Oszustwa SMS-owe
Mobilne szkodliwe programy nie są jedynym zagrożeniem dla urządzeń mobilnych. Niestety, oszustwa SMS-owe stają się coraz popularniejsze wśród cyberprzestępców; zagrożenie ma zasięg międzynarodowy i istnieje od dłuższego czasu.
W 2007 roku Indyjski Departament Telekomunikacji wydał oświadczenie, w którym wyraził swoje zaniepokojenie wzrostem liczby przypadków phishingu SMS-owego w kraju i ogłosił, że rozpatruje wniosek o zakazaniu operatorom telefonii komórkowej przetwarzania wiadomości SMS wysyłanych z zagranicy za pośrednictwem stron internetowych. Indyjscy użytkownicy telefonów otrzymywali oszukańcze wiadomości, w których proszono ich o zadzwonienie na wyznaczony numer i "potwierdzenie" szczegółów transakcji. Po połączeniu się odzywała się automatyczna sekretarka. W nagranym komunikacie proszono ich o podanie danych bankowych i innych poufnych informacji. Naturalnie, automatyczna sekretarka należała do przestępców.
Takie oszustwa są popularne nie tylko w Indiach, ale również w wielu innych państwach.
Na szczęście operatorzy telefonii komórkowej są świadomi tego problemu. Informują użytkowników o zagrożeniach, publikują informacje o atakach, jak również przykłady wiadomości phishingowych i porady, co należy robić w takich przypadkach.
Z kolei rosyjscy oszuści stosują inne podejście.
Wariant 1:
Oszust tworzy wiadomość SMS o następującej treści: "Cześć. Mam kłopoty, nie mogę napisać teraz nic więcej. Czy mógłbyś wpłacić pieniądze na to konto lub na +79xx-xxx-xx-xx? Zwrócę ci później". Takie wiadomości nie zawierają imienia ani nadawcy, ani odbiorcy, dlatego każdy może pomyśleć, że wiadomość jest skierowana do niego.
Gdy użytkownik zadzwoni na którykolwiek tych numerów, otrzyma wiadomość informującą, że "abonent jest niedostępny". Wtedy może sobie pomyśleć: "Rzeczywiście coś stało się mojemu przyjacielowi/krewnemu" i przelać pieniądze, zgodnie z prośbą, na konto oszusta.
Wariant 2:
W oszustwie tym wykorzystywane są płatne wiadomości SMS wysyłane na krótkie numery. Tekst wiadomości może być różny. Na przykład: "Cześć! Wyślij SMS-a o treści *** na numer 3649, a otrzymasz na swoje konto bonus w wysokości 150 rubli. SMS jest bezpłatny. Próbowałem i działa". Lub: "Witamy! Jesteś posiadaczem zwycięskiego numeru! Aby otrzymać nagrodę, wyślij SMS o treści *** na numer 1171. Koszt SMS-a to 3 ruble".
Takie ataki charakteryzują się następującymi cechami:
1. Przestępcy wykorzystują najdroższe numery.
2. Większość wiadomości oferuje pewien rodzaj "bonusa" lub "wygranej".
3. Wiadomości nie zawierają imienia nadawcy ani odbiorcy.
Wiadomości te są wysyłane nie tylko na telefony komórkowe, mogą również być wysyłane za pośrednictwem komunikatorów ICQ, poczty elektronicznej lub portali społecznościowych.
Luki w zabezpieczeniach
Na samym początku 2009 roku wykryto nową lukę w zabezpieczeniach smartfonów działających pod kontrolą następujących wersji Symbiana:
1. S60 2nd edition, Feature Pack 2;
2. S60 2nd edition, Feature Pack 3;
3. S60 3rd edition;
4. S60 3rd edition, Feature Pack 1.
Co to za luka i w jaki sposób jest wykorzystywana? Jeżeli na telefon, na którym zainstalowano jeden z wymienionych wyżej systemów operacyjnych, zostanie wysłana specjalnie stworzona wiadomość SMS, urządzenie nie będzie mogło wysyłać ani otrzymywać wiadomości SMS/MMS. Spreparowana wiadomość nie jest widoczna na liście wiadomości przychodzących, a exploit nie pozostawia widocznych śladów. Z tego powodu otrzymał nazwę "The Curse of Silence".
W rezultacie, telefon nie obsługuje krótkich wiadomości tekstowych, jednak pod innymi względami działa normalnie. Dlatego może minąć trochę czasu, zanim użytkownik zorientuje się, że z jego telefonem jest coś nie tak. Niestety, problemu nie można rozwiązać, usuwając wcześniejsze wiadomości przychodzące lub wychodzące; jedynym wyjściem jest twardy reset.
