SMS-fiske – betydelse och definition
SMS-fiske är ett nätfiskeangrepp på cybersäkerheten som genomförs via mobila textmeddelanden.
Precis som i nätfiske luras offren att dela ut känslig information till en förklädd angripare. SMS-fiske kan understödjas med skadlig programvara eller bedrägliga webbplatser. Det förekommer på många plattformar för mobila textmeddelanden, inklusive kanaler som inte är till för SMS som databaserade mobila meddelandeappar.
Vad är SMS-fiske?
Precis som det låter kombineras termen "SMS" (short message services) med "nätfiske". En ytterligare definition är att det kategoriseras som en typ av social manipulation som förlitar sig på att exploatera mänskligt förtroende snarare är tekniska exploateringar.
När cyberbrottslingar "nätfiskar" skickar de bedrägliga e-postmeddelanden som försöker lura mottagaren att klicka på en skadlig länk. SMS-fiske använder helt enkelt textmeddelanden istället för e-post.
Dessa cyberbrottslingar är alltså ute efter att stjäla dina personuppgifter så att de kan använda dem till bedrägerier eller andra cyberbrott. Detta inbegriper vanligen att stjäla pengar, troligen dina, men ibland även ditt företags pengar.
Cyberbrottslingar använder ofta en av två metoder för att stjäla denna data:
- Skadlig programvara: URL-länken kan lura dig att ladda ner skadlig programvara — som installerar sig själv på din telefon. Denna skadliga SMS-programvara kan vara maskerad som en legitim app för att lura dig att skriva in konfidentiell information och skicka denna data till cyberbrottslingarna.
- Skadlig webbplats: länken i meddelandet kan leda till en falsk webbplats som ber dig att skriva in känsliga personuppgifter. Cyberkriminella använder specialgjorda webbplatser som designats att se ut som ryktbara webbplatser så att det ska vara lättare att stjäla din information.
SMS-fiskemeddelanden verkar ofta komma från din bank och efterfråga personlig eller finansiell information som ditt konto- eller betalkortsnummer. Om du tillhandahåller den informationen är det som att ge tjuvarna nycklarna till ditt banksaldo.
Eftersom fler och fler människor använder sina personliga smartphones till arbetet (en trend som kallas BYOD, eller "bring your own device") har SMS-fiske blivit ett företagshot såväl som ett hot för konsumenter. Så det borde inte komma som någon överraskning att SMS-fiske har blivit den ledande formen av skadliga textmeddelanden.
Cyberbrottslighet som riktar in sig på mobila enheter ökar, precis som användningen av mobila enheter. Förutom att SMS är det vanligaste vi gör med smartphones finns några andra faktorer som gör detta till ett synnerligen lömskt säkerhetshot. För att förklara måste vi gå igenom hur angrepp med SMS-fiske fungerar.
Hur fungerar SMS-fiske?
Bedrägeri och svindleri är kärnkomponenter för alla angrepp med SMS-fiske. Eftersom angriparen antar en identitet som du kanske litar på är det mer sannolikt att du kommer att falla för dennes förfrågan.
Principerna för social manipulation gör det möjligt för angripare att manipulera ett offers beslutsfattande. De drivande faktorerna i det här bedrägeriet är trefaldiga:
- Förtroende: genom att utge sig för att vara legitima individer och företag minskar cyberbrottslingarna sina måltavlors skepticism. SMS-meddelanden, som är en mer personlig kommunikationskanal, sänker även en persons försvar mot hot.
- Kontext: genom att använda en situation som kan vara relevant för måltavlorna får en angripare möjlighet att bygga upp en effektiv förklädnad. Meddelandet känns personligt, vilket hjälper till att undanröja misstankar om att det kan vara skräppost.
- Känslor: genom att spela en måltavlas känslor kan angriparen få denne att släppa sitt kritiska tänkande och uppmuntra till snabba åtgärder.
Med hjälp av dessa metoder skriver angriparna meddelanden som kan få en mottagare att agera.
Vanligtvis vill angriparna att mottagaren ska öppna en URL-länk inne i meddelandet, väl där leds denne till ett nätfiskeverktyg som uppmanar dem att avslöja sin privata information. Detta nätfiskeverktyg är ofta i form av en webbplats eller app som även den har en falsk identitet.
Målen väljs ut på många sätt men vanligen baseras det på deras tillhörighet till ett företag eller en regional plats. Anställda vid eller kunder till en specifik institution, abonnenter på mobila nätverk, universitetsstudenter och till och med boende inom ett visst område kan vara måltavlor.
En angripares förklädnad är vanligtvis kopplad till den institution de vill få tillgång till. Men det kan vara vilken maskering som helst som hjälper angriparen att kapa din identitet eller få din finansiella information.
Genom att använda en metod som kallas spoofing kan en angripare dölja sitt verkliga telefonnummer bakom ett lockbete. SMS-angripare kan även använda billiga förbetalda mobiltelefoner för att maskera angreppets ursprung ytterligare. Angriparna använder ofta e-post-till-SMS-tjänster som ett annat sätt att dölja dina nummer.
