В этой статье мы рассмотрим статистику SMS-фишинга, так же известного как smishing, в 2022 году. Вам никогда не казалось, что киберпреступники, занимающиеся рассылкой текстовых сообщений, с каждым днем становятся все лучше в своей работе? Возможно, так оно и есть. Смишинг (SMS-фишинг) – это вид фишинга, при котором злоумышленник использует текстовые сообщения (SMS), чтобы заманить целевых получателей отправить хакеру личную информацию, загрузить вредоносные программы на мобильный телефон или перейти по фишинговой ссылке. Более 3,5 миллиардов пользователей телефонов ежедневно получают спам в виде текстовых сообщений с любых номеров по всему миру. В то время как большинство пользователей знают об опасности перехода по ссылке в электронной почте, лишь немногие знают об опасности перехода по ссылкам в текстовых сообщениях. На самом деле, пользователи телефонов больше доверяют текстовым сообщениям, поэтому для злоумышленников smishing является более выгодным способом кражи банковской информации, учетных данных и частных данных. Это довольно страшно, не так ли? Для борьбы с атаками смишинга необходимо повышать осведомленность о них путем распространения статистики смишинга.
Основные статистические данные по смишингу в 2022 году
- В апреле 2022 года в день отправлялось/получалось около 378 509 197 спам-текстов.
- По оценкам, в апреле 2022 года в неделю отправлялось 2 649 564 381 smishing-сообщение.
- В среднем люди получают около 41 спам-сообщения на человека в месяц.
- Менее 35% людей знают, когда они становятся объектом smishing-атак.
- За первые два квартала 2021 года число атак с помощью смишинга увеличилось более чем на 700%.
- В результате smishing-атак жертвы потеряли многие миллионы долларов.
- Злоумышленники могут лишить жертву конфиденциальной информации, используя поддельные сообщения 2FA (двухфакторная аутентификация).
- Чаще всего киберпанки используют подмену соседей для привлечения жертв.
- Налоговое мошенничество – одна из самых распространенных категорий смишинговых атак.
- Смишинг в настоящее время является стандартным методом фишинговых атак с использованием мобильных устройств.
Общая статистика по смишингу 2022
Около 378 509 197 спам-текстов отправляется/получается в день в апреле 2022 года
Спам – это сообщения, которые являются нежелательными и незапрошенными. Как правило, эти сообщения приходят с компьютера и отправляются на ваши устройства (телефоны) через учетную запись обмена мгновенными сообщениями. Для мошенников они легки и дешевы, поскольку отправляются через Интернет. На самом деле, согласно последней статистике smishing, в апреле 2022 года в день отправлялось 376 032 773 спам-сообщений. Это значительно больше, чем годом ранее. Эти тексты часто маскируются под служебные сообщения или обновления и обычно доставляются с помощью SMS.
По оценкам, в апреле 2022 года в неделю отправлялось 2 649 564 381 сообщение с фишингом
Несмотря на то, что мы живем в 21 веке (где все находится всего в нескольких кликах), 95% нашего населения владеют мобильными телефонами, не требующими подключения к Интернету. Именно поэтому мошенники хотят максимально использовать эту технологию обмена сообщениями. Статистика smishing показывает, что спам-тексты действительно становятся все более важным средством для мошенников. Среднее количество спам-текстов в неделю по состоянию на апрель 2022 года составляет 2 649 564 381. Это очень большое число, и с каждым годом оно только увеличивается.
В среднем американцы получали около 41 спам-сообщения на человека в месяц
По состоянию на апрель 2022 года мы увидели, что граждане Соединенных Штатов в среднем за месяц получают около 41 спам-сообщения. При этом среднее количество спам-сообщений, получаемых американцем в месяц в 2021 году, составило 16,9. В то время как 14,7 было средним числом спам-текстов в 2020 году, затем 10,6 в 2019 году и 8,5 в 2018 году. Это ясно указывает на то, что их количество значительно увеличивается год от года. Более того, из всех СМС, полученных с неизвестного номера в апреле 2022 года, более 67% американцев заявили, что игнорируют эти СМС. А 65% из них сообщили, что удалили эти спам-сообщения.
