Nazad na blog

Фишинг на мобилним уређајима: СМС, WhatsApp и QR – Које политике СМЕ заправо требају

Мобилни уређаји су сада прва линија одбране од фишинга. Запослени одобравају MFA захтеве на својим телефонима, скенирају QR кодове на улазу у канцеларију и повезују пословне разговоре са десктопом преко QR-а. Нападачи прате тај траг. Овај водич пружа стручњацима за безбедност копирајући језик за политике и брзе контроле које можете увести ове недеље, засноване на недавним саветима и ономе што видимо у пракси.

Autor Tim AutoPhish|Objavljeno 9/29/2025
Cover image for Фишинг на мобилним уређајима: СМС, WhatsApp и QR – Које политике СМЕ заправо требају

Зашто је мобилни фишинг важан у 2025.

  • Смишинг (СМС фишинг) је порастао и представља водећи вектор преваре у Европи; "куишинг" заснован на QR кодовима брзо расте. ENISA
  • Злоупотреба WhatsApp-а/везаних уређаја: актери повезани са државом прешли су са е-поште на преузимање контроле над месинџерима, често варајући жртве да скенирају QR кодове за WhatsApp Web. Третирајте скенирање као лозинку. Microsoft+1
  • умор од MFA приморао је на преиспитивање одобрења путем push обавештења; Microsoft је преместио кориснике на упоређивање бројева како би ублажио одобрења за push-спам. Microsoft Learn+1
  • ФБИ/ИЦ3 упозоравају на преваре засноване на QR-кодовима — укључујући шеме у којима ненајављени пакети садрже QR-код који води до крађе акредитива или малвера. Центар за пријаве интернет криминала+1

За детаљније информације о инцидентима и томе "шта је пошло по злу", погледајте наш 10 невероватних прича о фишингу (2024–2025)—истичемо преузимања налога уз помоћ QR-а и преусмеравања на апликације за размену порука уз конкретне заштитне мере.

Приручник за фишинг усмерен на мобилне уређаје (како напади функционишу)

  1. Смишинг и мамци у порукама
    Кратке поруке лажно представљају доставне компаније, накнаде или ИТ ресетовање. Линк-ови отварају странице за акредитиве, обрасце за плаћање или усмеравају кориснике да инсталирају лажне апликације.
  2. QR кодови као токени за пријаву
    WhatsApp/друге апликације користе QR за повезивање уређаја. Принудно скенирање = преузимање сесије — чак и без лозинке. Политика треба да третира "Скенирај за повезивање" = осетљив корак аутентификације.
  3. Злоупотреба MFA обавештења
    Нападачи шаљу спам обавештења док исцрпљени корисник не тапне на "Одобри". Усклађивање бројева (унесите код са екрана) и геолокација/контекст окружења смањују број ових одобрења.
  4. Малвер на мобилним уређајима
    Линкoви oбичнo краду акредитиве, али такође могу да инсталирају малвер — то је изводљивије на Android-у преко APK-ова преузетих из спољних извора; на iOS-у је то теже (контрола App Store-а), али постоје ризични профили/0-click рањивости. Заштита на мобилним уређајима као што је Play Protect смањује, али не елиминише ризик.

Које политике су СМЕ заправо потребне (спремне за прилагођавање)

Испод се налазе сажети чланови које можете убацити у своје политике прихватљиве употребе, доношења сопствених уређаја (BYOD) и послања порука. Сваки члан укључује контролу и кратак "зашто".

1) BYOD: минимална безбедносна основа

  • OS и ниво закрпа: Лични уређаји који се користе за посао морају да користе OS који подржава произвођач и омогућено аутоматско ажурирање. (Android, iOS, iPadOS).
  • Безбедносне контроле уређаја: Затварање екрана, шифровани простор за складиштење и могућност удаљеног брисања пословних података преко MDM/пословног профила (COPE/COSU или Android Work Profile/iOS User Enrollment).
  • Извори апликација: Није дозвољено преузимање апликација из непознатих извора за пословне потребе; пословне апликације морају да потичу из управљаних продавница. (На Android-у, инсталирање из непознатих извора повећава ризик; Play Protect га ублажава, али није замена за политику.) NCSC+2NCSC+2

Зашто: NCSC-ове смернице за уређаје наглашавају уравнотежење употребљивости и контрола у оквиру BYOD-а; неопходно је обезбедити раздвајање и поништење управљаних података. NCSC+1

2) Апликације за размену порука и друштвене мреже (WhatsApp, Signal, iMessage, итд.)

