Phishing for Your Information: Smishing and Vishing Explained

Oct. 18

Did you know that 85% of phishing attacks are happening over SMS messaging, gaming, social and productivity apps and over the phone? Continue reading to find out how you can protect yourself from smishing and vishing attacks and what to do if you’ve fallen for one.

Smishing

Smishing is a phishing scam that uses Short Message Service (SMS) that look and sound like they are coming from a trusted source. Smishes often contain URLs or malicious links that once clicked, will be used to steal whatever personal information you have entered.

Smishing attacks are on the rise since SMS does not require authentication beyond a phone number. This means that it’s up to the recipients of smishing attacks to determine whether the message is fraudulent or legitimate. What’s more, some organizations do send SMS messages from spoofed, borrowed or shared phone numbers, which makes spotting a smish even more difficult.

Unlike with phishing emails, URLs embedded in SMS messages can be hard to verify without accidently opening the link. Most URLs in smishing attacks are also shortened using common URL shorteners which adds an extra layer of difficultly in determining whether a text is a threat or legitimate.

Vishing

Vishing is a combination of “voice” and “phishing.” Spotting a vishing attack can be challenging as cybercriminals can use a modified caller ID that makes their number look like a familiar or trusted number. VoIP (Voice over Internet Protocol) technology is also common with vishing attacks with platforms like Skype or Zoom.

Many VoIP users don’t need to provide valid caller ID data, which makes committing fraud easy. However, law enforcement and judicial systems are aware of vishing attacks and are actively seeking to inform the public of this potential threat and track down cybercriminals. Earlier this year, both the FBI and the CISA issued an alert warning folks of the dangers of vishing attacks. They also noted that cybercriminals are going through targeted employees’ social media, and other publicly accessible information in order to make more convincing vishing attacks.

What Cybercriminals Want you to Do

Like other phishing attacks, cybercriminals who craft smishes and vishes are hoping that you react quickly without fully considering the situation and give away your personal information. These attacks are generated to play on your emotions and have you react out of fear, surprise or anger among other emotions. The best thing you can do to protect yourself is to stop and think before you react.

Popular Smishing and Vishing Attacks

Smishing – Job Opportunity Scam: Many phishing scams prey on folks who are looking for a job. Popular examples of scams that have been reported to the Canadian Anti-Fraud Centre include:

- Car wrapping

- Counterfeit cheque

- Financial agent

- Mystery shopper

All of these scams involve depositing a counterfeit cheque into your personal bank account and then depositing funds into a fraudulent bank account. With the car wrapping scam, the attacker sends a message that you can earn money by wrapping your vehicle with a “company” logo. If you respond to the smish, then you receive further instructions and the counterfeit cheque in the mail. The mystery shopper and counterfeit cheque scams work similarly, although with the mystery shopper scam you may be asked to purchase pre-paid cards or gift cards in addition to depositing the counterfeit cheque. The financial agent scam has you receive money from compromised accounts or other fraud victims into your personal account. You are then directed to deposit the money, often via Bitcoin, to a company representative. This scam is especially dangerous as you can be arrested for money laundering.

Vishing – Taxpayer or Canada Revenue Agency Scam: For this vishing scam, the cybercriminal will claim to either work for the CRA or Service Canada and will claim that one or more of the following has occurred to your account:

- A compromised SIN number

- Outstanding case against you

- Owe back taxes

- Have unpaid balances

- Committed a financial crime

The caller will usually prey on your fear that something terrible has happened because of your compromised SIN number, or that you have unknowingly committed a financial crime. Attackers use this fear to demand that you disclose sensitive information to them or else risk being arrested, deported or fined. Typically, payment is requested via pre-paid cards or gift cards, Bitcoin or money service business.

The CAFC has a detailed list of reported phishing scams that can be found here.