Менее 35% людей действительно знают, когда они становятся объектом Smishing-атак
Для пользователей мобильных телефонов, особенно старшего поколения, бывает довольно сложно оценить подлинность SMS-сообщения. И это одна из главных причин того, что smishing (мошенничество на основе текстовых сообщений) имеет такой высокий процент успеха. Более того, согласно отчетам, только 23% пользователей мобильных телефонов старше 55 лет были компетентны в точном определении smishing. Цифры довольно низкие, если быть совсем честным. Однако миллениалы не лучше: только 35% людей в возрасте 23-38 лет знают термин “смайлинг”. Еще одна тревожная статистика smishing заключается в том, что менее 35% пользователей мобильных телефонов знают, когда они становятся жертвами этого вида мошенничества. Мы не можем винить их за неосведомленность, поскольку в этом киберпреступлении используется социальная инженерия, которую довольно сложно поймать. Поскольку smishing-атаки становятся все более изощренными, вам нужно быть очень внимательными к своим сообщениям. Вы можете проверить их на наличие орфографических и грамматических ошибок, поскольку они являются общими индикаторами.
Смишинговые атаки увеличились более чем на 700% за первые два квартала 2021 года
Согласно последним статистическим данным, в 2021 году число атак с использованием smishing (или текстового фишинга) вырастет почти на 700%. Фактически, авторитетная организация сравнила количество атак с июля по декабрь 2020 года и с января по июнь 2021 года. Это исследование показало, что в первые шесть месяцев 2021 года количество SMS-фишинговых атак увеличилось на 700%. Это показывает, что, поскольку мошенники используют текстовые сообщения, чтобы обманом заставить жертву перевести деньги или передать личные данные, число фишинговых атак за последний год резко возросло. Кроме того, в Великобритании число атак smishing было в 15 раз выше, чем в США. Это означает, что практика smishing более распространена в Великобритании, чем в США.
Жертвы потеряли миллионы баксов из-за Smishing-атак
Smishing-атаки включают в себя текстовые сообщения, которые, как кажется, приходят от легитимной организации. Большинство таких сообщений содержат ссылки, которые переводят ничего не подозревающих жертв на фишинговый сайт, где им предлагается загрузить вредоносное ПО на свои устройства, разгласить личную информацию или ввести OTP, который позволит мошеннику обойти MFA (многофакторную аутентификацию). Точнее говоря, смэшинг и фишинг взаимосвязаны, поэтому найти отдельную статистику по ним бывает непросто.
Однако отдел ФБР по рассмотрению жалоб на киберпреступления “Internet Crime Complaint Center” (IC3) 2020 зафиксировал постоянный рост числа мошенничеств в Интернете. Согласно его отчетам, более 240 000 жертв smishing, phishing, pharming (когда мошенник перенаправляет жертв на поддельный веб-сайт, чтобы украсть их конфиденциальную информацию) и vishing (голосовой фишинг, когда хакер оставляет голосовое сообщение или звонит по телефону) потеряли более 54 миллионов долларов США. Кроме того, было зарегистрировано около 1 400 атак вирусов/вредоносных программ, в результате которых было потеряно около 7 миллионов долларов США. Однако эта проблема существует не только в Соединенных Штатах. На самом деле, по данным Европейского совета по платежам, в период с 2016 по 2019 год более 166 000 жертв киберпреступлений подали жалобы, понеся убытки на сумму более 26 миллиардов долларов США.
