Cyberbezpieczeństwo

Vishing i smishing – nowa fala zagrożeń, której IT nie ma na radarze

Phishing nie umiera – po prostu zmienia kanał. Zamiast e-maili, coraz częściej to SMS-y i połączenia telefoniczne stają się narzędziem cyberprzestępców, którzy wykorzystują brak czujności i słabsze zabezpieczenia mobilne, by przejąć dane i dostęp do systemów firmowych.

Klaudia Ciesielska
Klaudia Ciesielska
Avatar photo
ByKlaudia Ciesielska
Redaktor Brandsit
5 Min
smishing, vishing
źródło: Freepik

Przez lata phishing oznaczał podejrzane maile z załącznikami, literówkami i linkami prowadzącymi do fałszywych stron logowania. Nic dziwnego, że działy bezpieczeństwa w firmach koncentrowały się właśnie na ochronie poczty elektronicznej. Problem w tym, że cyberprzestępcy już dawno przenieśli się tam, gdzie nikt się ich nie spodziewa – do skrzynek SMS i na numery telefoniczne pracowników.

Ataki typu smishing (SMS phishing) i vishing (voice phishing) nie są nowością, ale dopiero teraz zyskują skalę, która powinna zapalić czerwone lampki w zespołach SOC i u CISO. Według danych za drugą połowę 2024 roku, liczba incydentów typu vishing wzrosła o 442%. W tym samym czasie smishing stale rośnie od kilku lat, przechodząc z peryferii cyberzagrożeń do pierwszej ligi.

Dlaczego te ataki są tak skuteczne?

W odróżnieniu od tradycyjnego phishingu e-mailowego, smishing i vishing bazują niemal wyłącznie na psychologii – nie na podatnościach technicznych. Scenariusze są pozornie proste: ktoś dzwoni do pracownika, podaje się za dział IT, przełożonego lub zewnętrznego kontrahenta i zleca pilne zadanie – np. zmianę hasła, udostępnienie danych dostępowych, potwierdzenie tożsamości. Albo wysyła SMS-a z linkiem do rzekomego portalu logowania, faktury czy narzędzia VPN.

O ile podejrzany mail z nieznanego adresu i literówkami w domenie często wzbudza czujność, o tyle krótka wiadomość tekstowa lub rozmowa telefoniczna – szczególnie na prywatnym telefonie – rzadziej traktowane są jako potencjalny atak. I to właśnie tę lukę w percepcji wykorzystują cyberprzestępcy.

Ad imageAd image

Jak wyglądają takie ataki?

Najsłynniejszy przypadek z 2024 roku to seria ataków na detalistów w Wielkiej Brytanii, przypisywana grupie Scattered Spider. Hakerzy dzwonili do pracowników działów IT, mówiąc perfekcyjnym angielskim, podszywali się pod inne osoby z organizacji i skłaniali do resetowania haseł. W efekcie uzyskiwali dostęp do systemów wewnętrznych, a następnie eskalowali uprawnienia i przeprowadzali dalsze działania – od sabotażu po kradzież danych.

W innych przypadkach wykorzystywano także SIM swapping, czyli przejęcie numeru telefonu poprzez wymuszenie lub wyłudzenie duplikatu karty SIM. W ten sposób atakujący przejmowali kontrolę nad kontami zabezpieczonymi 2FA, a nawet przeprowadzali transfery finansowe, wykorzystując autoryzację SMS.

Dlaczego działy IT nie widzą tych ataków?

Główna przyczyna jest prosta: większość firm nie obejmuje ochroną prywatnych urządzeń mobilnych pracowników. Polityki BYOD (Bring Your Own Device) pozwalają na wykorzystywanie prywatnych telefonów do celów służbowych, ale nie obejmują ich aktywnego monitorowania.

SOC-y są zbudowane wokół sieci, endpointów i systemów poczty – nie mają narzędzi, które monitorują wiadomości SMS czy połączenia głosowe. Nie istnieją też „firewalle” dla rozmów telefonicznych. Co więcej, większość oprogramowania zabezpieczającego nie jest w stanie analizować i blokować nieautoryzowanych połączeń czy wiadomości na poziomie systemowym.

Nawet jeśli pracownik rozpozna próbę oszustwa, szansa, że zgłosi incydent, bywa niska – zwłaszcza jeśli nie doszło do faktycznego naruszenia. A im dłużej incydent pozostaje nieznany, tym większa szansa na skuteczny atak.

Co można z tym zrobić?

Choć smishingu i vishingu nie da się w pełni zablokować, można znacząco zwiększyć szanse na ich szybkie wykrycie i ograniczenie skutków. Oto kierunki działań, które wdrażają firmy bardziej świadome tej fali zagrożeń:

  • Monitoring darknetu i komunikatorów – wyszukiwanie prób podszywania się pod markę, oferty phishing kits i domen smishingowych.
  • Symulacje zagrożeń – tak jak testy phishingowe e-mail, firmy zaczynają przeprowadzać kampanie vishingowe i smishingowe w celach edukacyjnych i audytowych.
  • Rozszerzenie zabezpieczeń mobilnych – wprowadzenie MDM/MTD (Mobile Threat Defense), które obejmuje urządzenia prywatne przynajmniej podstawową kontrolą.
  • Szkolenia pracowników – szczególnie z rozpoznawania prób manipulacji telefonicznej. Komunikacja głosowa powinna być traktowana z taką samą ostrożnością jak e-mail.
  • Nowoczesne mechanizmy detekcji – wykorzystujące AI do rozpoznawania anomalii w zachowaniach użytkowników, także na poziomie komunikacji głosowej czy SMS.

Czas na zmianę perspektywy

Vishing i smishing nie są bardziej zaawansowane technicznie niż phishing e-mailowy. Ale są bardziej intymne, trudniejsze do wykrycia i bardziej skuteczne psychologicznie. To połączenie czyni je wyjątkowo niebezpiecznymi, zwłaszcza w firmach, które nadal traktują cyberbezpieczeństwo jako problem sieci i serwerów, a nie ludzi i ich telefonów.

Skoro większość ataków opiera się dziś na socjotechnice i wykorzystaniu nowych kanałów komunikacji, organizacje muszą przenieść punkt ciężkości ochrony. Klasyczne podejście „blokuj i reaguj” nie wystarcza. Konieczne jest zbudowanie odporności, która zakłada, że część ataków się uda – ale zostaną szybko wykryte, zgłoszone i zneutralizowane, zanim wyrządzą szkody.

Bo najgroźniejsze ataki to dziś te, które dzieją się w zasięgu ręki – w wiadomości tekstowej lub pod numerem z nieznanego numeru.

TEMATY:
Udostępnij

Biuletyn

Dołącz do najlepszego biuletynu w branży ICT!

Subskrybując Biuletyn Brandsit akceptujesz naszą politykę prywatności.

Narzędzia, Ivanti, Advatech, DEX
Rozwój biznesu

Czy Twoi pracownicy naprawdę lubią swoje narzędzia pracy? Jeśli nie – Ty też na tym tracisz

Intel
Sprzęt

RealSense odcina pępowinę od Intela i wchodzi w nową erę robotyki

Izabela Myszkowska
huawei
Infrastruktura

Huawei chce zdobyć rynki AI w ZEA, Arabii Saudyjskiej i Tajlandii

Izabela Myszkowska
Google
Startupy

Google przejmuje talenty z Windsurf – 2,4 mld dol. za licencję na technologię AI

Klaudia Ciesielska