How to Protect Yourself from Smishing and Vishing Attacks

There are many ways that you can protect yourself from smishing and vishing attacks. Here are the top three ways you can avoid falling victim to smishes and vishes:

- Use Common Sense: Stop and think before replying or answering voice messages, texts or emails. Remember that cybercriminals want you to act fast without thinking – they count on it in fact!

- Don’t Answer: If you receive a call from a number that is blocked, unknown or suspicious sounding – don’t answer it! By not answering or hanging-up on a call you are protecting your private information and thwarting cybercriminals who want to steal it.

- Report: In the US, the Federal Trade Commission makes it easy to report telephone scams. In Canada, if you’ve fallen for a scam, fraud or cybercrime, contact your local police. You are also encouraged to report an instance of scam, fraud or cybercrime by filing a report with the Canadian Anti-Fraud Centre.

In Canada, most cybercrimes and frauds are not reported to the police. In 2020, the RCMP began pilot testing on a new cybercrime and fraud reporting system that is scheduled to be fully operational in 2023-2024. This new system will allow investigators to make links between similar reports, identify and prioritize reported threats and incidents as well as coordinate investigations nationally and internationally.

À la pêche pour vos informations : l’hameçonnage vocal et par texto expliqués

Saviez-vous que 85 % des attaques d’hameçonnage se produisent via des messages textes, des jeux, des applications sociales et de productivité ou par téléphone? Lisez la suite pour savoir comment vous pouvez vous protéger contre les attaques d’hameçonnage vocal et par texto ainsi que ce qu’il faut faire si vous êtes victime d’une tentative d’hameçonnage.

L’hameçonnage par texto

Comme le nom l’indique, l’hameçonnage par texto est une arnaque d’hameçonnage qui utilise un service de messagerie instantanée (ou SMS) et qui ressemble à une communication provenant d’une source de confiance. Ces messages contiennent souvent des URL ou des liens malveillants qui, lorsqu’on clique sur ces derniers, seront utilisés pour voler toutes les informations personnelles que vous entrez.

Les attaques d’hameçonnage par texto sont à la hausse, car les messages textes ne nécessitent pas d’authentification au-delà d’un numéro de téléphone. Cela signifie que les destinataires de ces tentatives d’hameçonnage par texto doivent déterminer par eux-mêmes si le message est frauduleux ou légitime. En outre, certaines organisations légitimes envoient des messages textes à partir de numéros de téléphone usurpés, empruntés ou partagés, ce qui rend les tentatives d’hameçonnage de ce type encore plus difficiles à repérer.

Contrairement aux courriels d’hameçonnage, les URL intégrées dans les messages textes peuvent être difficiles à vérifier sans ouvrir accidentellement le lien. La plupart des URL dans les attaques d’hameçonnage par texto sont également raccourcies à l’aide de programmes pour raccourcir les adresses URL, ce qui complique encore davantage la tâche de déterminer si le message est légitime ou représente une menace.

L’hameçonnage vocal

L’hameçonnage vocal est aussi appelé hameçonnage téléphonique. Détecter une attaque d’hameçonnage vocal peut représenter un défi, car les cybercriminels sont en mesure de modifier l’identifiant de l’appel pour que le numéro affiché ressemble à un numéro qui vous est familier ou d’une personne de confiance. La technologie VoIP (voix sur IP) est également courante lors d’attaques d’hameçonnage vocal à partir de plates-formes telles que Skype ou Zoom.

De nombreux utilisateurs de VoIP n’ont pas besoin de fournir des données d’identification d’appelant valides, ce qui facilite la possibilité de commettre une fraude. Cependant, les forces de l’ordre et les systèmes judiciaires sont conscients de l’existence des attaques d’hameçonnage vocal et tentent activement d’informer le public de cette menace et de traquer les cybercriminels. Plus tôt cette année, le FBI et la CISA ont émis une alerte avertissant la population des dangers des attaques que représente ce type d’attaque. Ils ont également noté que les cybercriminels vérifient les médias sociaux des employés et d’autres informations accessibles au public pour rendre les attaques d’hameçonnage vocal plus convaincantes.

