📰 Тексты обмана: раскрываем темную сторону крипто-SMS

Тексты обмана: раскрываем темную сторону крипто-SMS

В эпоху, когда бесплатные мессенджеры почти полностью доминировали над традиционными текстовыми сообщениями, может показаться, что спустя более 30 лет популярные «тексты» уже устарели. Хотя мы не используем их в повседневном общении, они по-прежнему охотно используются в качестве общего средства маркетинга и продвижения. К сожалению, не только среди законного бизнеса, но и среди мошенников.

Проведя собственный анализ и пообщавшись с отраслевыми экспертами, компания Finance Magnates может четко подтвердить, что SMS-мошенничество по-прежнему является распространенной проблемой, особенно в индустрии криптовалют. Недобросовестные лица используют очень простые лазейки в устаревших технологиях, выдавая себя за популярные бренды и пытаясь украсть пользовательские данные. Биржи же бессильны их остановить и честно признают, что с этим ничего нельзя поделать. Но так ли это на самом деле?

90% населения мира, более 7 миллиардов человек, пользуются мобильными телефонами. И хотя подавляющее большинство из них имеют какое-то покрытие, лишь половина имеет регулярный доступ к мобильному интернету.

Статистика ясно показывает, что в последние годы количество сообщений, передаваемых через интернет-мессенджеры, превысило количество SMS. У WhatsApp каждый месяц 2,4 миллиарда активных пользователей, у Facebook Messenger — 2,1 миллиарда, а у WeChat — 1,2 миллиарда.

Даже несмотря на такое огромное количество, традиционные тексты по-прежнему остаются наиболее распространенным способом охватить максимально широкую аудиторию. Для целей этой статьи я специально просмотрел свою историю SMS. 90% из них — это реклама или сообщения с кодами безопасности, используемыми для входа в различные сервисы и двухфакторной аутентификации (2FA). Именно в этом мошенники видят свой шанс. И как оказалось, несовершенная технология отправки СМС значительно облегчает им задачу.

Согласно недавнему «Опросу по предотвращению мошенничества», проведенному Finance Magnates Group и FXStreet, почти 22% респондентов признали, что SMS — одна из наиболее распространенных форм мошенничества, с которой они сталкиваются, причем чаще, чем мошенничество в Твиттере. Примите участие в опросе.

«Банки и биржи по-прежнему предлагают SMS для 2FA, несмотря на то, что это один из худших вариантов 2FA», — объяснил Фрейзер Эдвардс, генеральный директор cheqgd, инфраструктуры, предоставляемой для рынков доверенных данных. «Это несет в себе потенциал мошенничества с заменой SIM-карты или взлома SIM-карты, когда мошенник использует украденные документы, удостоверяющие личность, чтобы заставить сетевого провайдера переназначить номер телефона на SIM-карту, находящуюся под контролем мошенника».

Как легко стать жертвой криптомошенников

Вдохновением для написания этой статьи послужило полученное мной некоторое время назад SMS, предположительно от Binance. Он сообщил, что меня ждет награда. Сообщение появилось в теме, подписанной на моем телефоне как «Binance», а также отображало предыдущие сообщения с биржи с кодами подтверждения для входа в систему.

Прежде чем я в полном эйфории щелкнул ссылку, я заметил, что адрес страницы (binance.token-mbox) далек от официального домена, используемого крупнейшей в мире криптобиржей по объему. Оказалось, что в то же время аналогичные SMS получили многие другие клиенты Binance из Польши. Я попросил комментарий по этому поводу у самой биржи, которая открыто заявила, что для устранения лазеек в безопасности текстовых сообщений придется модифицировать всю технологию GSM. Однако на данный момент это кажется нереальным.

«Чтобы устранить эту лазейку в безопасности SMS, всему миру придется модифицировать эту технологию, что кажется нереальным», — прокомментировал Binance.

Сегодняшние пользователи смартфонов уязвимы для SMS-фишинговых атак. Киберпреступники имеют легкий доступ к шлюзам #SMS, способным отправлять большие объемы текстовых сообщений, что позволяет массовому SMS-спаму и фишинговому мошенничеству быстро и многократно достигать телефонов https://t.co/Hwl7qcJ1eM @securityblvd pic.twitter.com/gAV5FnmUdV – SlashNext (@slashnextinc) 30 января 2024 г.

