Hva er smishing og hvordan du forsvarer deg mot det

Betydning og definisjon av smishing

Smishing er et nettfiskingsangrep utført over tekstmeldinger på mobil, også kjent som SMS-nettfisking.

Som en variant av nettfisking lures ofre til å gi sensitiv informasjon til en skjult angriper. SMS-nettfisking kan hjelpes av skadelig programvare eller svindelnettsteder. Det skjer på mange mobiltekstmeldingsplattformer, inkludert ikke-SMS-kanaler som databaserte mobilmeldingsapper.

Hva er smishing?

Som definisjonen av smishing antyder kombinerer begrepet "SMS" (short message services, bedre kjent som tekstmelding) og "phishing." For å definere smishing ytterligere kategoriseres det som en type sosial manipulasjonsangrep som avhenger av å utnytte mennesketillit heller enn tekniske utnyttelser.

Når nettkriminelle "fisker" sender de falske e-poster som prøver å lure mottakeren til å klikke på en ondsinnet lenke. Smishing bruker rett og slett tekstmeldinger i stedet for e-post.

Disse nettkriminelle er ute etter å stjele personopplysningene dine, som de da kan bruke til å begå svindel eller andre nettforbrytelser. Dette inkluderer normalt å stjele penger - vanligvis dine, men noen ganger også selskapets penger.

Nettkriminelle bruker ofte en av to metoder for å stjele disse dataene:

1. Skadelig programvare: Smishing-URL-lenken kan lure deg til å laste ned skadelig programvare - ondsinnet programvare - som installerer seg selv på telefonen din. Dette SMS-skadeprogrammet kan forkle seg som en legitim app, lure deg til å angi konfidensiell informasjon og sende disse opplysningene til nettkriminelle.
2. Ondsinnet nettsted: Lenken i smishing-meldingen kan føre til en falsk side som ber om at du skriver inn sensitiv personlig informasjon. Nettkriminelle bruker skreddersydde ondsinnede sider designet for å etterligne sider med godt omdømme, noe som gjør det enklere å stjele din informasjon.

Smishingtekstmeldinger gir seg ofte ut for å være fra banken din, og ber deg om personlig eller finansiell informasjon som kontonummeret eller minibanknummeret ditt. Å oppgi informasjonen er nesten det samme som å gi tyvene nøklene til banksaldoen din.

Etter hvert som flere og flere personer bruker sine personlige smarttelefoner til jobb (en trend kalt BYOD, eller "bring din egen enhet") blir smishing en forretningstrussel og en forbrukertrussel. Så det bør ikke være noen overraskelse at smishing har blitt den fremste formen for ondsinnede tekstmeldinger.

Nettkriminalitet rettet mot mobilenheter er i vekst, akkurat som mobilenhetsbruk. I tillegg til at teksting er den mest vanlige bruken av smarttelefoner, er det et par andre faktorer som gjør dette til en spesielt lumsk sikkerhetstrussel. For å forklare la oss avdekke hvordan smishing-angrep virker.

Hvordan fungerer smishing?

Bedrag og svindel er kjernekomponentene i ethvert SMS-nettfiskingsangrep. Etter hvert som angriperen påtar seg en identitet som du kan stole på, har du større sannsynlighet for å gi etter for forespørslene deres.

Sosiale manipulasjonsprinsipper lar smishingangripere manipulere et offers beslutningstaking. De fremste faktorene for dette bedraget er tredelt:

1. Tillit: Ved å utgi seg for å være legitime personer og organisasjoner reduserer nettkriminelle målets skepsis. Tekstmeldinger, som en mer personlig kommunikasjonskanal, senker også naturlig en persons forsvar mot trusler.
2. Kontekst: Å bruke en situasjon som kan være relevant for mål lar en angriper bygge en effektiv forkledning. Meldingen føles personlig, noe som bidrar til at den overstyrer eventuell skepsis.
3. Emosjon: Ved å øke et måls følelser kan angripere overstyre målets kritiske tenkning og få dem til å handle raskt.

Ved hjelp av disse metodene skriver angripere meldinger som får en mottaker til å handle.

Normalt vil angripere at mottakeren skal åpne en URL-lenke i tekstmeldingen, hvor de da føres til et nettfiskingsverktøy som ber dem om å avsløre sin personlige informasjon. Dette nettfiskingsverktøyet kommer ofte i form av et nettsted eller en app som også har en falsk identitet.

Mål velges på mange måter, men er vanligvis basert på deres tilknytning til en organisasjon eller et regionalt sted. Ansatte eller kunder i en spesifikk institusjon, mobilnettverkabonnenter, universitetsstudenter og til og med beboere i et gitt område kan være mål.

