Giả mạo SMS là gì

Giả mạo SMS là gì & Làm thế nào để ngăn chặn nó?

Bạn có nghĩ rằng tin nhắn văn bản giả mạo là một vấn đề thời hiện đại không? Chúng thực sự có niên đại gần một thiên niên kỷ…

Giả mạo SMS có thể là một vấn đề của thế kỷ 21, nhưng bạn sẽ ngạc nhiên khi biết rằng nguồn gốc của nó được cho là có từ nhiều thế kỷ trước. Năm 1271, Sultan Baybars, một chỉ huy của Ai Cập, đã bắt giữ thành công Krak des Chevaliers đáng gờm bằng cách trao cho các hiệp sĩ bị bao vây một bức thư giả mạo, được cho là từ chỉ huy của họ, hướng dẫn họ đầu hàng. Cuối cùng các hiệp sĩ đã đầu hàng, và bức thư hóa ra là giả. 

Hấp dẫn? Có thể đúng. Nhưng nghe có vẻ thú vị, khả năng này chắc chắn là sự xấu xa về bản chất khi được sử dụng với mục đích xấu. Điều đó đưa tôi đến “giả mạo SMS”, chủ đề đã đưa bạn đến đây.

SMS Spoofing: Nó là gì?

Cảm ơn những người đặt tên cho các thuật ngữ này, chúng tôi sẽ biết được các thuật ngữ chỉ bằng cách nhìn vào nó. Nếu bạn nghĩ rằng “SMS spoofing” là một số loại kỹ thuật để lừa gạt mọi người bằng cách sử dụng SMS, thì bạn hoàn toàn chính xác.

Giả mạo SMS là một kỹ thuật cho phép chúng ta thay đổi thông tin người gửi trên một văn bản được gửi qua hệ thống dịch vụ tin nhắn ngắn (SMS). Tin nhắn văn bản SMS được sử dụng bởi điện thoại di động, trợ lý kỹ thuật số cá nhân và các thiết bị tương tự và thường chỉ được gọi chung là tin nhắn văn bản.

Khi bạn gửi văn bản giả mạo, chúng sẽ thay thế số điện thoại di động gốc (ID người gửi) bằng văn bản chữ và số. Nói cách đơn giản hơn, giả mạo SMS cho phép bạn thay đổi số hiển thị của người gửi. Vì nó cho phép bạn thay đổi các chi tiết của người khởi tạo, nó cũng được coi là “giả mạo người tạo SMS”.

Dưới đây là một minh họa thú vị về giả mạo SMS:

Giả mạo SMS
Nguồn hình ảnh: https://github.com/vpn/SMSSpoof/blob/master/README.md

SMS Spoofing vs Smishing

Nhiều người xem SMS giả mạo với một kỹ thuật gọi là “smishing”. Một số thậm chí còn tin rằng chúng giống nhau. Tuy nhiên, cả hai đều liên quan đến lừa đảo trực tuyến, cả hai đều khá khác nhau. Smishing, một dạng ngắn gọn của lừa đảo qua SMS, là một cuộc tấn công bảo mật trong đó người dùng bị lừa tải xuống một mã độc Trojan, vi-rút hoặc phần mềm độc hại khác qua tin nhắn văn bản. Và như bạn đã biết, giả mạo SMS liên quan đến việc làm cho một tin nhắn trông giống như nó đến từ một hệ thống hoặc thiết bị khác.

Cả hai đều hoàn toàn khác nhau, phải không? Vì vậy, tại sao mọi người lại liên kết chúng mặc dù chúng hoàn toàn khác nhau? Đó là bởi vì cả hai thường được sử dụng kết hợp để đánh lừa người dùng. Ví dụ: kẻ lừa đảo có thể giả mạo tên người gửi tin nhắn văn bản, biến nó thành tên có vẻ giống như tên ngân hàng và bao gồm tin nhắn lừa đảo lừa người dùng nhấp vào liên kết. Đó là cách giả mạo và nâng cao sự tin tưởng SMS thường được sử dụng để đánh lừa người dùng.

