Mi az a „smishing” támadás, és hogyan lehet elkerülni?
A technológia és felhasználói szokások változásaihoz a hackerek is alkalmazkodnak, az adathalász kísérletek egyre nagyobb számban irányulnak a telefonokra.
Fotó: MargJohnsonVA / Twenty20 Az adathalászat (phishing) a legtöbbek számára ismerős kifejezés, hiszen számtalan írás foglalkozott már a többnyire e-mailben érkező üzenetekkel, amelyek célja a személyes adatok manipulációval történő ellopása. Egyre jobban terjed azonban egy új módszer, az úgynevezett „smishing”, ami ugyanezt próbálja elérni okostelefonra küldött SMS-ek felhasználásával.
A Kaspersky kiberbiztonsági vállalat szerint az európai és ázsiai Android felhasználókra egyre nagyobb veszélyt jelent a Roaming Mantis nevű program, az esetek száma világszerte növekszik. A smishing valós fenyegetés, néhány óvintézkedéssel azonban megóvhatjuk eszközünket az adathalász kísérletektől.
A támadások az e-mailben kapott üzenetekkel nagy hasonlóságot mutatnak; a hackerek egy megtévesztő SMS-t küldenek a felhasználónak, amelyben egy link megnyitására szólítják fel, ahol aztán egy program letöltésére utasítják. Az így települő rosszindulatú kódsorok sokszor olyan ügyesen megbújnak, hogy az anti-malware alkalmazások sem veszik észre őket.
Nem a letöltendő alkalmazás az egyetlen módszer, amivel a hackerek élnek; attól függően, milyen cégnek adják ki magukat, az üzenet hamis bejelentkezési oldalra mutató linket is tartalmazhat, ahol fiók-, bankkártya- vagy személyazonosításra szolgáló adatokat kérnek, hogy azután visszaéljenek vele – számolt be a LifeHacker.
A smishing ellen alkalmazható stratégia hasonló az adathalász és más online csalások ellen bevált módszerekkel; első lépésként az SMS-spamszűrőt érdemes aktiválni. A T-Mobile és hasonló szolgáltatók egyre hatékonyabban képesek fellépni a fenyegetés ellen, de a szerveroldali szűrők inkább reaktívak, ami annyit jelent, egy lépéssel le vannak maradva az adathalászok mögött.
A megelőzés másik része a felhasználóra hárul: ne nyissunk meg ismeretlen számokról érkező váratlan hivatkozásokat. Néha nem könnyű megállapítani, melyik üzenet irányul adatlopásra, de gyakran maga a nyelvezet is árulkodó, például bizonyos kifejezések, rossz helyesírás vagy magyartalan fogalmazás használata.
Óvatosságra intenek még a szokatlan kérések, általánosságban ugyanis elmondható, hogy a bankok, internetszolgáltatók és nagy cégek nem küldenek véletlenszerűen linkeket, nem szólítanak fel alkalmazások telepítésére, és nem kérnek személyes adatokat szöveges üzenetben. Ha még ezután is bizonytalanok vagyunk az üzenet eredetében, hívjuk fel közvetlenül a céget, és ellenőrizzük rajtuk keresztül a hitelességet.
