SMiShing
Ta dziwna pisownia nazwy tego rodzaju oszustwa bierze się stąd, że zawsze zaczyna się ono od wysłania do ofiary tradycyjnego SMS-a. Korzystanie właśnie z tej formy komunikacji to w roku 2021 bardzo sprytna socjotechnika.
Po pierwsze, telefon uważamy za dość prywatne i jednocześnie relatywnie bezpieczne narzędzie komunikacji. Wydaje nam się, że jeżeli już jakaś osoba lub instytucja ma nasz numer telefonu, to znaczy że mamy z nią odpowiednie powiązania, by nawiązać kontakt. Oba te przeświadczenia są oczywiście błędne - smartfon z oprogramowaniem szpiegującym zamienia się w supermaszynę do inwigilacji, zaś bazy numerów telefonów można dziś kupować na czarnym rynku równie łatwo i niedrogo, jak te dotyczące adresów e-mail czy danych z mediów społecznościowych. Ale jest jeszcze coś innego, co daje SMS-om realną wyższość nad innymi formami komunikacji elektronicznej. Otóż SMS-y niemal zawsze czytamy - do tego często na nie odpowiadamy - zupełnie inaczej niż robimy z innymi niż służbowe e-mailami. Z badań przeprowadzonych przez firmę Gartner wynika, że odczytywanych jest aż 98 procent wszystkich wiadomości tekstowych wysłanych za pośrednictwem sieci GSM. Do tego aż 45 z nich doczekuje się odpowiedzi ze strony odbiorcy.
Rozpoczęcie przez oszustów podchodów za pośrednictwem właśnie SMS to zatem całkiem efektywny sposób na poprowadzenie dalszej konwersacji w zakładanym kierunku. W tym znaczeniu SMiShing jest zresztą specyficzną, telefoniczno-SMS-ową odmianą phishingu.
Vishing
To rzecz paradoksalnie bardzo popularna w ostatnich czasach - mowa o technikach podobnych do phishingu, ale opartych na rozmowie telefonicznej. W jej trakcie rozmówca - który ma na ogół całkiem niezłe pojęcie o podstawach psychologii i metodach manipulacyjnych - próbuje wyłudzić od ofiary mniej więcej to samo, co w wypadku phishingu - czyli albo hasła autoryzacyjne, albo też określone zachowanie w postaci np. instalacji na komputerze wskazanego oprogramowania.
Klasyka gatunku to „pilny telefon z banku”. Dzwoniący przedstawia się na przykład jako pracownik centrum kart kredytowych, który dzwoni zaniepokojony siedmioma próbami wypłaty z bankomatów w innych krajach. Zdenerwowana ofiara może stać się łatwym celem - opowieść jest bardzo przekonująca, oszust opowiada na przykład o tymczasowej blokadzie wypłat, którą jednakże należy szybko potwierdzić, w tym celu należy podać nr Klienta i np. pierwsze sześć znaków hasła do autoryzacji przelewów. Jeśli ofiara nie zachowa należytej ostrożności, za kilka chwil może być już za późno. Takie oszustwa są z reguły nieźle przygotowane - przestępcy wiedzą, że dzwonią do klienta danego banku, często mają też dostęp do jego telefonu za pomocą zainstalowanego wcześniej oprogramowania. Vishing jest więc bliskim krewnym zarówno phishingu, jak i scammingu - w tym ostatnim wypadku może być zresztą nawet skuteczniejszy od tego prowadzonego samymi środkami komunikacji cyfrowej - dobry oszust przez telefon będzie po prostu bardziej sugestywny.
Spoofing
To jeszcze jeden z tych najbardziej niebezpiecznych i wymagających zastosowania dość zaawansowanej technologii rodzajów internetowych oszustw. W tym wypadku wyłudzający sięga po technologię, by podszyć się pod konkretną instytucję w najbardziej przekonujący sposób - czyli stosując sfałszowany identyfikator nazwy dzwoniącego albo również sfałszowany adres e-mail. W efekcie osoba, do której dzwoni oszust podający się za pracownika banku, może być święcie przekonana, że naprawdę tak jest - bo przecież na ekranie połączenia wyświetla się dokładna nazwa banku, w którym ofiara ma konto albo na przykład urzędu, w którym ma sprawy do załatwienia. Dokładnie to samo może dotyczyć adresu mailowego - za pomocą najlepszych technik spoofingowych można podmienić adres tak skutecznie, że na pierwszy rzut oka będzie to całkowicie nie do rozpoznania. Zwłaszcza jeśli oszuści przekonująco podrobią również całą oprawę graficzną maila, tak by stała się łudząco podobna do tej prawdziwej, czy wręcz z nią identyczna.
Jak to się robi? „Podmienić” adres mailowy można na kilka sposobów - od tych całkiem hakerskich po nieco bardziej prymitywne oparte na wykorzystaniu niuansów zawartych w samym protokole SMTP służącym do wysyłania i dostarczania adresów mailowych. Jeśli chodzi o podmianę identyfikatorów dzwoniącego w sieciach GSM możliwe są z grubsza dwa typy sposobów. W pierwszym wykorzystuje się dość zaawansowany sprzęt, za pomocą którego można włamać się do sieci w określony sposób i w określonym miejscu - chodzi o urządzenia wykorzystywane na przykład przez służby. Wymaga to sporych nakładów, za to zdecydowanie zwiększa BHP z punktu widzenia oszustów - łatwiej im pozostać nieuchwytnymi, jeśli będą takich włamań dokonywać fizycznie w różnych miejscach. W drugim typie sposobów na telefoniczny spoofing wykorzystywane są protokoły VOiP, które bardzo często pozwalają „oszukać” sieć telekomunikacją w bardzo łatwy sposób.
Jak dość łatwo zauważyć, spoofing adresów mailowych lub identyfikatorów dzwoniącego jest przede wszystkim bardzo dobrą techniką uzupełniającą bardziej klasyczne formy phishingu. Za pomocą spoofingu oszust może się dodatkowo „uwiarygodnić” - jeszcze bardziej wzmacniając swoją siłę przekonywania ofiary.
