「BBVAから送信されたかのようなメッセージを携帯電話で受信しました」とTwitterユーザーは今朝、BBVAと民間警備隊に何が起こったかを通知しながら警告した。このツイートには、BBVA が銀行業務を行うためにユーザーに送信した以前の SMS と、 SMS スレッドの最後に奇妙なメッセージが含まれている画像が添付されていました。
「あなたのカードはセキュリティ上の理由から一時的に制限されています。再アクティブ化するには、ここで情報を更新してください https://otf.easy-comprobar.com/BBVAS/egro」
このメッセージが BBVA からのものではないことは明らかです。メッセージの書き方が悪く (アクセント記号の欠如、余分なカンマ)、ユーザーに BBVA.es とはまったく関係のない奇妙な URL を入力するよう促し、さらに、そのアドレスにプライベートな個人データを入力するよう促しています。 Webサイト。つまり、私たちは教科書フィッシングに直面しているのです。では、なぜ私たちの携帯電話には、前述の銀行からの正規のメッセージであるかのように表示されるのでしょうか?これから私たちが受け取るメッセージをどのように信頼できるでしょうか?
ここ数日、HOW2.WORK では、 音声通話と電子メール メッセージの「送信者」の両方における、デジタル メディアのなりすまし、いわゆる「なりすまし」について、正確に対処してきました。これは同じですが、SMS メッセージに適用されます。
SMS スプーフィングは、ユーザーまたは送信者の ID を成形できる SMS サービスを利用することで構成されます。「この種の無料サービスがあり、別の国の外部プロバイダーを雇えば、希望する送信者にメッセージを送信できるようになります。」 。 「差出人」/「差出人」フィールドに必要なテキストを入力するだけで、このタスクを無料で実行できると提案する Web サイトが多数あります。
実際には、銀行はまったく同じシステムを使用しています。メッセージ スレッドが特定の電話番号にリンクされていない場合は、メッセージ スレッドを入力すると下部に「このショート コードには返信できません」という警告が表示されるため、それを識別できます。もちろん、その短いコードは単なるテキストであり、発信元の番号ではないためです。
つまり、ツイート主が非難していたメッセージを「こっそり」するには、誰かが BBVA などをハッキングする必要はなく、Web フォームに「BBVA」と書くだけで十分です。
そう、この技術はそれだけ信頼できるのです。簡単に言えば、SMS には、特定のユーザーに対する特定のテキストの使用をブロックできる認証要素が含まれていません (したがって、「BBVA」がこの用語の独占を確保する可能性があります)。
やること?
一般に、何らかのアクションの実行を求める SMS には常に注意する必要があります。オンラインで操作しているときに銀行からコードが送信される SMS など、ユーザー側の以前のアクションに応答する SMS にのみ注意してください。銀行)。
また、銀行があなたに実行を求めているアクションが銀行を代表するものである場合、解決策は簡単です。リンクをクリックせずに、代わりに銀行の公式アプリ (端末にすでにインストールされているはずです) にアクセスします。 SMS で受信した通知がアプリのどこにも反映されない場合は、問題の SMS のことを忘れてしまう可能性があります。