En angripers forkledning er vanligvis relatert til institusjon de ønsker å få tilgang til. Men det kan like gjerne være en maske som vil hjelpe dem med å skaffe seg din identitet eller finansielle informasjon.

Ved hjelp av en metode kjent som spoofing kan en angriper skjule sitt ekte telefonnummer bak en felle. Smishingangripere kan også bruke "engangstelefoner" — billige, forbetalte telefoner til engangsbruk — for å ytterligere skjule opphavet til angrepet. Angripere er kjent for å bruke e-post til teksttejenster som andre måter å skjule numrene sine.

Trinn for trinn vil en angriper utføre angripet sitt i et par nøkkelfaser:

• Distribusjon av "tekstmeldingsfellen" til mål.
• Kompromittering av offerets informasjon gjennom bedrag.
• Utførelse av det ønskede tyveriet ved hjelp av ofrenes kompromitterte informasjon.

En angripers smishingplan er vellykket når de har brukt din private informasjon til å begå tyveriet de hadde som mål. Dette målet kan inkludere men er ikke begrenset til å stjele direkte fra en bankkonto, begå identitetssvindel for å åpne kredittkort ulovlig eller lekke private bedriftsdata.

Hvordan sprer smishing seg?

Som nevnt tidligere, smishingangrep leveres både gjennom tradisjonelle tekstmeldinger og ikke-tekstmeldingsapper. Men SMS-nettfiskingsangrep sprer seg primært uavbrutt og ubemerket på grunn av sin bedragerske art.

Smishingbedrag forsterket av at brukere har falsk tillit til tekstmeldingssikkerhet.

For det første, er det mange som kjenner til risikoene for e-postsvindel. Du har sannsynligvis lært å være mistenksom til generiske e-poster som sier "Hei-sjekk ut denne lenken." Utelukkelsen av en autentisk personlig melding er ofte et betydelig rødt flagg for e-postspamsvindler.

Når folk er på telefonene sine, er de mindre mistenksomme. Mange antar at smarttelefonene sine er sikrere enn datamaskiner. Men smarttelefonsikkerhet har begrensninger og kan ikke alltid beskytte direkte mot smishing.

Uavhengig av metodene som brukes, krever disse planene til syvende og sist svært lite utover din tillit og en vurderingssvikt for å lykkes. Som følge av dette kan smishing angripe en hvilken som helst mobilenhet med tekstmeldingsfunksjoner.

Selv om Android-enheter er markedets største plattform og et ideelt mål for skadeprogramtekstmeldinger, så er iOS-enheter mål med lik mulighet. Apples iOS-mobilteknologi har et godt sikkerhetsrykte, men det finnes ikke et mobiloperativsystem som i seg selv kan beskytte deg mot nettfiskingsaktige angrep. En falsk følelse av sikkerhet kan gjøre brukere spesielt sårbare, uavhengig av plattformen.

En annen risikofaktor er at du bruker smarttelefonen din på farten, ofte når du er distrahert eller har det travelt. Dette betyr at du har større sannsynlighet for å bli tatt på sengen og svare uten å tenke når du får en melding som ber om bankinformasjonen din eller om å løse inn en kupong.

Typer smishingangrep

Hvert smishingangrep bruker lignende metoder, men presentasjonen kan variere betydelig. Angripere kan bruke et bredt omfang av identiteter og lokaler for å holde disse SMS-angrepene oppdaterte.

Dessverre er en omfattende liste over smishingtyper nesten umulig på grunn av den endeløse innovasjonene på disse angrepene. Ved å bruke et par etablerte svindelpremisser kan vi avdekke egenskaper som hjelper deg med å oppdage et smishingangrep før du blir et offer.

Her er noen vanlige premisser for smishingangrep:

COVID-19-smishing

COVID-19-smishingsvindler er basert på legitime hjelpeprogrammer utviklet av myndigheter, helse- og finansielle organisasjoner for rekonvalesens fra COVID-19-pandemien.

Angripere har brukt disse systemene til å manipulere ofres helse- og økonomifrykt for å begå svindel. Varseltegn kan inkludere:

• Kontaktsporing som spør etter sensitiv informasjon (personnummer, kredittkortnummer, osv.)
• Skattebasert økonomisk hjelp som stimulussjekker.
• Offentlige helsesikkerhetsoppdateringer.
• Forespørsler om å fullføre U.S. Census.