Ce que les cybercriminels veulent que vous fassiez

Comme lors des autres types d’attaques d’hameçonnage, les cybercriminels qui utilisent l’hameçonnage vocal ou par texto s’attendent à ce que vous réagissiez rapidement sans tenir pleinement compte de la situation et que vous donniez vos informations personnelles. Ces attaques sont conçues pour jouer avec vos émotions et vous faire réagir sous le coup de la peur, de la surprise ou de la colère, entre autres émotions. La meilleure chose que vous puissiez faire pour vous protéger est de vous arrêter et de réfléchir avant de réagir.

Attaques populaires d’hameçonnage vocal et par texto

Hameçonnage par texto — Escroquerie à la fausse offre d’emploi : de nombreuses escroqueries par hameçonnage profitent de la vulnérabilité des personnes à la recherche d’un emploi. Voici des exemples d’escroqueries courantes qui ont été signalées au Centre antifraude du Canada :

- Habillage de voiture

- Faux chèque

- Agent financier

- Client mystère

Toutes ces escroqueries impliquent le dépôt d’un faux chèque dans votre compte bancaire personnel, puis le dépôt de fonds dans un compte bancaire frauduleux. Avec l’escroquerie d’habillage de voiture, l’attaquant envoie un message affirmant que vous pouvez gagner de l’argent en apposant sur votre véhicule le logo d’une « entreprise ». Si vous répondez au message d’hameçonnage, vous recevrez des instructions supplémentaires ainsi que le chèque falsifié par la poste. Les escroqueries de client mystère et de chèque contrefait fonctionnent de la même manière, bien qu’avec l’escroquerie de client mystère, on puisse vous demander d’acheter des cartes prépayées ou des cartes-cadeaux en plus de déposer le chèque contrefait. L’escroquerie de l’agent financier implique de recevoir de l’argent de comptes compromis ou d’autres victimes de fraude sur votre compte personnel. Il vous est ensuite demandé de déposer l’argent, souvent sous forme de Bitcoins, à un représentant de l’entreprise. Cette escroquerie est particulièrement dangereuse, car vous pouvez être arrêté pour blanchiment d’argent.

Hameçonnage vocal – Fraude des contribuables ou de l’Agence du revenu du Canada: pour cette escroquerie par hameçonnage vocal, le cybercriminel prétendra travailler pour l’ARC ou Services Canada et prétendra qu’un ou plusieurs des éléments suivants se sont produits dans son compte :

- Un numéro d’assurance sociale compromis

- Une affaire en instance contre vous

- Un arriéré d’impôts

- Des soldes impayés

- Un crime financier a été commis

L’appelant profitera généralement de votre crainte que quelque chose de terrible se soit produit en raison d’un numéro d’assurance sociale compromis, ou d’avoir commis, sans le savoir, un crime financier. Les attaquants utilisent cette peur pour exiger que vous leur divulguiez des informations sensibles, sans quoi ils affirment que vous risquez d’être arrêté, expulsé ou condamné à une amende. Habituellement, le paiement est demandé sous forme de cartes prépayées ou de cartes-cadeaux, de Bitcoins ou de transferts effectués à l’aide d’entreprises de services monétaires.

Le CAFC tient à jour une liste détaillée des escroqueries par hameçonnage signalées, que vous pouvez trouver ici.

Comment vous protéger des attaques d’hameçonnage vocal et par texto

Il existe de nombreuses façons de vous protéger contre les attaques d’hameçonnage vocal et par texto. Voici les trois principales façons dont vous pouvez éviter d’être victime de tentatives d’hameçonnage vocal et par texto :

- Faites preuve de bon sens : arrêtez-vous et réfléchissez avant de répondre aux messages vocaux, aux messages texte ou aux courriels. Rappelez-vous que les cybercriminels veulent que vous agissiez rapidement et sans réfléchir; en fait ils comptent même là-dessus!