  • Границе пословне употребе: Ако се апликације за размену порука користе за посао, ограничите их на управљане уређаје; не повезивати преко QR-а на неуправљаним десктоп рачунарима.
  • Праћење повезаних уређаја: Аларм за нове повезане уређаје; захтевати поновну верификацију на свака 30 дана.
  • Без осетљивих одобрења преко ћаскања: Плаћања, промене банкарских података или ресетовања SSO-а морају користити тикет + повратни позив на број из именика.

Зашто: Нападачи активно злоупотребљавају везивање преко месинџера и QR кодове. Скенирање QR кода третирајте као SSO пријаву. Microsoft

3) Руковање QR кодовима

  • Третирајте QR као акредитиве: Скенирање QR кода за пријаву или повезивање уређаја једнако је уношењу лозинке; скенирајте само са поузданих извора на управљаним уређајима.
  • Преглед пре отварања: Особље мора да прегледа URL (мобилни прегледач/апликација то подржава) и провери домен пре отварања.
  • Блокирајте ризичне скраћиваче: Филтрирајте уобичајене скраћиваче (осим оних на пословним листама).

Зашто: ФБИ/ИЦ3 су документовали превару са QR кодовима; нападачи крију одредишта и злоупотребљавају поверење. Центар за пријаве интернет криминала

4) Ојачавање MFA (заустављање замора од пуш обавештења)

  • Примењујте подударност бројева за одобравање пуш обавештења у целом тенанта.
  • Дајте предност методама отпорним на фишинг (FIDO2/passkeys) и онемогућите резервно слање СМС-ом након регистрације. Microsoft Learn+1

Зашто: Пуш спам делује; подударност бројева и пасквитови значајно смањују злоупотребу.

5) Контроле мобилног прегледача и апликација

  • Безбедно сурфовање и провера апликација: Оставите Play Protect укључен; блокирајте инсталацију апликација из непознатих извора; захтевајте управљане продавнице апликација. Google Help
  • Профили/конфигурације: Забраните инсталацију неодобрених профила конфигурације на iOS-у; профили могу да измене корене поверења, ВПН/ДНС или MDM — озбиљан ризик. TechTarget

6) Плаћања и одобрења преко мобилног уређаја

  • Двострука контрола + повратни позив: Свако плаћање, промена банке добављача или куповина поклон картице захтева два овлашћивача + повратни позив на познат број (не из поруке).
  • Нема "одобрите преко линка у СМС-у" за радне токове финансија/људских ресурса.

Зашто: Класични BEC и даље представља велики трошак; процесни оквири су бољи од људског расуђивања под временским притиском.

7) Извештавање и одговор (брза трака)

  • Једнократно додиривање за пријаву: Додајте акцију Пријави СМС/Поруку у MDM апликацију за помоћ; проследите је SecOps-у + добављачу ради уклањања.
  • Сачувајте доказе: Особље треба да сачува поруку, направи снимak екрана целог URL-а и забележи време пре него што је обрише.
  • Аутоматско блокирање: Додајте домене/хостове пошиљалаца и прималаца у мобилне и е-поштанске пролазе; пратите ново повезане уређаје.

Листа за проверу приликом увођења

  1. Укључите подударност бројева (Microsoft Entra ID) и прегледајте MFA методе; претпочитајте пасквице/FIDO2.
  2. Ажурирајте BYOD политику** са горе наведеним клаузулама; захтевајте управљане продавнице апликација и забраните повезивање QR кодова на неуправљаним рачунарима.
  3. Поставите MDM правила: блокирајте непознате изворе на Android-у, блокирајте неодobrene iOS профиле, упозоравајте на нова повезана уређаја за WhatsApp/Signal.
  4. Спроведите кратку обуку користећи AutoPhish. За приступ прилагођен радничком већу, користите анонимизоване метрике — наш водич објашњава како.

