Hvad er smishing, og hvordan forsvarer man sig mod det?

Smishing – betydning og definition

Smishing er et phishing-cybersikkerhedsangreb, der udføres via mobile tekstbeskeder, også kendt som SMS-phishing.

Som en variant af phishing narres ofrene til at give følsomme oplysninger til en forklædt 'angriber'. SMS-phishing kan være assisteret af malware eller svindelwebsteder. Det sker på mange mobile tekstbeskedplatforme, herunder ikke-SMS-kanaler som databaserede mobile beskedapps.

Hvad er smishing?

Som definitionen af smishing antyder, kombinerer begrebet "SMS" (short message services; bedre kendt som sms) og "phishing." For at definere smishing yderligere, er det kategoriseret som en type social engineering-angreb, der er afhængig af at udnytte menneskelig tillid snarere end tekniske udnyttelser.

Når cyberkriminelle "phisher", sender de falske e-mails, der forsøger at narre modtageren til at klikke på et ondsindet link. Smishing bruger simpelthen sms'er i stedet for email.

I bund og grund er disse cyberkriminelle ude på at stjæle dine personlige data, som de så kan bruge til at begå svindel eller andre cyberforbrydelser. Det indebærer typisk at stjæle penge - som regel dine egne, men nogle gange også din virksomheds penge.

Cyberkriminelle bruger ofte en af to metoder til at stjæle disse data:

1. Malware: Smishing-URL-linket kan narre dig til at downloade malware - ondsindet software - der installerer sig selv på din telefon. SMS-malware kan udgive sig for at være en legitim app, og narre dig til at indtaste fortrolige oplysninger og sende disse data til de cyberkriminelle.
2. Ondsindet websted: Linket i smishing-beskeden kan føre til en ondsindet websted, der beder dig om at indtaste følsomme personlige oplysninger. Cyberkriminelle bruger skræddersyede ondsindede websteder, der er designet til at efterligne velrenommerede websteder, hvilket gør det lettere at stjæle dine oplysninger.

Smishing-sms'er udgiver sig ofte for at være fra din bank og beder dig om personlige eller økonomiske oplysninger som dit konto- eller hæveautomatnummer. At afgive disse oplysninger svarer til at give tyvene nøglerne til din banksaldo.

Efterhånden som flere og flere mennesker bruger deres personlige smartphones til arbejde (en tendens, der kaldes BYOD (Bring Your Own Device) eller "medbring din egen enhed"), er smishing ved at blive både en trussel mod virksomheder og forbrugere. Så det bør ikke komme som nogen overraskelse, at smishing er blevet den førende form for ondsindede sms'er.

Cyberkriminalitet rettet mod mobile enheder er stigende, ligesom brugen af mobile enheder er det. Ud over at sms'er er den mest almindelige brug af smartphones, er der et par andre faktorer, der gør det til en særlig lumsk sikkerhedstrussel. Lad os forklare, hvordan smishing-angreb fungerer.

Hvordan fungerer smishing?

Bedrag og svindel er kernekomponenterne i ethvert SMS-phishing-angreb. Når angriberen antager en identitet, som du måske stoler på, er du mere tilbøjelig til at give efter for deres anmodninger.

Social engineering-principperne gør det muligt for smishing-angribere at manipulere med offerets beslutningstagning. De drivende faktorer bag dette bedrag er trefoldige:

1. Tillid: Ved at udgive sig for at være legitime personer og organisationer mindsker de cyberkriminelle deres målgruppers skepsis. SMS'er, som en mere personlig kommunikationskanal, sænker naturligvis også en persons forsvar mod trusler.
2. Kontekst: Ved at bruge en situation, der kunne være relevant for ofrene, kan en angriber opbygge en effektiv forklædning. Beskeden føles personlig, hvilket hjælper den med at tilsidesætte enhver mistanke om, at det kan være spam.
3. Følelser: Ved at spille på ofrets følelser kan angriberen tilsidesætte ofrets kritiske sans og anspore dem til hurtig handling.

Ved hjælp af disse metoder skriver angriberne beskeder, der får modtageren til at handle.

Typisk vil angriberne have modtageren til at åbne et URL-link i sms'en, hvor ofrene bliver ført til et phishing-værktøj, der beder dem om at udlevere deres private oplysninger. Dette phishing-værktøj kommer ofte i form af en hjemmeside eller app, der også optræder under en falsk identitet.

Ofrene udvælges på mange måder, men er normalt baseret på deres tilhørsforhold til en organisation eller en regional placering. Medarbejdere eller kunder i en bestemt institution, abonnenter på mobilnetværk, universitetsstuderende og endda beboere i et givet område kan være mål.