SMS Spoofing hoạt động như thế nào?

Như chúng ta đã thấy, giả mạo SMS cho phép bạn gửi SMS mạo danh một thực thể khác. Điều này được thực hiện bằng cách thay đổi tên, số điện thoại của người gửi hoặc cả hai. Đáng ngạc nhiên, điều này không hề khó thực hiện.

Trong BackTrack và một số phiên bản khác của Kali Linux, có một công cụ cung cấp khả năng tấn công giả mạo SMS trong bộ công cụ Social Engineering. Tất cả những gì cần làm là chạy công cụ này và bạn có thể gửi tin nhắn văn bản cho ai đó bằng cách sử dụng danh tính của bất kỳ số điện thoại / tên người gửi nào bạn muốn (tất nhiên cần theo các chỉ dẫn từ bộ công cụ).

Ngoài việc sử dụng SET trong Kali Linux, một cách đơn giản hơn nữa để thực hiện giả mạo SMS là sử dụng dịch vụ trực tuyến. Đúng, bạn không đọc nhầm đâu; có những “doanh nghiệp” cung cấp cho bạn dịch vụ giả mạo SMS trên internet (chúng ta sẽ nói về tính hợp pháp của chúng sau này). Các nền tảng này rất thân thiện với người dùng; bất kỳ ai có kiến ​​thức máy tính cơ bản đều có thể gửi tin nhắn giả mạo. Tất cả những gì bạn cần làm là trả một số tiền (rất rẻ, btw), thêm tên mà bạn muốn hiển thị và gửi SMS cho những người bạn muốn gửi. Đáng sợ phải không?

Các cách giả mạo SMS bị lạm dụng

Mặc dù là một công nghệ, nhưng giả mạo SMS đã trở thành một thủ thuật được các nhà tiếp thị, tin tặc và kẻ lừa đảo sử dụng để đánh lừa người dùng bằng thông tin người gửi được hiển thị giả mạo. Đó là một phương tiện có thể được sử dụng và sửa đổi theo nhiều cách để đạt được kết quả mong muốn. Hãy xem một số cách giả mạo SMS được sử dụng sai.

Một trường hợp điển hình của việc giả mạo SMS.

Tên công ty người gửi sai

Tất cả chúng ta đều đã nhận được một tin nhắn SMS giả mạo là từ một công ty nổi tiếng, nhưng cuối cùng, đó lại là tin nhắn giả mạo. Đó là tin nhắn SMS giả mạo dành cho bạn. Nhiều nhà tiếp thị và kẻ lừa đảo gửi SMS giả mạo là từ một công ty nổi tiếng. Ví dụ: một kẻ lừa đảo có thể đổi tên người gửi thành Vodafone và cho bạn biết rằng hợp đồng của bạn sắp được gia hạn. Không phải tất cả mọi người sẽ tin vào điều này, nhưng những người sắp hết hạn hợp đồng thì sao? Nếu họ nhìn thấy SMS này, rất có thể họ sẽ phản hồi lại. Và đó chính xác là những gì những kẻ lừa đảo muốn. Phải không?

Chuyển tiền giả

Một trong những cách thông minh nhất mà những kẻ lừa đảo sử dụng SMS giả mạo là mua sắm ngoại tuyến. Trong thủ đoạn này, kẻ lừa đảo ghé thăm một cửa hàng bán lẻ (chẳng hạn như thiết bị điện tử cao cấp, đồ trang sức, hàng hiệu, v.v.) và mua nhiều mặt hàng. Để thanh toán, kẻ lừa đảo hỏi chi tiết ngân hàng của cửa hàng để chúng chuyển tiền trực tuyến.