Сегодняшние пользователи смартфонов уязвимы для SMS-фишинговых атак. Киберпреступники имеют легкий доступ к шлюзам #SMS, способным отправлять большие объемы текстовых сообщений, что позволяет массовому SMS-спаму и фишинговому мошенничеству быстро и многократно достигать телефонов https://t.co/Hwl7qcJ1eM @securityblvd pic.twitter.com/gAV5FnmUdV

Двумя годами ранее бывший генеральный директор биржи Чанпэн Чжао уже предупреждал о частых попытках фишинга и кражи данных через сообщения, выдаваемые за платформу.

Существует масштабная фишинговая афера с помощью SMS со ссылкой для отмены вывода средств. Это ведет на фишинговый веб-сайт для сбора ваших учетных данных, как показано на скриншоте ниже. НИКОГДА не нажимайте на ссылки из SMS! Всегда заходите на https://t.co/9rMMAmtCxH через закладку или вводите его. Оставайтесь #SAFU pic.twitter.com/erNwe90FN1 — Чехия ? BNB (@cz_binance) 4 февраля 2022 г.

Существует масштабная фишинговая афера с помощью SMS со ссылкой для отмены вывода средств. Это ведет на фишинговый веб-сайт для сбора ваших учетных данных, как показано на скриншоте ниже. НИКОГДА не нажимайте на ссылки из SMS! Всегда заходите на https://t.co/9rMMAmtCxH через закладку или вводите его. Оставайтесь #SAFU pic.twitter.com/erNwe90FN1

Еще в октябре 2023 года 11 клиентов Binance из Гонконга потеряли почти 500 000 долларов из-за SMS-мошенничества. Однако вопрос в том, почему возможна подмена SMS и почему это так легко?

Как работает SMS-спуфинг

Стоимость мошенничества с криптовалютами в 2023 году достигла $2 млрд. Из этой суммы около 300 миллионов долларов было потеряно из-за фишинговых атак. Большая часть данных была получена мошенниками благодаря подмене SMS и вымогательству конфиденциальных пользовательских данных по ссылкам, содержащимся в текстовых сообщениях. Это явление даже получило собственное название и называется смишинг (SMS-фишинг).

«Мошенничество в области социальной инженерии по-прежнему широко используется в криптовалюте, а это значит, что они все еще работают», — прокомментировала Шарлотта Дэй, креативный директор Contentworks Agency. «Криптовалюта — идеальная приманка для мошенников, потому что большинство людей на самом деле ее не понимают, и были истории о том, как с ней в одночасье становились миллионерами».

Когда вы отправляете SMS-сообщение со своего телефона, в сообщение включается определенная идентификационная информация, которая идентифицирует вас как отправителя. Сюда входит ваш номер телефона, а иногда и имя контактного лица. Подмена SMS предполагает использование технологии для отмены этой идентификационной информации отправителя и замены ее чем-то другим.

Технически это работает за счет использования слабых мест в протоколе сигнализации SS7, который используется для маршрутизации сообщений по телекоммуникационным сетям. Спуфер по существу выдает себя за отправителя, предоставляя ложные идентификационные данные.

«Проблема в том, что операторы не проверяют, имеет ли отправитель, отправляющий SMS, законное право использовать данное имя. Мошенническое SMS-сообщение имеет то же «имя отправителя», что и законные SMS-сообщения от Binance, в результате чего телефон получателя прикрепляет это SMS к история сообщений от Binance», — пояснили представители Binance Польша.

В результате, обладая некоторыми техническими навыками, очень легко выдать себя за другую компанию с помощью SMS. Вплоть до того, что телефон не будет различать отправителей и скидывать их в одну сумку, как в описанном выше случае с Binance. Однако почему риску подвергаются только текстовые сообщения, а не популярные приложения для обмена сообщениями? Telegram и WhatsApp используют соединения для передачи данных и Интернет для отправки сообщений, а SMS — сотовые сети. Таким образом, это отдельные системы, которые не взаимодействуют друг с другом для отправки сообщений.