En angribers forklædning er som regel relateret til den institution, de ønsker at få adgang til. Men det kan være en hvilken som helst forklædning, der kan hjælpe dem med at få fat i din identitet eller dine finansielle oplysninger.

Ved brug af en metode kaldet spoofing kan en angriber skjule sit rigtige telefonnummer bag en lokkedue. Smishing-angribere kan også bruge "burner phones" – billige, forudbetalte engangstelefoner - til yderligere at maskere angrebets oprindelse. Angribere er kendt for at bruge email-til-tekst-tjenester som et andet middel til at skjule deres numre.

Trin for trin vil en angriber udføre sit angreb i et par vigtige faser:

• Distribuering af tekstbeskeden "lokkemad" til ofre.
• Kompromittering af offerets oplysninger gennem bedrag.
• Udførelse af det ønskede tyveri ved hjælp af ofrenes kompromitterede oplysninger.

En angribers smishing-strategi er en succes, når de har brugt dine private oplysninger til at begå det tyveri, de sigtede efter. Dette mål kan omfatte, men er ikke begrænset til, direkte at stjæle fra en bankkonto, begå identitetssvindel for ulovligt at åbne kreditkort eller lække private virksomhedsdata.

Hvordan spredes smishing?

Som tidligere nævnt leveres smishing-angreb både via traditionelle sms-beskeder samt apps, der ikke sender sms-beskeder. Men SMS-phishing-angreb spreder sig primært uafbrudt og ubemærket på grund af deres vildledende natur.

Smishing-svindel forstærkes af, at brugerne har falsk tillid til, at sms'er er sikre.

For det første kender de fleste til risikoen for svindel via email. Du har sikkert lært at være mistænksom over for generiske emails, der siger: "hej, tjek dette link." Udelukkelsen af en autentisk personlig besked har tendens til at være et væsentligt rødt flag for e-mail-spam-svindel.

Når folk bruger deres telefoner, er de mindre på vagt. Mange antager, at deres smartphones er mere sikre end computere. Men smartphone-sikkerhed har sine begrænsninger og kan ikke altid beskytte direkte mod smishing.

Uanset hvilke midler der bruges, kræver disse planer i sidste ende meget lidt ud over din tillid og en fejlvurdering for at lykkes. Derfor kan smishing angribe alle mobile enheder med tekstbeskedfunktioner.

Android-enheder er den største platform på markedet og et ideelt mål for malware-sms'er., iOS-enheder er også angreb. Apples iOS-mobilteknologi har et godt ry for sin sikkerhed, men intet mobilstyresystem kan i sig selv beskytte dig mod phishing-lignende angreb. En falsk følelse af sikkerhed kan gøre brugerne særligt sårbare, uanset platform.

En anden risikofaktor er, at du bruger din smartphone på farten, ofte når du er distraheret eller har travlt. Det betyder, at du er mere tilbøjelig til at blive fanget med paraderne nede og reagere uden at tænke dig om, når du modtager en besked, der beder om bankoplysninger eller om at indløse en kupon.

Typer af smishing-angreb

Hvert smishing-angreb bruger lignende metoder, mens præsentationen kan variere betydeligt. Angribere kan bruge en bred vifte af identiteter og påstande til at holde disse SMS-angreb kørende.

Desværre er en omfattende liste over smishing-typer næsten umulig på grund af den endeløse genopfindelse af disse angreb. Ved hjælp af et par etablerede svindelpræmisser kan vi afsløre karakteristika, der kan hjælpe dig med at spotte et smishing-angreb, før du bliver offer.

Her er nogle almindelige forudsætninger for smishing-angreb:

COVID-19-smishing

COVID-19-smishing-svindel er baseret på legitime hjælpeprogrammer, designet af regeringen, sundhedsvæsenet og finansielle organisationer til genopretningen efter COVID-19-pandemien.

Angribere har brugt disse metoder til at manipulere ofrenes frygt for sundhed og økonomi til at begå bedrageri. Advarselstegn kan omfatte:

• Kontaktopsporing, der beder om følsomme oplysninger (personnummer, kreditkortnummer osv.)
• Skattebaseret økonomisk lettelse som f.eks. stimulanstilskud.
• Opdateringer om offentlig sundhedssikkerhed.
• Anmodninger om at gennemføre den amerikanske folketælling.