Giờ đây, nếu kẻ lừa đảo biết về số điện thoại của cửa hàng mà ngân hàng gửi SMS để cập nhật, chúng (kẻ lừa đảo) có thể truy cập trang web giả mạo SMS và sử dụng nó để gửi SMS lừa đảo. Tin nhắn được thao tác để có vẻ như đến từ ngân hàng vì nó sẽ chứa số tài khoản của cửa hàng (băm tất cả trừ bốn chữ số cuối), số tiền đã chuyển và ngày giao dịch. Điều này đánh lừa người nhận SMS tin rằng “người mua” đã thực hiện thanh toán và cho phép họ hoàn tất giao dịch mua.

Chương trình cá nhân

Giả mạo SMS cho phép bạn tạo ra danh tính của bạn (và mạo danh người khác), nó có thể được sử dụng để thực hiện một hoạt động bôi nhọ chống lại một người. Đây có thể là một trò chơi khăm, theo dõi, lừa gạt hoặc lạm dụng.

Trích xuất thông tin nhạy cảm

Những gì những kẻ lừa đảo và lừa đảo thường làm là gửi SMS để nhắc người dùng thực hiện các hành động ngay lập tức. Cách đây không lâu, tôi nhận được tin nhắn SMS từ một dịch vụ ví điện tử được cho là sẽ vô hiệu hóa tài khoản của tôi trong vòng 24 giờ và tôi sẽ mất toàn bộ tiền nếu không gửi thông tin của mình. Tin nhắn bao gồm một liên kết mà tôi phải nhấp vào sẽ hướng dẫn tôi đăng nhập và cung cấp thông tin.

Không có gì ngạc nhiên khi trang web mà liên kết hướng đến trông gần giống với trang web của nhà cung cấp ví thực tế, nhưng không phải vậy. Nếu tôi đã đăng nhập mà không nhìn vào URL, tôi đã cung cấp thông tin xác thực của mình cho những kẻ lừa đảo đứng sau trò lừa đảo này và chúng có thể đã lấy đi tất cả tiền của tôi. Những trò gian lận như vậy đang trở nên phổ biến hơn những ngày này.

Sử dụng hợp pháp SMS Spoofing

“Sử dụng hợp pháp giả mạo SMS? Có thật không?” – Nếu đây là phản ứng của bạn sau khi đọc tiêu đề, thì chúng tôi không thể trách bạn. Rốt cuộc, nó trông giống như một thủ thuật để lừa gạt những người vô tội. Phải không?. Giả mạo SMS có những ưu điểm của nó và nó đang được sử dụng ở nhiều nơi. Chúng ta hãy xem xét một số trong số họ.

  • Dịch vụ nhắn tin hàng loạt: Các dịch vụ SMS hàng loạt là những dịch vụ gửi SMS từ mạng máy tính. Họ phải giả mạo số của họ để mọi người có thể xác định họ.
  • Thông điệp chính thức: Khi các tổ chức như ngân hàng, nền tảng truyền thông xã hội, nhà cung cấp email, nhà cung cấp mạng di động, v.v. muốn gửi thông điệp chính thức đến khách hàng của họ, họ phải thực hiện theo cách mà người dùng có thể nhận dạng được họ. Vì vậy, họ thay thế số của họ bằng tên công ty của họ. (SMS Brandname)
  • Bảo vệ danh tính: Trong một số trường hợp, việc bảo vệ danh tính của người gửi là điều tối quan trọng. Những người thổi còi là ví dụ tốt nhất về điều này vì họ có thể muốn giao tiếp theo cách không tiết lộ danh tính của họ. (SMS Anonymous)

Cách người dùng có thể tự bảo vệ mình trước SMS giả mạo

Khi nói đến việc bảo vệ an ninh kỹ thuật số, cần có một chút kiến ​​thức về email và trang web. Tuy nhiên, bảo mật SMS là một trong những lĩnh vực chưa nhận được sự quan tâm xứng đáng. Đó là lý do tại sao, với tư cách là người dùng, bạn phải học cách tự bảo vệ mình khỏi bị lừa đảo. Dưới đây là một số mẹo sẽ giúp bạn:

