Альтернатива голосовым вызовам – текстовые сообщения. Речь – более удобный и быстрый способ коммуникации, чем набор текста, но в 2018 г. текстовые сообщения стали популярнее телефонных звонков
[277]. Это произошло во многом благодаря распространению смартфонов, развитию сетей передачи данных и росту скорости соединения с интернетом, а также удешевлению мобильного интернет-трафика.
В настоящее время можно выделить два основных способа обмена текстовой информацией – посредством SMS-сообщений и с помощью различных мессенджеров. Обе эти технологии, несмотря на кажущуюся взаимозаменяемость, используются одновременно и не конкурируют. Сейчас SMS-сообщения чаще применяются для обмена служебными данными, такими как коды подтверждения, высылаемые при многофакторной аутентификации, или, скажем, уведомления о поступлении заказа из интернет-магазина в пункт выдачи. В мессенджерах все чаще происходит обычное общение, причем они используются не только для обмена текстовыми сообщениями, но и для голосовых вызовов и видеосвязи.
У технологии SMS, позволяющей передавать короткие сообщения через сеть оператора сотовой связи, есть одно большое преимущество по сравнению с любыми мессенджерами – возможность обмена сообщениями без подключения к интернету. В остальном технология SMS существенно проигрывает мессенджерам: длина сообщений ограничена (70 символов кириллицей или 160 символов латиницей), в то время как в мессенджерах послания могут быть огромного размера; технология SMS не позволяет передавать мультимедийный контент (изображения, видео– и аудиозаписи)
[278]; неудобен способ пакетной передачи сообщений нескольким получателям; взимается плата за каждое сообщение (причем в тарифах без абонентской платы она может быть даже выше, чем за минуту разговора) и, что самое главное, в отличие от голосового трафика и передачи данных в сотовых сетях SMS-трафик не шифруется
[279]. Всех этих недостатков лишены мессенджеры (хотя важно отметить, что шифрование поддерживают не все из них).
Сейчас мы обсудим ситуации, в которых ваши персональные данные могут быть уязвимы для утечек и перехвата третьей стороной, а затем поговорим о том, как обезопасить себя в среде текстового общения.
Мошенничество с использованием текстовых сообщений
В целом при использовании текстовых сообщений следует опасаться тех же видов мошенничества, что и при использовании голосовой связи и электронной почты. Основная задача, которую ставят перед собой злоумышленники, – добиться утечки финансовых средств (как с абонентского счета, так и с банковского) или персональных данных (например с помощью ссылок на фишинговые сайты), которые можно использовать для извлечения прибыли. Рассмотрим основные способы мошенничества.
Смишинг
Смишинг
[280] – аналог фишинга посредством электронной почты, только в данном случае злоумышленники используют SMS-службы и мессенджеры для рассылки фишинговых сообщений. Важно отметить, что мошенники могут использовать специальное программное обеспечение и службы, позволяющие подделывать номер или имя отправителя сообщения, в том числе могут быть указаны специальные и короткие номера, используемые, к примеру, банками и службами поддержки компаний. Обычно мошенники отправляют сообщения с номеров, имитирующих настоящие, например в случае Сбербанка это может быть номер 9ОО вместо 900, но в некоторых случаях, обладая техническими возможностями, злоумышленники могут использовать идентичные номера. Это могут быть как целенаправленные атаки, так и массовые рассылки со скоростью свыше 10 000 сообщений в минуту, осуществляемые, к примеру, через SIP-протокол.
КЕЙС В 2018 г. в Красноярске одному из абонентов сети «Мегафон» пришло SMS-сообщение с номера 900 (попав в ленту с настоящими сообщениями Сбербанка) об оформлении заказа в одном из магазинов города и с требованием подтвердить покупку с помощью ответного SMS-сообщения. Абонент обратился в магазин и выяснил, что такого заказа не существует, после чего заблокировал банковскую карту. На следующий день абонент подвергся флуд-атаке – бесчисленным звонкам с различных скрытых и открытых телефонных номеров. Абонент обратился в офис «Мегафона» с претензией, а через несколько часов получил голосовой вызов с официального номера поддержки этого оператора сотовой связи. По телефону сообщили о том, что претензия обрабатывается, и предложили установить приложение для корректной работы телефона, отправив в SMS-сообщении ссылку на программу в магазине Google Play. Абонент скачал приложение, доверив ему в числе прочих полномочия на чтение SMS. С этого момента все уведомления о банковских транзакциях стали перехватываться злоумышленниками. История закончилась благополучно, так как абонент успел вовремя заблокировать банковскую карту
[281].
Фишинговые SMS-сообщения внешне неотличимы от настоящих. К тому же злоумышленники могут использовать некоторые персональные данные о жертве из открытых источников (социальных сетей, государственных структур и т. п.) и утекших баз данных, чтобы притупить ее бдительность, указывая в сообщении такие сведения, как имя и фамилия, список последних операций по карте или ее баланс, паспортные данные и т. п.
Примерами таких сообщений могут служить оповещения о выигрыше от имени известной компании, о блокировке банковской карты или подозрительном платеже, об аресте счета службой судебных приставов, предложение об обмене (например, если жертва выставила какой-нибудь товар на продажу на электронной доске объявлений) и др. Жертве могут предложить ответить на полученное ею сообщение, перейти по ссылке или позвонить по указанному номеру. Если она отвечает на подобное сообщение, то злоумышленник начинает вытягивать из нее персональную информацию или любыми способами пытается заставить перевести деньги на свой счет. При переходе по ссылке, вероятнее всего, откроется фишинговая страница, имитирующая легитимную и созданная для хищения вводимых пользователем данных, либо загрузится вредоносное приложение (см. раздел «Вредоносное программное обеспечение»)
[282].
Могут быть и другие варианты смишинга, например вежливые просьбы «сообщить код активации, так как данный номер ранее принадлежал другому человеку и он пытается войти в один из своих старых аккаунтов». Вполне правдоподобная ситуация, если учесть, что операторы сотовой связи перепродают номера, которые давно не используются, но в данном случае, скорее всего, это мошенничество. Злоумышленник мог найти в интернете связку «адрес электронной почты плюс номер телефона»
[283] и попытаться получить доступ к электронной почте, сбросив пароль с подтверждением по номеру телефона. Получив доступ к почте, злоумышленник сбрасывает пароли на всех сервисах, привязанных к этому адресу, и получает доступ ко всем аккаунтам жертвы
[284].