Статистика по фишингу
Злоумышленники могут похитить конфиденциальную информацию жертвы, используя поддельные сообщения 2 Fa (двухфакторная аутентификация)
Если вы когда-либо получали OTP для подтверждения своей личности на Amazon или PayPal, вы использовали текстовую 2FA (двухфакторную аутентификацию). Однако хакеры могут использовать эту же технологию для кражи вашей личной информации, перенаправления вас на поддельные страницы входа в систему или использования различных хакерских техник для отправки OTP, чтобы получить полный доступ к вашему устройству. Итак, как это работает? Хакеры или мошенники отправляют вам текстовое сообщение о том, что ваш аккаунт, возможно, был взломан, и просят вас ответить на код авторизации, который вы получите через несколько минут, чтобы подтвердить свою личность. Затем они попытаются войти на целевой веб-сайт, используя ваш пароль и имя пользователя. Это вызовет отправку вам текстового сообщения с кодом авторизации. Мошенники отправят вам еще одно фишинговое текстовое сообщение с просьбой отправить код аутентификации, присланный веб-сайтом. Если вы случайно попадете в эту фишинговую ловушку и отправите хакерам ответное СМС с кодом аутентификации, они немедленно введут ваш код. В результате у них будет вся ваша информация и данные вашего счета. Таким образом, это опасный вид мошенничества. Фактически, это одна из основных причин, по которой NIST (Национальный институт стандартов и технологий) не рекомендует никому использовать текстовые пароли 2FA. Более того, если вы не полагаетесь на 2FA, вы не попадетесь на эту порочную аферу.
Мошенники неоднократно используют пандемию COVID-19 в смэшинг-атаках
После вспышки пандемии COVID-19 государственные органы начали сообщать о блокировке, вариантах вакцинации и отслеживании контактов с помощью текстовых сообщений. В результате это стало питательной средой для волны мошеннических текстовых сообщений. Более того, NCSC отмечает участившиеся попытки проведения мошенничества с помощью других средств, включая SMS (smishing). В прежние времена злоумышленники, использующие smishing, в основном занимались обманом людей только во имя финансовых стимулов (включая налоговые скидки и государственные выплаты). Однако вспышка пандемии внесла много изменений в их стратегии. Они начали использовать COVID для сбора электронной почты, имен, адресов и другой информации от жертв.
Например, они отправляют серию текстовых сообщений, используя приманку в виде правительства Соединенного Королевства, чтобы получить такие данные, как имя, электронная почта и банковская информация. Эти текстовые сообщения под видом сообщений от “UKGOV” и “COVID” содержат ссылку на фишинговый веб-сайт. Помимо сообщений, WhatsApp и другие службы обмена сообщениями могут быть возможными каналами для мошенников. Согласно докладу, составленному доверенными лицами, 44% американцев заявили, что наблюдали стремительный рост числа мошеннических текстовых сообщений в период общенационального карантина. Более того, в странах, где правительство приняло законопроекты о стимулировании экономики, SMS от мошенников, претендующих на получение денег от государственных органов, получили широкое распространение. Настолько, что такие организации, как FCC (Федеральная комиссия по связи), выпускают пресс-релизы, чтобы предупредить людей о растущем разнообразии афер с COVID-19 через текстовые сообщения.
Почти всегда хакеры притворяются, что отправляют СМС с того же кода. Это придает им некую аутентичность, что в конечном итоге обманывает многих людей. На самом деле, хакеры могут быстро получить доступ к коду вашего региона, отслеживая ваши метаданные. Затем они могут “подделать” местный номер, что позволит хакерам из другого региона выглядеть так, будто они пишут вам из вашего района или города. Кроме того, мошенники могут подделывать номера знакомых вам людей, подталкивая вас к передаче хакерам всей вашей личной информации. (Если вы не знаете), спуфинг – это действие, при котором мошенник намеренно фальсифицирует информацию, отправляемую на ваш идентификационный дисплей, чтобы скрыть или замаскировать свою личность. Более того, хакеры обычно используют подмену соседей, чтобы создать впечатление, что входящее сообщение приходит с известного номера или подменить номер правительственного агентства или компании, которую пользователи уже знают и которой доверяют. Если вы по ошибке ответите на сообщение или перейдете по их ссылкам, они украдут ваши деньги или личные данные, которые они могут использовать в мошеннических действиях. Однако в 2019 году FCC полностью запретила подделку SMS и международных звонков. Это не останавливает хакеров от подобного рода деятельности; они по-прежнему выдают себя за номера (пока их никто не ловит) для проведения операций Robotext.
