No estan morts els SMS? De tota manera, no són només un text antic? Certament, no tenen cap interès en la ciberdelinqüència.
Bé, els SMS no estan gens morts; encara s’utilitza àmpliament per la seva simplicitat i comoditat.
De fet, com a servei de missatges curts de propòsit general (que literalment correspon a la lletra SMS) és difícil de superar, perquè qualsevol text del telèfon des d’un fantàstic telèfon intel·ligent a un text mòbil prepagament barat Pot rebre missatges
Si teniu un codi d’inici de sessió de 6 dígits o una notificació de “controlador de pizza a només 2 minuts” per transferir, els SMS continuen sent el millor sentit empresarial.
Malauradament, el que treballa per a empreses legals sempre treballa també per als cibercriminals, de manera que molts matons utilitzen els SMS per fer pesca. Somriu.
Podeu veure per què els SMS funcionen per als assetjadors.
Amb només 160 caràcters per missatge, és fàcil evitar els errors gramaticals i estilístics que solen cometre quan es veuen obligats a crear missatges de correu electrònic de format llarg en l’idioma quan estiguin bé. No parles
Millor encara, els SMS empresarials solen utilitzar escurçadors d’URL per estalviar espai, donant als criminals una excusa per fer el mateix.
Els escurçadors d’URL substitueixen adreces web llargues però significatives https://brandname.example.com/pizza-order.html?lang=en-US
Com en una forma comprimida però secreta https://xx.test/ABXt
Cosa que allibera la resta de caràcters SMS, però dissimula que l’enllaç està a punt de caducar.
Passeu el cursor per sobre d’un enllaç curt no ajuda perquè l’enllaç indica el lloc web real al qual aneu. El lloc d’abreviació de l’enllaç utilitza caràcters després del nom del lloc web (ABXt
A l’exemple que hem desenvolupat anteriorment) per trobar la destinació real com a indicador. I després envia un HTTP 301 Moved Permanently
Responeu dient-li al navegador cap a on seguir. Cal que feu clic al lloc abreujat abans de saber on voleu arribar.
Per descomptat, el sistema SMS no sap res sobre URL ni Internet. Però no és necessari.
El sistema operatiu del telèfon reconeixerà amb molt de gust quan el text de l’SMS sembla un URL i es pot fer clic automàticament per a vosaltres.
Per tant, quan els assetjadors fan servir URL breus en les seves estafes somrients, no semblen inusuals ni estan fora de lloc, tot i que els assetjadors no intenten específicament ser traïdors i estalviar espai.
Com a resultat, missatges de text que contenen una frase curta i truncada que no es veu bé en un correu electrònic i que conté enllaços dissimulats deliberadament que podríem sospitar en altres llocs.
* Són increïblement naturals quan apareixen en SMS.
Això és el que vam rebre a principis d’aquesta setmana. (No ens diuen Christopher i no vivim a Derry, a Irlanda del Nord. L’adreça incompleta que s’ofereix és un suburbi real, potser eliminada del mapa perquè sembli realista.)
Dear Christopher, we have your packet in queue. Address: Londonderry, Ballynagard crescent http COLON SLASH SLASH xxxxxxxx DOT com SLASH zzzzzzz
El missatge és com si s’hagués enviat al número equivocat, de manera que els assetjadors confien en vosaltres que conspireu prou com per fer-los clic, llavors s’introduiran per atraure-vos més “. L’autenticació inversa “utilitza la psicologia.
La frau us mostra per primera vegada alguns bons missatges d’un bot de xat d’Apple fals per tal d’explicar-vos per què, de fet, per dir-vos-ho Christopher – Va tenir la sort de ser seleccionat per participar a la prova de l’iPhone 12, i després us convida, de fet, convida Christopher – Per unir-se:
Aquí l’enllaç sembla real, però les lletres blaves són només text de l’enllaç, no l’URL que és la destinació de l’enllaç.
En aquest moment, ja no esteu a l’aplicació de missatgeria SMS, però heu entrat al navegador, de manera que podeu veure cap a on va l’enllaç fals si passeu el ratolí per sobre. (Al telèfon, manteniu premut l’enllaç fins que arribeu a la destinació).