  • Bạn nên tránh nhấp vào các liên kết nhận được qua SMS càng nhiều càng tốt. Nếu SMS yêu cầu bạn thực hiện hành động khẩn cấp, thì bạn nên truy cập trực tiếp vào trang web và không nhấp vào liên kết SMS.
  • Đừng để bị cám dỗ bởi những lời đề nghị hoặc tin tức “quá tốt để trở thành sự thật” như trúng số hoặc giảm giá trên trời. Mặc dù ưu đãi bánh burrito Chipotle miễn phí đó có thể là thật, nó cũng có thể là một trò lừa đảo.
  • Đừng nhấp vào các URL được đề cập trong tin nhắn SMS “đặt lại mật khẩu”.
  • Nếu bạn nhận được thông tin cập nhật chuyển tiền qua SMS, bạn phải luôn nhấn mạnh vào việc kiểm tra số dư ngân hàng / ví của mình bằng cách đăng nhập trực tiếp vào trang web ngân hàng hoặc ứng dụng di động của bạn. Một lần nữa, đừng tự động nhấp vào liên kết bạn nhận được qua SMS!
  • Cẩn thận với các SMS về mã xác minh, đặc biệt nếu bạn không yêu cầu đặt lại mật khẩu hoặc đăng ký dịch vụ sử dụng xác thực hai yếu tố.
  • Chỉ chia sẻ số điện thoại của bạn trong những trường hợp khẩn cấp.
  • Các ngân hàng, nhà cung cấp dịch vụ và công ty viễn thông không bao giờ hỏi bạn thông tin chi tiết cá nhân của bạn qua SMS. Vì vậy, đừng bao giờ cung cấp thông tin chi tiết của bạn qua SMS!
  • Liên hệ với cơ quan thực thi pháp luật và nhà cung cấp mạng của bạn nếu bạn nhận được tin nhắn văn bản giả mạo.

Cách các tổ chức có thể bảo vệ thương hiệu của họ chống lại sự giả mạo qua SMS

Không chỉ khách hàng cần đề phòng tin nhắn giả mạo mà các tổ chức cũng cần cảnh giác với việc giả mạo SMS vì hai lý do. Một, những trò gian lận này là khá dễ dàng để rơi vào. Nếu bị lừa, bạn có thể phải chịu một khoản lỗ tài chính lớn và đó không phải là điều bạn muốn, phải không? Và lý do thứ hai là nếu tên và thương hiệu của tổ chức bạn bị tội phạm mạng sử dụng trong các cuộc tấn công giả mạo SMS, nó có thể gây ảnh hưởng lớn đến danh tiếng của bạn.  

Dưới đây là một số bước bạn có thể thực hiện để đi trước những kẻ gian lận một bước:

  • Nếu bạn nhận được thông tin cập nhật chuyển tiền qua SMS, bạn phải luôn nhấn mạnh vào việc kiểm tra số dư ngân hàng / ví của mình bằng cách đăng nhập.
  • Dựa trên các phương thức thanh toán thông thường (ví dụ: tiền mặt, thẻ ghi nợ hoặc thẻ tín dụng).
  • Liên hệ với cơ quan thực thi pháp luật và nhà cung cấp mạng của bạn nếu bạn nhận được tin nhắn SMS giả mạo.
  • Nếu ai đó sử dụng tên hoặc thông tin của tổ chức bạn trong các trò gian lận giả mạo SMS, hãy báo cáo với Ủy ban Truyền thông Liên bang (FCC) và cảnh sát.
  • Tránh sử dụng số điện thoại cá nhân của bạn để cập nhật SMS và giữ một số điện thoại riêng cho cùng một số. Và tất nhiên, không chia sẻ con số này với thế giới bên ngoài.
  • Nâng cao nhận thức về giả mạo SMS trong số khách hàng của bạn để họ không rơi vào các cuộc tấn công giả mạo nhắm vào công ty của bạn.

Nguồn: sectigostore.com

Add a Comment

Your email address will not be published. Required fields are marked *