Налоговая афера – одна из самых распространенных категорий смишинговых атак
С увеличением стимулов для виртуальной выдачи платежей IRS, 2020 год (год блокировки, COVID и карантина) открыл двери для многих американских налоговых smishing-атак. В связи с ростом числа мошенничеств на основе налогов Американская ассоциация пенсионеров (AARP) выпустила руководство о том, как можно быстро распознать американские налоговые аферы. Однако, когда речь идет о Великобритании, наиболее распространенное налоговое мошенничество включает в себя рассылку хакерами ложных уведомлений от HMRC (Her Majesty’s Revenue and Customs). Фактически, мошенники используют поддельные номера (о чем мы говорили в предыдущем пункте), на которых в качестве отправителя сообщения указывается “HMRC”. В этом текстовом сообщении они утверждают, что получатель должен HMRC деньги, и если он не произведет платеж вовремя, то будет арестован полицией. Согласно данным о статистике смишинга реального HMRC, в 2020 году в Великобритании 846 000 человек сообщили о поддельных налоговых аферах “HMRC”. Кроме того, в том же году правительство сняло более 50 000 поддельных веб-сайтов HMRC.
Смишинг в настоящее время является стандартной разновидностью фишинговых атак с использованием мобильных устройств
Фишинг – это попытка мошенника завоевать доверие жертвы и заставить ее поделиться ценной информацией или перейти по ссылке. Он может проявляться в различных формах. В то время как электронная почта является одной из самых больших проблем для фишинга, фишинг (SMS-фишинг) находится на подъеме. Очевидно, что рост числа смартфонов и планшетов на рабочем месте не может не удивлять. Более того, успешная smishing-атака может привести к различным последствиям, которые могут серьезно повлиять на организации, начиная от утечки данных и заканчивая денежными потерями. На самом деле, различные коммерческие организации изо всех сил стараются защитить своих сотрудников от smishing, чтобы избежать подобных неблагоприятных последствий. Согласно некоторым отчетам о статистике смишинга провайдера облачной инфраструктуры Wandera в 2018 году, 17% его пользователей столкнулись со смишинговыми атаками (фишинговые ссылки на их мобильных устройствах). Напротив, только 15% получили фишинговое электронное письмо, и только 16% получили фишинговые ссылки через приложения социальных сетей. Более того, Bank of Ireland в 2020 году был вынужден выплатить 800 000 евро более чем 300 клиентам банка, которые выдали свою банковскую информацию в ходе одной смишинг-атаки.
Другие статистические данные по фишингу
Большинство (85%) американцев говорят, что получали роботекст в 2021 году
Согласно последним статистическим данным по смишингу, в 2021 году 85% населения США будут получать роботекст. Более того, утечка данных (например, кража личных данных) входит в число значимых типов роботекстов, которые американцы получат в 2021 году – об этом сообщили 32%. Другие роботексты включают подарочные карты со скидкой (30%) и предложения подключить или поменять кабельное телевидение, провайдера спутникового телевидения или мобильной связи (30%). Кроме того, 21% роботекстов включают смену пароля, 19% – программное обеспечение для кибербезопасности, а 18% – сделки с криптовалютой. Однако 15% американцев не получали никаких роботекстов за последний год.
Более 61% японских пользователей смартфонов не знают о термине “smishing
Опрос, проведенный в период с декабря 2021 по январь 2022 года, показал, что более 61% японских пользователей смартфонов не слышали об этом термине и не знают значения smishing.
Заключение
И на этом мы заканчиваем нашу беседу о некоторых статистических данных по фишингу в 2022 году. К сожалению, фишинг является частью нашей жизни в современном технологическом мире. Более того, поскольку люди больше всего доверяют текстовым сообщениям, он стал одним из самых важных средств киберпреступности. Пока злоумышленники продолжают оттачивать свое искусство обмана, мы должны распространять информацию о фишинге.
