Hvad er Smishing, og hvordan forsvarer man sig mod det?

En forbryderisk sms kan være på vej til en smartphone nær dig. Det er en sms, der ofte påstår at være fra din bank, som beder dig om personlige eller finansielle oplysninger, f.eks. dit kontonummer eller kreditkortnummer. At udlevere disse oplysninger er lige så godt som at give tyvene nøglerne til din bankkonto.

Smishing er sammensat af begreberne "sms" (short message services") og "phishing". Når de cyberkriminelle udfører "phishing", sender de falske e-mails, der forsøger at narre modtageren til at åbne en malwareinficeret vedhæftet fil eller til at klikke på et ondsindet link. Smishing bruger simpelthen sms i stedet for e-mail.

Dette bruger smishing-afsendere som madding

Sms er det, smartphones bruges mest til. Experian har fundet ud af, at voksne mobilbrugere i alderen 18 til 24 sender mere end 2.022 beskeder pr. måned i gennemsnit, hvilket er 67 pr. dag, og de modtager 1.831.
Et par andre faktorer gør dette til en særlig lumsk sikkerhedstrussel. De fleste mennesker kender risikoen for e-mailsvindel. Du har sikkert lært at være mistænksom over for e-mails, hvori der står "Hej, se lige det her fede link", og som ikke indeholder en egentlig personlig besked fra den påståede afsender.

Når folk bruger deres telefoner, er de mindre på vagt. Mange antager, at deres smartphones er mere sikre end computere. Men smartphone-sikkerhed har begrænsninger og kan ikke umiddelbart beskytte mod smishing. Som WillisWire har opdaget, er cyberkriminalitet rettet mod mobile enheder steget eksplosivt i takt med brugen af mobile enheder. Men mens Android-enheder forbliver det primære mål for malware – simpelthen fordi der er så mange af dem derude, og platformen byder på større fleksibilitet for kunderne (og cyberkriminelle!) – fungerer smishing, ligesom sms, på tværs af platforme. Det gør iPhone- og iPad-brugere særligt udsatte, fordi de ofte føler, at de er immune over for angreb. Selv om Apples iOS-mobilteknologi har et godt ry for sikkerhed, kan ingen mobile operativsystemer i sig selv beskytte dig mod angreb af phishing-typen. En anden risikofaktor er, at du bruger din smartphone på farten, når du er distraheret eller har travlt. Det betyder, at der er større chance for at blive fanget med paraderne nede, og at du reagerer uden at tænke dig om, når du modtager en meddelelse, der beder om bankoplysninger eller indløsning af en kupon.

Hvad smisher-afsendere går efter

Som udgangspunkt er de, som de fleste cyberkriminelle, ude på at stjæle dine personlige data, som de kan bruge til at stjæle penge, for det meste dine egne, men til tider også dit firmas. De cyberkriminelle bruger to metoder til at stjæle disse data. De kan narre dig til at downloade malware, som installerer sig selv på din telefon. Denne malware kan præsentere sig som en legitim app og narre dig til at skrive fortrolige oplysninger og sende disse data til cyberkriminelle. På den anden side kan linket i en smishing-meddelelse føre dig til et falsk websted, hvor du bliver bedt om at indtaste personfølsomme oplysninger, som cyberkriminelle kan bruge til at stjæle dit online-id.

Efterhånden som flere og flere mennesker bruger deres personlige smartphones til arbejde (en tendens, der kaldes BYOD (Bring Your Own Device) eller "medbring din egen enhed"), er smishing ved at blive både en trussel mod virksomheder og forbrugere. Det burde altså ikke komme som nogen overraskelse, at smishing ifølge Cloudmark er blevet den hyppigste form for ondsindet tekstbesked.

Beskyt dig selv

Den gode nyhed er, at det er nemt at beskytte sig imod de potentielle konsekvenser af disse angreb. Faktisk kan du sikre dig selv ved ikke at gøre noget overhovedet. Angrebet kan kun gøre skade, hvis du sluger maddingen. Der er et par ting, du skal være opmærksom på, som kan hjælpe dig med at beskytte dig mod disse angreb.

• Du bør tage presserende sikkerhedsadvarsler, du-skal-reagere-nu kuponindløsninger eller tilbud, som varsler om et hackingforsøg, alvorligt.
• Ingen bank eller forhandler vil sende dig en sms om, at du skal opdatere dine kontooplysninger eller bekræfte koden til dit kreditkort. Hvis du får en meddelelse, der udgiver sig for at være fra din bank eller en forretning, du handler i, og du bliver bedt om at klikke på noget i beskeden, er det bedrageri. Ring til din bank eller forhandler direkte, hvis du er i tvivl.
• Klik aldrig på et besvarelseslink eller -telefonnummer i en besked, du føler dig usikker på.
• Se efter mistænkelige numre, der ikke ligner et rigtigt mobilnummer, f.eks. "5000". Som Network World har konstateret, etablerer disse numre forbindelse til e-mail-til-tekst-tjenester, som undertiden bruges af svindlere, så de ikke skal angive deres faktiske telefonnumre.
• Opbevar ikke dine kreditkort- eller bankoplysninger på din smartphone. Hvis informationerne ikke er der, kan tyve ikke stjæle dem, selv om det lykkes dem at slippe malware løs på telefonen.
• Nægt at tage imod maddingen – undlad blot at reagere.
• Rapporter alle smishing-angreb til FCC for at hjælpe med at beskytte andre.

Husk, at ligesom e-mail-phishing, er smishing en fupforbrydelse – den lykkes kun ved at narre offeret til at samarbejde ved at klikke på et link eller udlevere oplysninger. Faktisk er den mest simple beskyttelse mod sådanne angreb slet ikke at gøre noget. Så længe du ikke svarer, kan en ondsindet sms ikke gøre noget. Ignorer den, så forsvinder den.