Smishing versus phishing: Wat hebben smishing cybercriminelen geleerd van de phishing criminelen?

Gepubliceerd op 17 augustus 2022 om 07:00

Diefstal van e-mailgegevens blijft veruit de meest voorkomende bedreiging die we lezen in diverse onderzoeksrapporten. Maar sms-gebaseerde phishing is een snelgroeiende tegenhanger van e-mailphishing. In december 2021 publiceerde Proofpoint cybersecurity een artikel over de evolutie van toolkits voor e-mailphishing. Deze toolkits maken het voor iedereen eenvoudig om een phishing-operatie op te zetten met weinig meer dan een laptop en een creditcard. Sindsdien hebben we de evolutie gevolgd terwijl er nieuwe functies bijkwamen, waaronder de mogelijkheid om multifactorauthenticatie te omzeilen.

In dit artikel gaan we kijken naar smishing versus phishing en wat smishing cybercriminelen hebben geleerd van de phishing cybercriminelen. Tevens kijken we ook naar enkele belangrijke verschillen die blijven bestaan tussen de aanvallen.

Smishing iets meer investering

Een moderne e-mail phishing-installatie kan zo eenvoudig zijn als één persoon met een computer en toegang tot algemene cloud-gehoste services. Maar voor een smishing-operatie is het beeld enigszins anders. Hoewel software smishing kits beschikbaar zijn en te koop op het darkweb, vereist toegang tot en misbruik van mobiele netwerken iets meer investeringen.

Een smishing-operatie gefotografeerd door greater Manchester Police in het Verenigd Koninkrijk

In tegenstelling tot internet zijn mobiele netwerken gesloten systemen. Dit maakt het moeilijker voor mensen om anoniem berichten te maken en te verzenden via het netwerk. Om een kwaadaardig mobiel bericht te verzenden, moet een smishing cybercrimineel eerst toegang krijgen tot het netwerk, wat geavanceerde exploits of speciale hardware vereist.

De "SIM bank" -hardware set is onlangs in prijs gedaald, maar een set kan nog steeds honderden of zelfs duizenden dollars kosten, afhankelijk van het aantal SIM-kaarten dat wordt ondersteund en het aantal gelijktijdige mobiele verbindingen dat ze aankunnen. En natuurlijk moeten de criminelen ook betalen voor actieve simkaarten om te gebruiken in hun sim-bank. Omdat mobiele netwerkoperators kwaadaardige nummers identificeren en uitsluiten, zijn nieuwe simkaarten nodig, waardoor er doorlopende verbindingskosten ontstaan.

Een voorbeeld van een representatieve sms-bank die online te koop is

De fysieke aard van mobiele netwerken verhoogt ook het risico op ontdekking door de opsporingsdiensten. In de hierboven genoemde Britse zaak werd de dader gearresteerd in een hotelkamer. Dit is niet ongewoon: netwerkoperators kunnen zendmasten gebruiken om vast te stellen waar kwaadaardige activiteiten vandaan komen. Smishing-overtreders moeten daarom zeer mobiel zijn en vaak bewegen om te voorkomen dat ze worden gepakt.

Gelijkenissen tussen beiden

Hoewel er belangrijke structurele verschillen zijn tussen smishing en phishing hebben deze aanvallen veel gemeen als het gaat om social engineering. Het succes van beide aanvallen hangt af van de geloofwaardigheid van een bericht en de provocatie. Criminelen proberen je te beïnvloeden door tijdsdruk en angst. Voor de personen die reeds deel hebben genomen aan een workshop van Cybercrimeinfo.. GTA als kruiden. ;-)

Het verschillen tussen e-mail- en mobiele berichten benadering zit hem vooral in het feit dat smishing-aanvallen korter en minder uitgebreid zijn dan e-mail-aanvallen. Maar hoewel de uitvoering kan variëren, blijft de impuls van een "gemist pakket" of een "verzoek van de bank" hetzelfde.

Traditionele phishing en smishing hebben ook overeenkomsten in de manier waarop ze potentiële slachtoffers targeten. Naast het versturen van vele hoeveelheden berichten (spray) maken beide ook gebruik van meer specifieke "spear phishing / smishing" -aanvallen. Bij deze aanvallen gebruiken cybercriminelen specifiek gerichte informatie in het berichten. Bij het aanvallen van bedrijven of overheidsdiensten richten de cybercriminelen zich vaak op mensen met een hogere waarde binnen een organisatie, maar niet altijd. Ook een telefoniste kan een interessant target zijn.. denk hierbij aan de casus die we behandelen van CM.com tijdens de workshops.

Zoals we eerder in dit artikel onderzochten kunnen mobiele telefoonnummers eenvoudig worden gekoppeld aan een breed scala aan persoonlijke informatie, waardoor het een krachtige bron is voor spear-smishing campagnes.

