Смишинг, как вид «монетизации» мобайла

Сми́шинг — (англ. SMiShing — от «SMS» и «фишинг») — вид фишинга через SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее её войти на этот сайт. Как вариант жертве предлагается отправить в ответном SMS-сообщении конфиденциальную информацию, касающуюся платёжных реквизитов или персональных параметров доступа на информационно-платёжные ресурсы в сети Интернет.

Сегодня хотим рассказать про популярный способ монетизации, который используется до сих пор в третьих странах мира, но и не так давно был популярен в tier1.

Исследователи в области кибербезопасности предупреждают, что атаки гомографического типа, также известные как техника punycode, становятся все более популярными для SMiShing, чтобы обманывать пользователей, красть информацию или заражать смартфоны и другие устройства вредоносными программами. Тут сделаем небольшую сноску и расскажем, что такое паникод и гомографический троян в мобайле — по сути, все просто. Предположим, что адрес сайта жертве поступает не в виде привычного google.com, а g00gle.com — так как таргет позволяет широков настроить рассылку СМС сообщений, то и вероятность перехода по «схожей» ссылке весьма высок. Аналогично с vkontakte.ru и vkontlakte.ru, vkontalte.ru и тд. Думаю, что суть гомографического трояна вам ясна, иначе (да и привычнее, просто homograph attacks можно встретить в зарубежных беседах и сообщениях), на территории СНГ часто пишут просто паник-домен, сокращенно от Punycode.

Punycode (произносится как «паникод» или «пьюникод», неправильное произношение — «пуникод») — стандартизированный метод преобразования последовательностей Unicode-символов в так называемые ACE-последовательности (англ. ASCII Compatible Encoding — кодировка, совместимая с ASCII), которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.

Атаки работают, потому что текущие веб-браузеры не могут определить разницу между сайтами spoof, так как символы домена принадлежат допустимым комбинациям и облачным доменам верхнего уровня (WLD).

Киберпреступники используют punycode, чтобы ввести пользователей в заблуждение, нажав на URL-адрес, полученный в сообщении, как если бы это была верная ссылка правильного сервиса. Кампании SMiShing со встроенными ссылками становятся популярными, поскольку потребители с меньшей вероятностью замечают тонкие различия. Браузеры решают, будет ли отображаться punycode или IDN на основе комбинаций алфавитов, таких как латинский, кириллический или юникод и с разделителями символов «.» или «/», которые могут использоваться для подмены подлинной метки домена URL. Если символы включены в список допустимых комбинаций, браузеры могут указывать URL-адрес с сертификатами и IDN, перенаправляя их на другие страницы для заражения вредоносными программами, либо монетизируют трафик GSM-соединения.

Киберпреступники постоянно ищут обходные пути для предпринимаемых мер безопасности со стороны разработчиков ПО, но пользователи должны знать о URL-адресах, вставленных в мессенджеры и СМС, которые они открывают. Инженерам еще предстоит найти надежное исправление вредоносного характера punycode, но вот несколько рекомендаций, чтобы избежать этих угроз:

  • Соблюдайте и проверяйте наличие явных/скрытых символов в именах доменов для открытия сайта, даже из доверенных контактов.
  • Непосредственно введите имя домена в браузере, а не нажмите на URL-адрес в SMS-сообщении.
  • Убедитесь, что заявленный поставщик услуг или компания отправляли сообщение — промо или приглашение на встречу/конференцию и тд.