«Блокировать такие мошеннические сообщения сложно, поскольку мошенники постоянно адаптируют свою тактику», — прокомментировал Джеймс Янг, руководитель отдела контроля за соблюдением требований Transak. Кроме того, в инфраструктуре SMS отсутствует надежная аутентификация, что упрощает манипулирование информацией отправителя злоумышленниками. Самая большая гарантия, которую пользователи могут использовать для самозащиты, — это образование и вовлечение».

7 миллионов крипто-лидов

Самого факта, что позволяет выдавать себя за кого-то через SMS, недостаточно для получения номеров телефонов и контактных данных отдельных лиц, например клиентов конкретной биржи.

Однако, как оказалось, в Интернете полно предложений по продаже массовых пакетов лидов. Весь процесс, от использования SMS-шлюзов и сокрытия своей личности до возможности приобретения 7 миллионов телефонных номеров, связанных с криптовалютой, всего за 200 долларов, был описан Security Boulevard. Вкратце процедура выглядит следующим образом:

Запланировав целую «кампанию» фейковых SMS-сообщений, ориентированную на 7 миллионов человек, мошенники могут добиться гораздо лучших результатов, чем попытки найти уязвимости в программном обеспечении той или иной биржи. Они эксплуатируют самый слабый элемент любой системы безопасности: человеческий фактор. Это намного проще и дешевле.

Некоторые страны вводят правила

Подмена SMS использует фундаментальные недостатки базовых протоколов и сетей, на которых основана мобильная связь. Хотя технологически сложно заблокировать, некоторые страны пытаются ввести соответствующие правила для противодействия этой опасной практике.

В январе 2024 года к схеме регистрации отправителей SMS присоединился Гонконг. В рамках этой схемы банки-участники будут использовать зарегистрированные идентификаторы отправителей SMS с префиксом «#» для отправки сообщений местным абонентам мобильных услуг. Тексты с идентификаторами отправителей, содержащими «#», но не отправленные зарегистрированными отправителями, будут отсеиваться операторами связи. В настоящее время эту систему используют 28 банков, которые также часто становятся жертвами SMS-подмены.

Аналогичные правила были введены в Польше в середине прошлого года. Телекоммуникационные компании теперь обязаны блокировать номера телефонов и SMS, отправители которых выдают себя за другие фирмы и организации. Для этого закон вводит новые правила отправки текстов зарегистрированными компаниями и государственными учреждениями. Более того, телекомы смогут сами блокировать подозрительные смиш-сообщения.

Тот факт, что пользователи из Польши получали сообщения от фейковой Binance, показывает, что правила в этой области могут работать только на бумаге.

В США аналогичные были введены еще в 2019 году, позволив запретить злонамеренную подделку идентификатора вызывающего абонента в текстовых сообщениях. Однако это не решило проблему.

Кто подвергается наибольшему риску

Согласно исследованию, проведенному Британским управлением национальной статистики в 2022 году, группой, наиболее уязвимой для фишинга и смишинга, являются люди старшего возраста, которые могут больше доверять сообщениям и поддаваться на мошенничество, предлагающее призы или вознаграждения.

Однако, как оказалось, люди в возрасте 25–44 лет также весьма уязвимы. Это связано с тем, что именно на них чаще всего нацелены мошенники, поскольку они наиболее часто пользуются своими мобильными устройствами и в то же время спешат или отвлекаются. Источники сообщают, что эти пользователи с большей вероятностью ответят, не задумываясь критически о законности SMS-сообщений.

«Эффективность этого метода растет благодаря высокой автоматизации наших повседневных процессов и увеличению объема информации», — сказал Вугар Уси Заде, главный операционный директор Bitget. «В результате пользователи больше полагаются на приложения и гаджеты, что приводит к потере бдительности при проверке ссылок или сообщений. Преступники используют это, изменяя информацию отправителя и используя текстовые трюки, чтобы обманом заставить жертв раскрыть конфиденциальную информацию или перевести деньги».

Существует также большая группа тех, кто не знаком с распространенными тактиками SMS-фишинга и не может идентифицировать мошеннические сообщения, что повышает вероятность того, что они ответят или нажмут на ссылки. Несмотря на технологические недостатки в этой области, человеческий фактор по-прежнему остается самым слабым звеном, обеспечивающим успех смишинга.

Поэтому проверьте доменное имя, на которое он направляется, несколько раз, прежде чем нажать на любую ссылку в SMS-сообщении.