Smishing via finansielle tjenester

Smishing-angreb på finansielle tjenester er forklædt som meddelelser fra finansielle institutioner. Næsten alle bruger bank- og kreditkorttjenester, hvilket gør dem modtagelige for både generiske og institutionsspecifikke beskeder. Lån og investering er også almindelige forudsætninger i denne kategori.

En angriber udgiver sig for at være en bank eller en anden finansiel institution, hvilket er en ideel forklædning til at begå økonomisk svindel. Et smishing-svindelforsøg med finansielle tjenester kan omfatte en hasteanmodning om at låse din konto op, at du bliver bedt om at bekræfte mistænkelig kontoaktivitet og meget mere.

Gift-smishing (Gave-smishing)

Gift-smishing betyder et løfte om gratis tjenester eller produkter, ofte fra en velrenommeret forhandler eller anden virksomhed. Det kan være giveaway-konkurrencer, shopping-belønninger eller en lang række andre gratis tilbud. Når en angriber øger din begejstring ved at foreslå ideen om "gratis", fungerer det som en logisk tilsidesættelse for at få dig til at handle hurtigere. Tegn på dette angreb kan være tidsbegrænsede tilbud eller et eksklusivt udvalg af gratis gavekort.

Smishing med faktura eller ordrebekræftelse

Confirmation-smishing involverer en falsk bekræftelse af et nyligt køb eller en faktura for en tjeneste. Der kan være et link til en opfølgning for at manipulere din nysgerrighed eller opfordre til øjeblikkelig handling for at udløse frygt for uønskede afgifter. Beviset på dette svindelnummer kan være en række ordrebekræftelser eller fraværet af et firmanavn.

Kundesupport-smishing

Kundesupport-smishing-angribere udgiver sig for at være en pålidelig virksomheds supportrepræsentant for at hjælpe dig med at løse et problem. Teknologi- og e-handelsvirksomheder som Apple, Google og Amazon er effektive forklædninger for angribere ved denne præmis.

Typisk vil en angriber hævde, at der er en fejl på din konto, og give dig hjælp til at løse den. Anmodningen kan være så simpel som at bruge en falsk login-side, mens mere komplekse ordninger kan bede dig om at angive en ægte kontogendannelseskode i et forsøg på at nulstille din adgangskode. Advarsler om en supportbaseret smishing-ordning omfatter et problem med fakturering, kontoadgang, usædvanlig aktivitet eller løsning af din seneste kundeklage.

Eksempler på smishing

Da SMS er tilgængelig for næsten alle med en mobiltelefon, er det kendt, at smishing-angreb sker globalt. Her er nogle eksempler på smishing-angreb, du skal være opmærksom på.

Fidus med tidlig adgang til Apple iPhone 12 - ordrebekræftelse- og gift-smishing

I september 2020 dukkede en smishing-kampagne op for at lokke folk til at give kreditkortoplysninger for en gratis iPhone 12.

Systemet bruger en ordrebekræftelsespræmis, hvor sms'en hævder, at en pakkelevering er blevet sendt til en forkert adresse. URL-linket i teksten sender mål til et phishing-værktøj, der udgiver sig for at være en Apple-chatbot. Værktøjet guider offeret gennem en proces for at få deres gratis iPhone 12 som en del af et prøveprogram med tidlig adgang - men beder om kreditkortoplysninger for at dække et mindre forsendelsesgebyr.

USPS- og FedEx-svindel – ordrebekræftelse- og gift-smishing

I september 2020 blev der rapporteret om en falsk USPS- og SMS-fidus med FedEx-pakkelevering, som begyndte at cirkulere. Dette smishing-angreb kan forsøge at stjæle dine kontooplysninger til forskellige tjenester eller dine kreditkortoplysninger.

Beskederne indledtes med en påstand om manglende eller forkert pakkelevering og indeholdt et link til et phishing-værktøj, der udgav sig for at være en FedEx- eller USPS-undersøgelse. Præmissen for disse phishing-sites kan variere, men mange er blevet identificeret som forsøg på at indsamle konto-logins til tjenester som Google.

Obligatorisk online COVID-19-test-fupnummer - COVID-19-smishing.

I april 2020 modtog Better Business Bureau en stigning i rapporter om efterlignere af den amerikanske regering, der sendte sms'er og bad folk om at tage en obligatorisk COVID-19-test via et link til en hjemmeside.

Selvfølgelig har mange opdaget dette fupnummer med det samme, da der ikke er nogen online test for COVID-19. Præmissen for disse smishing-angreb kan dog let udvikle sig, da det at udnytte pandemifrygt er en effektiv metode til at gøre offentligheden til offer.

