스미싱은 휴대폰을 공격 플랫폼으로 사용하는 피싱의 한 형태입니다. 해커는 사회 보험 및/또는 신용카드 번호를 포함한 개인 정보를 수집할 의도로 공격을 실행합니다. 스미싱은 문자 메시지나 SMS를 통해 구현되어 공격에 "SMiShing"이라는 이름을 부여합니다.
스미싱 공격은 일반적으로 문자 메시지로 알려진 단문 메시지 서비스 또는 SMS를 사용합니다. 이러한 형태의 공격은 사람들이 이메일을 통해 전달된 메시지보다 휴대전화의 메시지 앱을 통해 들어오는 메시지를 더 신뢰할 가능성이 높기 때문에 점점 더 인기를 얻고 있습니다.
해커는 이메일보다 전화번호를 찾는 것이 더 쉽다고 합니다. 미국에서는 전화번호가 10자리입니다.
이메일의 경우 문자수 제한이 없습니다. 이메일에는 숫자, 문자 및 기호(–, !, # 및 % 등)와 같은 특수문자가 포함될 수 있습니다. 이메일 주소를 통해 사람에게 연결하는 것보다 피해자에게 도달하기 위해 무작위로 10개의 숫자를 묶는 것이 훨씬 더 쉽습니다.
해커는 전화번호 정도의 길이로 된 숫자의 조합으로 메시지를 보낼 수 있습니다. 그들은 모든 숫자의 조합을 시도할 수 있다. Gartner는 문자메시지의 98%가 읽히고 45%가 응답했다고 밝혔습니다. 해커가 공격 벡터로 사용할 수 있는 문자가 효과적입니다. 특히 Gartner에서 보고한 바, 이메일의 6%만이 응답을 하는 것으로 확인되었습니다.
문자 메시지를 통해 해커들은 많은 다른 것들을 시도할 수 있습니다. 여기에는 은행에서 대리인 행세를 하여 개인 정보를 훔치는 것도 포함됩니다. 문자 메시지의 링크를 클릭하여 은행의 웹 페이지에 연결하고 최근의 의심스러운 청구를 확인하도록 유도할 수 있습니다. 문자 메시지에 가짜 고객 서비스센터로 전화하여 최근 의심스러운 청구 또는 도용된 계정에 대해 이야기하도록 요청할 수 있습니다.
해커들은 또한 민감한 정보를 수집하기 위해 동정적인 방법을 사용하기도 합니다. 예를 들어 위협 행위자가 자선 기부를 요청하는 허리케인 구호에 관한 메시지입니다. 해커는 포함된 링크를 클릭하고 신용카드 정보, 주소 및 종종 주민번호를 입력하도록 요청합니다. 해커가 신용 카드 번호를 획득하면 범죄자는 큰 금액 대신 매월 신용 카드에 요금을 청구할 수도 있습니다.
스미싱 공격의 또 다른 예는 서비스 또는 전화 업그레이드에 대한 할인을 제안하는 공급자의 제안입니다. 거래를 활성화하려면 제공된 링크를 클릭하라는 메시지가 표시됩니다. 공급자의 웹사이트처럼 보이는 스푸핑된 웹페이지에 접속하면 사이트에서 신용카드 번호, 주소 및 주민 번호를 확인하도록 요청합니다. 이러한 가짜 정보에 속는다면 피해자가 될 수 있습니다.
Facebook Messenger 또는 WhatsApp과 같은 인스턴트 메신저 프리웨어를 사용한 피싱은 기술적으로 스미싱에 해당하지 않지만 밀접한 관련이 있습니다. 해커는 소셜 미디어 플랫폼을 통해 낯선 사람의 메시지를 열고 응답할 때 사용자가 점점 더 편안해지는 수준을 악용합니다.
진정한 피싱 계획과 마찬가지로 공격의 목표는 암호 및/또는 신용 카드 번호를 포함한 개인 데이터를 위협 행위자에게 제공하는 것입니다. 이러한 정보를 얻기 위해 공격자는 핫딜 같은 가치 있는 내용을 제공할 수 있습니다. 이러한 제안에는 클릭 가능한 링크가 포함되는 경우가 많습니다.
모르는 사람의 메시지는 피싱일 가능성을 알려주지만, 해킹 공격은 당신이 알고 있고 사람들에게서 오는 것처럼 보일 수 있습니다. 이것은 종종 소셜 미디어 연락처의 계정이 해킹되거나 스푸핑될 때 발생합니다.