Essentiële verschillen

Smishing / Mobiel Phishing / E-mail
Gesloten netwerkomgeving. Moeilijk om berichten van buiten het ecosysteem te versturen. Open systeem. Gemakkelijk om berichten te verzenden vanaf elk aangesloten apparaat.
Duur om berichten/berichteninhoud te versturen. Goedkoop om berichten/berichteninhoud te versturen.
Vertrouwen van de ontvanger: hoge klikfrequenties en reactievermogen op mobiele berichten. Scepsis van de ontvanger: lagere klikfrequenties en hogere weerstand.
Minimale opties voor het versturen van bijlagen. Veel mogelijkheden voor het versturen van bijlagen.
Eenvoudige targeting met behulp van landcode, netnummer of andere informatie die is gekoppeld aan mobiele telefoonnummers. E-mailadressen bevatten doorgaans geen informatie over de locatie buiten het mogelijke landdomein.
Weinig traceerbaarheid en tagging door het routerings- en bezorgnetwerk. SMTP-tracering en tagging via het routerings- en bezorgnetwerk.

Voor veel e-mailgebruikers is het negeren van spam en het niet openen van kwaadaardige bijlages een tweede natuur geworden. Maar omdat mobiele berichten nieuwer zijn, hebben veel mensen nog steeds veel vertrouwen in de beveiliging van mobiele communicatie. Een van de belangrijkste verschillen tussen smishing en phishing zit dus in onze basisgevoeligheid voor aanvallen. Klik frequenties op URL's in mobiele berichten zijn maar liefst acht keer hoger dan die voor e-mail, waardoor de kans enorm toeneemt dat een kwaadaardige link wordt geopend wanneer deze via sms of andere mobiele berichten wordt verzonden. Dit reactievermogen blijft zelfs bestaan in markten waar diensten zoals WhatsApp en Messenger SMS hebben vervangen als het dominante middel voor mobiele tekstcommunicatie. We verwachten van organisaties en bedrijven dat ze ons belangrijke berichten per sms sturen en er snel op reageren wanneer ze binnenkomen.

De dominantie van links over bijlagen is een andere belangrijke onderscheidende factor. Mobiele berichten zijn geen effectieve manier om schadelijke bijlagen te verzenden, omdat veel apparaten downloads beperken en berichten services de grootte van bijlagen beperken. In plaats daarvan gebruiken de meeste mobiele aanvallen ingesloten links, zelfs toen malware-distributies zoals FluBot zich vorig jaar over Europa verspreidden. Aan de andere kant zien we ook nog dat e-mailaanvallen nog steeds voor ongeveer 20-30% aan kwaadaardige bijlagen bevatten.

Persoonlijke telefoonnummers geven ook locatiegegevens weer in de vorm van een netnummer. Dit kan andere mogelijkheden bieden voor locatie- en taal gebaseerde afstemming die niet aanwezig zijn in een e-mailadres. Evenzo hebben eindgebruikers beperkte mogelijkheden om te zien hoe het sms-bericht is gerouteerd, waarbij ze alleen het nummer zien van waaruit het lijkt te zijn verzonden. Hoewel zowel mobiele nummers als e-mailadressen kunnen worden gemaskeerd (spoofing), bevatten e-mailheaders veel gedetailleerdere informatie over hoe een bericht naar de ontvanger is gerouteerd en kunnen je mogelijk een kwaadaardig bericht herkennen.

Conclusie

Als gemeenschappelijk verbindingspunt tussen ons persoonlijke en professionele leven zijn mobiele telefoons een waardevol doelwit voor cybercriminelen. Een enkel apparaat kan accounts bevatten die toegang bieden tot de financiën van een persoon en een bedrijf, gevoelige persoonlijke informatie en vertrouwelijke zakelijke documenten. In de Verenigde Staten is het aantal smishing-aanvallen vorig jaar bijna verdubbeld en de verwachting is dat deze trend dit jaar doorzet. En hoewel de smishing operaties beperkt zijn in het gebruik van hoeveelheid tekst, locatie beperkingen en hogere kosten met zich meebrengt, is het duidelijk dat lessen die zijn geleerd van e-mailphishing helpen om hun rendement te maximaliseren. We zijn zelfs van mening dat het slagingspercentage voor smishing-aanvallen waarschijnlijk veel hoger is dan voor e-mailphishing, hoewel het aantal e-mailaanvallen nog steeds vele malen hoger is.

Bron: diverse, proofpoint.com

Meer info over smishingphishing en wat is vishing en quishing? 

Meer smishing nieuws 

Smishing bericht om CoronaMelder-app te downloaden

Het ministerie van Volksgezondheid waarschuwt op Twitter voor een sms (smishing) waarin mensen zogenaamd via een link de CoronaMelder-app kunnen downloaden. Het bericht lijkt afkomstig van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), maar het gaat om oplichting. "Klik niet op de link", aldus het ministerie.

Lees meer »

Phishing verschuift steeds meer naar SMS en WhatsApp

In de eerste helft van 2019 is de schade door fraude in het betalingsverkeer als gevolg van phishing en bankpasfraude met ongeveer een derde toegenomen. Banken rapporteren de afgelopen maanden opvallend veel meldingen van klanten over phishing via mobiele berichtendiensten zoals SMS, WhatsApp en Messenger. Dat blijkt uit de fraudecijfers van Nederlandse banken die Betaalvereniging Nederland en de Nederlandse Vereniging van Banken verzamelen en rapporteren.

Lees meer »