Sådan forhindrer du smishing

Den gode nyhed er, at det er nemt at beskytte sig imod de potentielle konsekvenser af disse angreb. Du kan beskytte dig selv ved slet ikke at gøre noget. I bund og grund kan angrebene kun gøre skade, hvis du bider på krogen.

Når det er sagt, skal du være opmærksom på, at sms'er er et legitimt middel for mange forhandlere og institutioner til at nå dig. Ikke alle beskeder bør ignoreres, men du bør alligevel handle sikkert.

Der er et par ting, du skal være opmærksom på, som kan hjælpe dig med at beskytte dig mod disse angreb.

• Svar ikke. Selv opfordringer til at svare, som at skrive "STOP" for at afmelde abonnementet, kan være et trick til at identificere aktive telefonnumre. Angriberne er afhængige af din nysgerrighed eller angst for situationen, men du kan nægte at engagere dig.
• Stop op, hvis en besked siger, at den haster. Du bør betragte presserende kontoopdateringer og tidsbegrænsede tilbud som advarselssignaler om mulig smishing. Forbliv skeptisk og gå forsigtigt frem.
• Ring direkte til din bank eller forhandler, hvis du er i tvivl. Legitime institutioner beder ikke om kontoopdateringer eller loginoplysninger via sms. Desuden kan alle hastende meddelelser verificeres direkte på dine onlinekonti eller via en officiel telefonlinje.
• Undgå at bruge links eller kontaktoplysninger i beskeden. Undgå at bruge links eller kontaktoplysninger i beskeder, der gør dig usikker. Gå direkte til officielle kontaktkanaler, når du kan.
• Kontroller telefonnummeret. Mærkelige telefonnumre, f.eks. 4-cifrede, kan være tegn på email-til-sms-tjenester. Dette er en af mange taktikker, som en svindler kan bruge til at skjule sit rigtige telefonnummer.
• Vælg aldrig at opbevare kreditkortnumre på din telefon. Den bedste måde at forhindre, at finansielle oplysninger bliver stjålet fra en digital pung, er aldrig at lægge dem der.
• Brug multifaktorautentificering  (MFA). En eksponeret adgangskode kan stadig være ubrugelig for en smishing-angriber, hvis den konto, der brydes, kræver en anden "nøgle" til verifikation. MFA's mest almindelige variant er to-faktor-autentificering (2FA), som ofte bruger en sms-bekræftelseskode. Der findes stærkere varianter, som bruger en dedikeret app til verifikation (som Google Authenticator).
• Giv aldrig et kodeord eller en kode til gendannelse af en konto via sms. Både adgangskoder og sms-koder til to-faktor-autentificering (2FA) kan kompromittere din konto i de forkerte hænder. Giv aldrig disse oplysninger til nogen, og brug dem kun på officielle sider.
• Download en anti-malware app. Produkter som Kaspersky Internet Security for Android kan beskytte mod ondsindede apps såvel som selve SMS-phishing-links.
• Anmeld alle forsøg på SMS-phishing til de udpegede myndigheder.

Husk, at ligesom phishing via email er smishing en bedragerisk forbrydelse - det handler om at narre offeret til at samarbejde ved at klikke på et link eller give oplysninger. Den enkleste beskyttelse mod disse angreb er slet ikke at gøre noget. Hvis du ikke reagerer, kan en ondsindet tekst ikke gøre noget.

Hvad skal du gøre, hvis du bliver offer for smishing?

Smishing-angreb er snedige og kan allerede have gjort dig til offer, så du bliver nødt til at have en genoprettelsesplan på plads.

Tag disse vigtige forholdsregler for at begrænse skaden ved et vellykket smishing-forsøg:

1. Anmeld det mistænkte angreb til alle institutioner, der kan hjælpe.
2. Indefrys din kredit/bankkonto for at forhindre fremtidig eller igangværende identitetssvindel.
3. Skift alle adgangskoder og PIN-koder til konti, hvor det er muligt.
4. Overvåg økonomi, kredit/bankkonti og forskellige online-konti for mærkelige login-placeringer og andre aktiviteter.

Hvert af disse trin har stor betydning for din beskyttelse efter et smishing-angreb. Men at anmelde et angreb hjælper ikke kun dig med at komme dig, men forhindrer også andre i at blive ofre.

Relaterede links:

• Er e-overførsler sikre?
• Hvad gør du, hvis din mailkonto bliver hacket?
• Coronavirus velgørenheds-svindel
• Mobilsvindel – sådan ser du det og beskytter dig selv