Però si no aneu amb compte, potser us pregunteu si “Christopher” formava part realment d’un grup de llançament anterior a Apple.
I si reclames una promoció de Christopher per tu mateix?
De fet, només impedeix que feu clic com si fos Christopher i us trobeu.
Bé, una cosa és aturar-vos, és “demostrar-vos” donant-vos el vostre nom i adreça complets, excepte que, amb l’ajuda de matons, podeu “provar” aquesta informació al text original. Marca Fàcil de passar
Podeu endevinar què passa després:
Si us ho pregunteu, les respostes als noms i adreces esmentats a la part 3/5 no tenen importància. Hem provat de fer clic a diverses combinacions diferents i sorprenentment els assetjadors ens deixen passar de totes maneres. Les preguntes són només per proporcionar un contacte respectable a l’SMS que corresponia a “Christopher”, però que va contactar amb vosaltres. És com si els delinqüents intentessin “autenticar-se” a si mateixos, en lloc de les formes que els envolten.
Com podeu veure més amunt, si feu clic a la pregunta, arribareu a un lloc d’estafa (hi havia diverses variacions, similars: vam intentar somriure una i altra vegada) on sabeu Hi ha un càrrec d’enviament de missatgeria als telèfons “gratuïts”, normalment entre 1 i 2 lliures.
A continuació, podeu acabar amb un formulari de pagament amb targeta de crèdit que sembla un lloc web “oferta especial” amb un nom bastant fiable i, si teniu temps, amb una càrrega de seguretat HTTPS ۔
Tanmateix, si intenteu pagar una comissió d’enviament nominal, entregueu les vostres dades personals a matons, inclosos el número de targeta complet i el codi de seguretat.
Que dolent és això
És realment un gran problema, sempre que la majoria de nosaltres ho veiem com una estafa des del principi?
Sí, ho és.
Molts de nosaltres tenim amics o familiars, potser fins i tot un familiar en risc que ha estat estafat anteriorment, que potser no està tan segur i per a qui s’ha invertit el nom i l’adreça de “Christopher”. El truc pot ser suficient. Tirant-los més enllà
I no deixeu que els amics us escandalitzin, de manera que si algú us pregunta a través d’algú que confia en vosaltres amb l’ajut de la ciberseguretat, “Què passa si he fet clic aquí?”
… Podeu mostrar-los el breu vídeo anterior i deixar-los veure com funcionen aquestes estafes.
que hauriem de fer?
- No hi ha telèfon gratuït. I si teniu un telèfon gratuït, no cal que proporcioneu les dades de la targeta de crèdit i que pagueu 1 GBP. No obtindreu res per res: no pagueu per res i els assetjadors l’utilitzaran contra vosaltres. Si teniu dubtes, no us rendeixin.
- Mantingueu els ulls oberts per trobar pistes. Els matons van cometre diversos errors ortogràfics i de visió en l’estafa. No els enumerarem i els ajudarem com feien els vostres professors d’anglès a l’escola, però hi ha moltes coses que no semblen correctes, encara que suposeu que És un telèfon gratuït, però no sempre es presta atenció a cada senyal, però Preneu-vos sempre temps per mirar-vos a vosaltres mateixos I, per tant, aquesta és la millor oportunitat per atrapar els matons.
- Consulteu l’enllaç abans de fer clic. Si alguna cosa sembla malament, no està bé. Fins i tot si els assetjadors no cometen cap error ortogràfic ni vell, sempre us han de portar a un lloc web que controlen. Sovint, això significa que hi ha un enllaç fals en què hauríeu de passar temps. No us deixeu mai tenir pressa per fer clic en cap llocNo importa quant juguen els assetjadors per por de perdre’t.
- Penseu en un filtre web. No es tracta de controlar el filtratge web de la xarxa a la xarxa empresarial, sinó de seguretat en línia. T’ajuda Mantingueu les coses dolentes fora, I ajuda els vostres clients Conserveu les coses bones dinsCom ara la contrasenya i el número de la targeta de pagament. Configurar una VPN corporativa (xarxa privada virtual) significa que els usuaris interns poden navegar formalment per la xarxa d’oficines i gaudir de la mateixa seguretat que no tindrien en una LAN a la feina. ۔