Smishing gjennom finansielle tjenester

Smishingangrep gjennom finansielle tjenester skjules som varsler fra finansielle institusjoner. Nesten alle bruker bank- og kredittkorttjenester, noe som gjør dem utsatt for både generiske og institusjonsspesifikke meldinger. Lån og investering er også vanlige premisser i denne kategorien.

En angriper gir seg ut for å være en bank eller en annen finansinstitusjon for en ideell for å begå økonomisk svindel. Trekk ved en nettfiskingssvindel ved hjelp av finansielle tjenester kan inkludere en presserende forespørsel om å låse opp kontoen din, bli bedt om å verifisere mistenkelig kontoaktivitet, og mer.

Gavesmishing

Gavesmishing antyder løfte om gratis tjenester eller produkter, ofte fra en forhandler eller et annet selskap med godt omdømme. Dette kan være reklamepakkekonkurranser, shoppingbelønninger eller en rekke ulike typer gratistilbud. Når en angriper øker begeistringen din ved å si ordet "gratis", fungerer denne tjenesten som en overstyring av fornuft for å få deg til å handle raskere. Tegn på dette angrepet kan inkludere tilbud i en tidsbegrenset periode eller et eksklusivt valg for et gratis gavekort.

Faktura- eller ordrebekreftelsessmishing

Bekreftelsessmishing involverer en falsk bekreftelse av et nylig kjøp eller faktura for en tjeneste. En lenke blir kanskje lagt ved for oppfølging for å manipulere nysgjerrigheten din eller få deg til å handle umiddelbart for å utløse frykt for uønskede endringer. Bevis på denne svindelen kan involvere en rekke ordrebekreftelsestekster eller fraværet av et virksomhetsnavn.

Kundestøttesmishing

Kundestøttesmishing-angripere gir seg ut for å være en representant fra et betrodd selskap som skal hjelpe deg med å løse et problem. Høyteknologi- og e-handelsselskaper som Apple, Google og Amazon er effektive forkledninger for angripere i dette premisset.

Vanligvis vil en angriper hevde at det er en feil med kontoen din og gi deg trinn for å løse det. Forespørselen kan være så enkel som å bruke en falsk påloggingsside, mens mer komplekse systemer kan be deg om å oppgi en ekte kontogjenopprettingskode i et forsøk på å tilbakestille passordet ditt. Advarsler om en støttebasert smishingplan inkluderer et problem med fakturering, kontotilgang, uvanlig aktivitet eller å løse din nylige kundeklage.

Smishingeksempler

Med SMS tilgjengelig for nesten alle med en mobiltelefon, har smishingangrep skjedd globalt. Her er noen smishingangrepseksempler å være oppmerksom på.

Tidlig tilgang til Apple iPhone 12-svindel — Ordrebekreftelses- og gavesmishing

I september 2020 dukket det opp en smishingkampanje som lurte andre til å oppgi kredittkortinformasjon mot en gratis iPhone 12.

Systemet bruker et ordrebekreftelsespremiss, der tekstmeldingen hevder at en pakkelevering har blitt sendt til en feil adresse. URL-lenken i teksten sender mål til et nettfiskingsverktøy som gir seg ut for å være en Apple-chatbot. Verktøyet veileder offeret gjennom en prosess for å gjøre krav på en gratis iPhone 12 som del av et prøveprogram med tidlig tilgang, men ber uunngåelig om kredittkortinformasjon for å dekke et lite fraktgebyr.

USPS- og FedEx-svindler — Ordrebekreftelses- og gavesmishing

I september 2020 begynte det å sirkulere rapporter om en falsk USPS- og FedEX-pakkeleveringssvindel på SMS. Dette smishingangrepet kan forsøke å stjele kontoinformasjonen din for ulike tjenester eller kredittkortinformasjonen din.

Meldingene startet med en påstand om manglende eller feil pakkelevering og oppgir en lenke til et nettstedsnettfiskeverktøy som gir seg ut for å være en FedEx- eller USPS-spørreundersøkelse med en reklamepakke. Selv om premisset for disse nettfiskingssidene kan variere, har mange blitt identifisert som å forsøke seg på å samle kontopålogginger for tjenester som Google.

Obligatorisk online COVID-19-testsvindel — COVID-19-smishing

I april 2020 mottok Better Business Bureau en økning i rapporter om at personer som ga seg ut for å være fra de amerikanske myndighetene sendte tekstmeldinger der de ba folk om å ta en obligatorisk COVID-19-test via et nettsted med en vedlagt lenke.