- Ne répondez pas : si vous recevez un appel d’un numéro qui est bloqué, qui semble inconnu ou suspect, n’y répondez pas! En ne répondant pas ou en raccrochant un appel, vous protégez vos informations privées et frustrez les cybercriminels qui veulent les voler.

- Signalez-les : aux États-Unis, la Federal Trade Commission facilite le signalement des escroqueries téléphoniques. Au Canada, si vous avez été victime d’une arnaque, d’une fraude ou de la cybercriminalité, communiquez avec votre service de police local. Nous vous encourageons également à signaler un cas de fraude, de fraude ou de cybercriminalité en soumettant un rapport au Centre antifraude du Canada.

Au Canada, la plupart des cybercrimes et des fraudes ne sont pas signalés à la police. En 2020, la GRC a commencé à mettre à l’essai un nouveau système de signalement de la cybercriminalité et de la fraude qui devrait être pleinement opérationnel en 2023-2024. Ce nouveau système permettra aux enquêteurs d’établir des liens entre des rapports similaires, d’identifier et de classer par ordre de priorité les menaces et les incidents signalés, ainsi que de coordonner les enquêtes aux niveaux national et international.

Phishing, pescando su información: explicamos qué es smishing y vishing

¿Sabía que el 85% de los ataques de phishing ocurren a través de mensajes SMS, juegos, aplicaciones sociales y de productividad y por teléfono? Siga leyendo para saber cómo se puede proteger de los ataques de smishing y vishing y qué hacer si ha caído víctima de alguno.

Smishing

El smishing es una estafa de phishing que utiliza mensajes SMS cuya apariencia y sonido son como si vinieran de una fuente confiable. Los smishes suelen contener URL o enlaces maliciosos que, al hacer clic sobre ellos, se utilizan para robarle cualquier información personal que haya ingresado.

Los ataques de smishing van en aumento ya que los SMS no requieren otra autenticación que un número de teléfono. Esto significa que depende de los destinatarios de los ataques de smishing determinar si el mensaje es fraudulento o legítimo. Además, algunas organizaciones envían mensajes SMS desde números de teléfono falsificados, prestados o compartidos, lo que hace que detectar un smish sea aún más difícil.

A diferencia de los correos electrónicos de phishing, las URL incrustadas en los mensajes SMS pueden ser difíciles de verificar sin abrir accidentalmente el enlace. La mayoría de las URL en los ataques de smishing también se acortan utilizando acortadores de URL comunes, lo que agrega una capa adicional de dificultad para determinar si un texto es una amenaza o es legítimo.

Vishing

Vishing es una combinación de "voz" y "phishing". Detectar un ataque de vishing puede ser complejo ya que los ciberdelincuentes pueden usar un identificador de llamadas modificado que hace que su número parezca un número familiar o de confianza. La tecnología VoIP (Voz sobre Protocolo de Internet) también es común en los ataques de vishing con plataformas como Skype o Zoom.

Muchos usuarios de VoIP no necesitan proporcionar datos válidos de identificación de llamadas, lo que facilita el fraude. Sin embargo, las fuerzas del orden y los sistemas judiciales son conscientes de los ataques de vishing y están tratando activamente de informar al público de esta amenaza potencial y de rastrear a los ciberdelincuentes. A principios de este año, tanto el FBI como CISA emitieron una alerta advirtiendo a la gente de los peligros de los ataques de vishing. También señalaron que los ciberdelincuentes están revisando las redes sociales de los empleados y otra información de acceso público para hacer ataques de vishing más convincentes.

Lo que los ciberdelincuentes quieren que hagas

Al igual que otros ataques de phishing, los ciberdelincuentes que elaboran smishes y vishes esperan que reaccione rápidamente sin considerar completamente la situación y que les regale su información personal. Estos ataques se generan para jugar con sus emociones y hacer que reaccione por miedo, sorpresa o ira, entre otras emociones. Lo mejor que puede hacer para protegerse es detenerse y pensar antes de reaccionar.

