Кажется, что SMS уже не так важны — все ушли в мессенджеры. Но когда дело касается подтверждения операций, доставки кодов или важного уведомления, большинство компаний всё ещё используют именно SMS. Этим пользуются мошенники.
Фишинг в SMS — это когда злоумышленники подделывают сообщения от имени компании. В них могут быть ссылки на фальшивые сайты, просьбы ввести данные карты или смс-код, якобы для подтверждения операции. Клиенты верят — и теряют деньги.
Рассказываем, как бизнес может минимизировать такие риски, если использовать собственный SMS-шлюз вместо сторонних сервисов.
Что такое фишинг в SMS и почему он работает
Фишинговые сообщения часто выглядят правдоподобно. Они приходят с тем же именем отправителя, что и настоящие SMS от компании. Иногда даже попадают в ту же цепочку сообщений — клиент не видит разницы.
Вот пример поддельной SMS:
TINKOFF:
Подозрительная активность. Подтвердите личность: tinkoff-security.ru/verify
По этой ссылке — фейковый сайт. Клиент вводит логин, пароль, код — и передаёт всё злоумышленникам.
Почему возникает подмена отправителя
Главная уязвимость — в передаче SMS через сторонние сервисы, особенно дешёвые. Они не всегда проверяют, кто и от чьего имени отправляет сообщение. Имена отправителей можно подделывать — особенно в международных шлюзах, где нет строгих проверок.
Так мошенники получают возможность подставить любое имя: от «Тинькофф» до «Госуслуги».
Как помогает собственный SMS-шлюз
Собственный шлюз — это инфраструктура для отправки SMS, которую компания контролирует полностью. Можно арендовать у оператора канал, настроить свой софт и напрямую передавать сообщения без посредников.
Что это даёт:
- Контроль над отправителем. Ни один другой отправитель не сможет использовать ваше имя.
- Безопасный маршрут доставки. SMS идут напрямую к оператору — нет рисков, что их перехватят или подменят на этапе маршрутизации.
- Контроль над содержанием. Вы точно знаете, что именно уходит клиенту. Никакой подмены ссылок или текста.
- Мониторинг и логирование. Можно в любой момент проверить, когда и что было отправлено, как это выглядело, дошло ли сообщение до клиента.
Что делать, если собственного шлюза нет
Если вы используете сторонний сервис, всё ещё можно повысить защиту:
- Выбирать только проверенных агрегаторов. Те, кто заключает прямые договоры с операторами, используют проверку отправителя и не позволяют подделывать имена.
- Ограничить список допустимых отправителей. Это можно настроить на стороне хорошего провайдера.
- Добавлять в SMS уникальные фразы или коды. Например, ссылка только с вашей доменной зоной:
sms.vashbrand.ru. - Уведомлять клиентов, что вы никогда не запрашиваете пароли и коды по SMS. Об этом стоит писать прямо в сообщениях.
- Отдельная страница на сайте. Обновляемый список шаблонов и номеров, с которых вы пишете клиентам.
Как понять, что пора переходить на собственный шлюз
Если у вас:
- Более 100 тысяч отправленных SMS в месяц
- Повышенные требования к безопасности
- Частые случаи фишинга от вашего имени
- Клиенты регулярно сообщают о подделках
…значит, имеет смысл изучить вариант со своим шлюзом. Это сложнее в администрировании, но даёт полную защиту бренда и клиентов.
Фишинг в SMS — реальная угроза. Чем крупнее компания, тем чаще мошенники используют её имя. Чтобы защитить клиентов и свою репутацию, стоит пересмотреть, как именно вы отправляете SMS.
Собственный SMS-шлюз — это не просто техническое решение. Это способ взять коммуникации с клиентами под полный контроль. А значит — защитить и бизнес, и людей.
