmi dan semak di sana jika terdapat amaran atau isu.
Dalam kes panggilan, walaupun anda melihat nombor bank di skrin, anda tidak sepatutnya memberikannya. kata laluan, kod pengesahan, butiran kad atau kunci tandatanganJika mereka berkeras, tutup panggilan dan hubungi sendiri nombor khidmat pelanggan, yang disenaraikan di laman web rasmi atau di belakang kad anda.
Adalah juga dinasihatkan untuk mengaktifkan dan memanfaatkannya pengesahan dua faktor (2FA) dalam perkhidmatan kritikal seperti perbankan dalam talian, e-mel atau platform profesional, tetapi sentiasa ingat bahawa kod yang dihantar melalui SMS atau ke aplikasi pengesahan tidak boleh dikongsi dengan sesiapa pun, walaupun orang itu mendakwa dirinya dari bank.
Akhir sekali, kekalkan mempunyai telefon bimbit dan penyelesaian keselamatan yang dikemas kini (antivirus, antispam, penapis URL) menambah lapisan perlindungan tambahan terhadap aplikasi berniat jahat dan pautan berbahaya, sekali gus mengurangkan kemungkinan jangkitan atau pengalihan ke tapak pancingan data.
Cadangan umum untuk perlindungan daripada penipuan
Selain setiap saluran tertentu (SMS, panggilan, e-mel, laman web), terdapat beberapa amalan terbaik yang membantu melindungi daripada hampir semua jenis spoofing. Salah satu yang paling penting ialah Jangan kongsikan maklumat sensitif melalui saluran yang tidak selamat atau tidak disahkan, terutamanya jika anda tidak memulakan komunikasi.
Dalam e-mel, sebelum mengklik pautan atau memuat turun lampiran, semak dengan teliti domain pengirim dan kandungan mesejPerhatikan kesalahan ejaan kecil, domain yang luar biasa atau permintaan maklumat yang tidak akan pernah diminta oleh bank anda melalui e-mel. Jika terdapat sesuatu yang tidak kena, adalah lebih baik untuk memadam mesej tersebut atau menghubungi bank secara terus melalui saluran lain.
Semasa melayari web, biasakan diri untuk melihat URL penuh dalam bar pelayar dan sahkan bahawa ia betul-betul sepadan dengan alamat rasmi entiti. Berhati-hati dengan laman web yang namanya terlalu serupa dengan yang asal tetapi tidak serupa, atau yang anda terima melalui pautan dalam e-mel atau mesej teks yang tidak diminta.
Pada rangkaian Wi-Fi awam atau terbuka, elakkan mengakses perkhidmatan sensitif seperti perbankan dalam talian, e-mel korporat atau panel pentadbiranJika anda perlu berbuat demikian, gunakan VPN yang dipercayai untuk menyulitkan sambungan dan mengurangkan kemungkinan seseorang memintas trafik anda.
Akhir sekali, perlu diingat bahawa nada agresif atau nada yang cuba menggoncang anda biasanya merupakan petanda buruk: Tiada prosedur perbankan yang sah memerlukan keputusan segera di bawah ancaman Anda boleh kehilangan wang dalam beberapa minit. Jika anda perasan tekanan atau drama dalam mesej atau panggilan, berhenti, tarik nafas, dan sahkan maklumat tersebut sendiri.
Gabungan pengetahuan, skeptisisme yang sihat dan beberapa langkah teknikal asas menyukarkan penjenayah siber untuk berjaya dengan teknik spoofing, sama ada melalui SMS, panggilan, e-mel, laman web palsu atau saluran digital lain.
