14 godzin temu
Przez lata phishing oznaczał podejrzane maile z załącznikami, literówkami i linkami prowadzącymi do fałszywych stron logowania. Nic dziwnego, iż działy bezpieczeństwa w firmach koncentrowały się właśnie na ochronie poczty elektronicznej. Problem w tym, iż cyberprzestępcy już dawno przenieśli się tam, gdzie nikt się ich nie spodziewa – do skrzynek SMS i na numery telefoniczne pracowników.
Ataki typu smishing (SMS phishing) i vishing (voice phishing) nie są nowością, ale dopiero teraz zyskują skalę, która powinna zapalić czerwone lampki w zespołach SOC i u CISO. Według danych za drugą połowę 2024 roku, liczba incydentów typu vishing wzrosła o 442%. W tym samym czasie smishing stale rośnie od kilku lat, przechodząc z peryferii cyberzagrożeń do pierwszej ligi.
Dlaczego te ataki są tak skuteczne?
W odróżnieniu od tradycyjnego phishingu e-mailowego, smishing i vishing bazują niemal wyłącznie na psychologii – nie na podatnościach technicznych. Scenariusze są pozornie proste: ktoś dzwoni do pracownika, podaje się za dział IT, przełożonego lub zewnętrznego kontrahenta i zleca pilne zadanie – np. zmianę hasła, udostępnienie danych dostępowych, potwierdzenie tożsamości. Albo wysyła SMS-a z linkiem do rzekomego portalu logowania, faktury czy narzędzia VPN.
O ile podejrzany mail z nieznanego adresu i literówkami w domenie często wzbudza czujność, o tyle krótka wiadomość tekstowa lub rozmowa telefoniczna – szczególnie na prywatnym telefonie – rzadziej traktowane są jako potencjalny atak. I to właśnie tę lukę w percepcji wykorzystują cyberprzestępcy.
Jak wyglądają takie ataki?
Najsłynniejszy przypadek z 2024 roku to seria ataków na detalistów w Wielkiej Brytanii, przypisywana grupie Scattered Spider. Hakerzy dzwonili do pracowników działów IT, mówiąc perfekcyjnym angielskim, podszywali się pod inne osoby z organizacji i skłaniali do resetowania haseł. W efekcie uzyskiwali dostęp do systemów wewnętrznych, a następnie eskalowali uprawnienia i przeprowadzali dalsze działania – od sabotażu po kradzież danych.
W innych przypadkach wykorzystywano także SIM swapping, czyli przejęcie numeru telefonu poprzez wymuszenie lub wyłudzenie duplikatu karty SIM. W ten sposób atakujący przejmowali kontrolę nad kontami zabezpieczonymi 2FA, a choćby przeprowadzali transfery finansowe, wykorzystując autoryzację SMS.
Dlaczego działy IT nie widzą tych ataków?
Główna przyczyna jest prosta: większość firm nie obejmuje ochroną prywatnych urządzeń mobilnych pracowników. Polityki BYOD (Bring Your Own Device) pozwalają na wykorzystywanie prywatnych telefonów do celów służbowych, ale nie obejmują ich aktywnego monitorowania.
SOC-y są zbudowane wokół sieci, endpointów i systemów poczty – nie mają narzędzi, które monitorują wiadomości SMS czy połączenia głosowe. Nie istnieją też „firewalle” dla rozmów telefonicznych. Co więcej, większość systemu zabezpieczającego nie jest w stanie analizować i blokować nieautoryzowanych połączeń czy wiadomości na poziomie systemowym.
Nawet jeżeli pracownik rozpozna próbę oszustwa, szansa, iż zgłosi incydent, bywa niska – zwłaszcza jeżeli nie doszło do faktycznego naruszenia. A im dłużej incydent pozostaje nieznany, tym większa szansa na skuteczny atak.
Co można z tym zrobić?
Choć smishingu i vishingu nie da się w pełni zablokować, można znacząco zwiększyć szanse na ich szybkie wykrycie i ograniczenie skutków. Oto kierunki działań, które wdrażają firmy bardziej świadome tej fali zagrożeń:
- Monitoring darknetu i komunikatorów – wyszukiwanie prób podszywania się pod markę, oferty phishing kits i domen smishingowych.
- Symulacje zagrożeń – tak jak testy phishingowe e-mail, firmy zaczynają przeprowadzać kampanie vishingowe i smishingowe w celach edukacyjnych i audytowych.
- Rozszerzenie zabezpieczeń mobilnych – wprowadzenie MDM/MTD (Mobile Threat Defense), które obejmuje urządzenia prywatne przynajmniej podstawową kontrolą.
- Szkolenia pracowników – szczególnie z rozpoznawania prób manipulacji telefonicznej. Komunikacja głosowa powinna być traktowana z taką samą ostrożnością jak e-mail.
- Nowoczesne mechanizmy detekcji – wykorzystujące AI do rozpoznawania anomalii w zachowaniach użytkowników, także na poziomie komunikacji głosowej czy SMS.
Czas na zmianę perspektywy
Vishing i smishing nie są bardziej zaawansowane technicznie niż phishing e-mailowy. Ale są bardziej intymne, trudniejsze do wykrycia i bardziej skuteczne psychologicznie. To połączenie czyni je wyjątkowo niebezpiecznymi, zwłaszcza w firmach, które przez cały czas traktują cyberbezpieczeństwo jako problem sieci i serwerów, a nie ludzi i ich telefonów.
Skoro większość ataków opiera się dziś na socjotechnice i wykorzystaniu nowych kanałów komunikacji, organizacje muszą przenieść punkt ciężkości ochrony. Klasyczne podejście „blokuj i reaguj” nie wystarcza. Konieczne jest zbudowanie odporności, która zakłada, iż część ataków się uda – ale zostaną gwałtownie wykryte, zgłoszone i zneutralizowane, zanim wyrządzą szkody.
Bo najgroźniejsze ataki to dziś te, które dzieją się w zasięgu ręki – w wiadomości tekstowej lub pod numerem z nieznanego numeru.