Често постављана питања

П1) Може ли се фишинг радити путем телефона?

Да. Смишинг (СМС) и приватне поруке на месинџерима су уобичајени канали за фишинг. Поруке воде на лажне странице за пријаву, сајтове за плаћање или инсталацију апликација; такође могу покушати да изазову позиве за гласовни фишинг (вишинг). CISA дефинише смишинг као социјални инжењеринг заснован на СМС-у и детаљно објашњава како линкови могу покренути акције на мобилном уређају. CISA

П2) Може ли се фишинг користити за крађу идентитета?

Апсолутно. Циљ је често крађа акредитива (е-пошта, банкарске и облачне апликације) или прикупљање личних података који омогућава преузимање контроле над налозима и финансијску превару. Јавна упозорења FBI/IC3 више пута су упозоравала да QR/смшинг кампање прикупљају личне и финансијске податке за превару. Центар за пријаве интернет криминала

П3) Може ли фишинг линк да инсталира малвер на мој телефон?

Понекад — али обично су потребни додатни кораци.

  • На Android-у сајт може покушати да вас натера да преузмете APK из спољних извора; Play Protect смањује ризик, али је кључно да у политици омогућите дозволу за поуздане изворе. Google Help
  • На iOS директне инсталације су ограничене; нападачи могу да гурну злонамерне профиле конфигурације или искористе ретке zero-click рањивости. (Недавна упозорења за WhatsApp истичу циљане проблеме типа "zero-click" који су закрпљени; држите апликације ажурним.) TechTarget+1 У већини случајева, већи ризик представља прикупљање акредитива и крађа сесије — што доводи до преваре са идентитетом чак и без малвера. CISA

П4) Да ли је безбедно скенирати QR кодове?

Третирајте QR кодове као линк: скенирајте их само са поузданих извора, користите управљане уређаје и прегледајте URL пре отварања. FBI/IC3 је посебно упозорио на шеме засноване на QR кодовима (укључујући нежељене предмете са уграђеним QR кодовима). Центар за пријаве интернет криминала

П5) Да ли је фишинг на WhatsApp-у стваран ако имам 2FA?

Да. Нападачи могу да преваре кориснике да вежу нови уређај преко QR кода, заобилазећи лозинке крађом приступа сесији. Омогућите WhatsApp-ов PIN за двостепену верификацију, пратите повезане уређаје и никада се не повезујте са непоузданог десктопа. Microsoft

П6) Шта би финансије/HR требало да раде другачије на мобилним уређајима?

Без одобрења или промена на рачуну путем линкова или ћаскања. Користите тикет + двоструку контролу + повратни позив на познати број, сваки пут. Наш преглед инцидента објашњава зашто ово зауставља чак и највештије деепфејк/DM трикове.

Даље читање и ресурси

  • Најбоље праксе CISA за мобилне уређаје и зашто FIDO/отпорна MFA на фишинг побеђује СМС/кодове из апликације. CISA
  • NCSC смернице за BYOD за структурирање разумне, применљиве политике за личне уређаје. NCSC+1
  • Microsoft о еволуцији напада на идентитет (замор од push обавештења → подударање бројева → passkeys). Microsoft Learn+1
  • Јавна упозорења IC3 о превари са QR кодовима (тренутне преваре, пријављивање). Центар за пријаве интернет криминала

Како AutoPhish може да помогне

  • Симулације прилагођене мобилним уређајима: Безбедни смшинг, QR и месинџер сценарији са тренутним саветима (ускоро)
  • Обука заснована на политикама: Наш приступ обуци повољан за приватност одржава подршку синдиката док мења понашање.
Nazad na sve postove

Spremni da ojačate svoju odbranu?

Registrujte se danas i pokrenite svoju prvu simulaciju fišinga za nekoliko minuta.

Počnite da simulirate odmahKontaktirajte nas