Ataques populares de smishing y vishing

Smishing – Estafa de oportunidad laboral: Muchas estafas de phishing se aprovechan de las personas que buscan empleo. Entre los ejemplos populares de estafas que se han reportado al Centro Canadiense contra el Fraude incluyen:

- Forro de vinilo para automóviles

- Cheque falso

- Agente financiero

- Comprador misterioso

Todas estas estafas implican depositar un cheque falso en su cuenta bancaria personal y luego depositar fondos en una cuenta bancaria fraudulenta. Con la estafa del forro de vinilo para automóviles, el atacante le envía un mensaje diciendo que puede ganar dinero si forra su vehículo con el logotipo de una "empresa". Si responde al smish, recibirá más instrucciones y el cheque falsificado por correo. Las estafas de compradores misteriosos y cheques falsificados funcionan de manera similar, aunque con la estafa de compradores misteriosos se le puede pedir que compre tarjetas de prepago o tarjetas de regalo además de depositar el cheque falsificado. Con la estafa del agente financiero, usted recibe dinero de cuentas comprometidas u otras víctimas de fraude en su cuenta personal. Luego se le indica que deposite el dinero, a menudo a través de Bitcoin, a un representante de la compañía. Esta estafa es especialmente peligrosa ya que puede ser arrestado por lavado de dinero.

Vishing – Estafa del contribuyente o de la Agencia Tributaria de Canadá: Para esta estafa de vishing, el ciberdelincuente afirma que trabaja para la Agencia Tributaria de Canadá o Service Canada y que uno o más de los siguientes incidentes se han producido en su cuenta:

- Un número de seguridad social comprometido

- Un caso pendiente en su contra

- Adeudo de impuestos atrasados

- Saldos sin pagar

- Delito financiero

La persona que llama generalmente se aprovechará de su temor de que algo terrible haya sucedido debido a un número de seguridad social comprometido, o que haya cometido un delito financiero sin saberlo. Los atacantes usan este miedo para exigirle que les revele información confidencial o de lo contrario corre el riesgo de ser arrestado, deportado o multado. Por lo general, el pago se solicita a través de tarjetas de prepago o tarjetas de regalo, Bitcoin o negocios de servicios monetarios.

El CAFC tiene una lista detallada de estafas de phishing reportadas que se pueden encontrar aquí.

Cómo protegerse de los ataques de smishing y vishing

Hay muchas maneras de protegerse de los ataques de smishing y vishing. Estas son las tres formas principales en que puede evitar ser víctima de smishes y vishes:

- Use el sentido común: deténgase y piense antes de responder a mensajes de voz, mensajes de texto o correos electrónicos. Recuerde que los ciberdelincuentes quieren que actúe rápido sin pensar, ¡de hecho cuentan con ello!

- No conteste: Si recibe una llamada de un número que está bloqueado, desconocido o sospechoso, ¡no la responda! Al no responder o colgar una llamada, está protegiendo su información privada y frustrando a los ciberdelincuentes que quieren robarla.

- Informe: En los Estados Unidos, la Comisión Federal de Comercio facilita la denuncia de estafas telefónicas. En Canadá, si ha sido víctima de una estafa, fraude o delito cibernético, comuníquese con la policía local. También se le anima a denunciar un caso de estafa, fraude o delito cibernético mediante la presentación de un informe ante el Centro Canadiense de Lucha contra el Fraude.

En Canadá, la mayoría de los delitos cibernéticos y fraudes no se denuncian a la policía. En 2020, la RCMP comenzó las pruebas piloto de un nuevo sistema de notificación de delitos cibernéticos y fraudes que se espera que esté completamente operativo en 2023-2024. Este nuevo sistema permitirá a los investigadores establecer vínculos entre informes similares, identificar y priorizar las amenazas e incidentes denunciados, así como coordinar las investigaciones a nivel nacional e internacional.