Mange har selvsagt umiddelbart oppdaget denne svindelen siden det ikke finnes noen nettest for COVID-19. Men premisset for disse smishingangrepene kan enkelt utvikle seg, ettersom det å spille på pandemifrykt er en effekt metode å gjøre allmennheten til et offer.

Hvordan hindre smishing

De gode nyhetene er at de potensielle ringvirkningene av disse angrepene er lette å beskytte seg mot. Du kan holde deg selv trygg ved å ikke gjøre noe. Angriperne kan bare gjøre skade hvis du tar agnet.

Med det sagt, vær klar over at tekstmeldinger er en legitim måte for mange forhandlere og institusjoner å nå deg. Ikke alle meldinger bør ignoreres, men du bør handle trygt uansett.

Det er et par ting å huske som vil bidra til å beskytte deg mot disse angrepene.

• Ikke svar. Selv forespørsler om å svare "STOPP" som på tekstmelding for å avslutte abonnementet kan være et triks for å identifisere aktive telefonnumre. Angripere avhenger av din nysgjerrighet eller angst over situasjon, men du kan nekte å delta.
• Ro ned hvis en melding haster. Du bør se på presserende kontooppdateringer og tilbud i en begrenset tidsperiode som faresignaler for mulig smishing. Forbli skeptisk og fortsett med varsomhet.
• Ring banken eller handelsmannen direkte hvis du er i tvil. Legitime institusjoner ber ikke om kontooppdateringer eller påloggingsinformasjon via tekstmelding. Eventuelle presserende varsler kan dessuten verifiseres direkte på nettkontoene dine eller via en offisiell telefonhjelpelinje.
• Unngå å bruke lenker eller kontaktinformasjon i meldingen. Unngå å bruke lenker eller kontaktinformasjon i meldinger som gjør deg ukomfortabel. Gå direkte til offisielle kontaktkanaler når du kan.
• Sjekk telefonnummeret. Telefonnumre som ser rare ut, som 4-sifrede, kan være bevis på e-post til tekst-tjenester. Dette er en av mange taktikker en svindler kan bruke for å skjule sitt ekte telefonnumer.
• Aldri oppbevar kredittkortnumre på telefonen din. Den beste måten å unngå at finansiell informasjon blir stjålet fra en digital lommebok er å aldri ha den der.
• Bruk flerfaktorautentisering (MFA). Et eksponert passord kan fortsatt være ubrukelig for en smishingangriper hvis kontoen som brytes inn på krever en andre "nøkkel" for verifisering. MFAs vanligste variant er tofaktorautentisering (2FA), som ofte bruker en tekstmeldingsverifiseringskode. Sterkere varianter som inkluderer å bruke en egen app for verifisering (som Google Authenticator) er tilgjengelige.
• Aldri oppgi et passord eller kontogjenopprettingskode via tekstmelding. Både passord- og tofaktorsautentiseringsgjenopprettingskoder (2FA) kan sette kontoen din i fare i feil hender. Aldri gi denne informasjonen til alle, og bruk den kun på offisielle sider.
• Last ned anti-skadelig programvareapp. Produkter som Kaspersky Internet Security for Android kan beskytte mot ondsinnede apper samt SMS-nettfiskingslenker selv.
• Rapporter alle SMS-nettfiskingsforsøk til passende myndigheter.

Husk at, som e-postnettfisking, så er smishing en lureforbrytelse — den avhenger av å lure offeret til å samarbeide ved å klikke på en lenke eller oppgi informasjon. Den enkleste beskyttelsen mot disse angrepene er å ikke gjøre noe i det hele tatt. Hvis du ikke svarer, kan ikke en ondsinnet tekst gjøre noe.

Hva gjør du hvis du blir offer for smishing

Smishing-angrep er smarte og kan allerede ha rammet deg, så du må en kriseplan på plass.

Fatt disse viktige tiltakene for å begrense skaden av et vellykket smishing-forsøk:

1. Rapporter det mistenkte angrepet til institusjoner som kan hjelpe.
2. Frys kreditten for å forhindre fremtidig eller pågående identitetstyveri.
3. Bytt alle passord og konto-PIN-koder der det er mulig.
4. Overvåk finanser, kreditt og ulike nettkontoer for merkelige påloggingssteder og andre aktiviteter.

Hvert av disse trinnene har betydelig vekt for din beskyttelse etter et smishing-angrep. Men å rapportere et angrep hjelper deg ikke bare med å ordne opp, men det forhindrer andre fra å bli rammet også.

Beslektede koblinger:

• Hva bør du gjøre hvis e-postkontoene dine blir hacket?
• Mobilsvindel – slik identifiserer du og beskytter deg mot det