Steg för steg utför en angripare sin attack i några viktiga faser:
- Distribution av SMS:ets "bete" till måltavlorna.
- Kompromettering av offrets information via bedrägeri.
- Genomförande av den önskade stölden med offrets komprometterade information.
En angripares SMS-svindleri har lyckats när denne har använt din privata information till att begå den stöld som var målet. Detta mål kan inbegripa, men är inte begränsat till, att direkt stjäla från ett bankkonto, begå identitetsbedrägeri för att olagligen skaffa kreditkort eller läcka privat företagsdata.
Hur sprids SMS-fiske?
Som tidigare angetts levereras SMS-fiskeattacker genom både traditionella SMS-meddelanden och andra meddelandeappar. Men SMS-fiskeattacker sprids primärt oavbrutet och obemärkt på grund av sin bedrägliga natur.
SMS-bedrägerier fungerar så bra för att användarna har för stort förtroende för säkerheten i SMS-meddelanden.
De flesta känner till riskerna med e-postbedrägerier. Du har förmodligen fått lära dig att vara misstänksam mot generiska e-postmeddelanden som säger "Hej, kolla in den här länken". Om det inte finns något autentiskt personligt meddelande känns det som en varningsflagga för skräppostsvindleri.
När folk använder sina telefoner är de inte lika uppmärksamma. Många antar att deras smartphones är säkrare än datorer. Men smartphonesäkerheten har sina begränsningar och kan inte alltid skydda direkt mot SMS-fiske.
Oavsett vilka medel som används kräver dessa bedrägerier mycket lite förutom din godtrogenhet och lite brist på omdöme för att lyckas. Detta innebär att SMS-fiske kan drabba alla mobila enheter som har meddelandefunktion.
Även om Android-enheter är marknadsledande och ett idealiskt mål för skadliga SMS är iOS-enheter lika utsatta som måltavlor. Apples mobila iOS-teknik har bra rykte för sin säkerhet, men inget mobiloperativsystem kan i sig självt skydda dig mot attacker av typen nätfiske. En falsk känsla av säkerhet kan göra användarna särskilt sårbara, oavsett plattform.
En annan riskfaktor är att du använder din smartphone när du är i rörelse, ofta när du är distraherad och har bråttom. Detta innebär att det är troligare att din gard är nere och att du svarar utan att tänka när du får ett meddelande som ber om dina bankuppgifter eller att du ska lösa in en kupong.
Olika typer av SMS-fiskeattacker
Alla SMS-fiskeattack använder liknande metoder, även om presentationen skiljer sig markant. Angripare kan använda en stor mängd identiteter och premisser för att se till att SMS-attackerna är aktuella.
Tyvärr är det näst intill omöjligt att lista olika typer av SMS-fiske eftersom det finns ändlösa sätt att variera dessa attacker. Med hjälp av några etablerade bedrägeripremisser kan vi avslöja egenskaper som hjälper dig att upptäcka en SMS-attack innan du blir ett offer.
Här är några gemensamma premisser för SMS-fiske:
SMS-fiske med COVID-19
SMS-fiskebedrägerier med COVID-19 baseras på legitima hjälpprogram som tagits fram av myndigheter, sjukvården och finansiella organisationer för att vi ska återhämta oss från COVID-19-pandemin.
Angripare har använt dessa svindlerier för att manipulera offrens rädsla för sin hälsa och sin ekonomi för att begå bedrägeriet. Varningstecken är:
- Kontaktspårning som ber om känslig information (personnummer, kreditkortsnummer, osv.)
- Skattebaserad finansiell lättnad som stimulansbetalningar.
- Uppdateringar avseende allmänhetens hälsa.
- Begäran om att du ska delta i USA:s folkräkning.
SMS-fiske med finansiella tjänster
SMS-fiskeattacker med finansiella tjänster är maskerade som aviseringar från finansiella institutioner. Nästan alla använder bank- eller kreditkortstjänster, vilket gör oss mottagliga för både generiska och institutionsspecifika meddelanden. Lån och investeringar är vanliga premisser i den här kategorin.
En angripare utger sig för att vara en bank eller en annan finansiell institution som är en idealisk förklädnad för att begå finansiella bedrägerier. Innehållet i SMS-fiske med finansiella tjänster kan inkludera en brådskande förfrågan om att låsa upp ditt konto, bli tillfrågad att verifiera misstänkt kontoaktivitet med mera.
SMS-fiske med presenter
SMS-fiske med presenter ger löften om kostnadsfria tjänster eller produkter, ofta från ryktbara återförsäljare eller andra företag. Dessa kan vara tävlingar, shoppingbelöningar eller vilken typ av gratiserbjudande som helst. När en angripare späder på din upphetsning genom att antyda att något är "gratis" åsidosätts din logik så att du ska vidta åtgärder snabbare. Tecken på den här attacken kan inbegripa erbjudande under begränsad tid eller exklusivt utbud för att få ett gratis presentkort.
SMS-fiske med faktura eller orderbekräftelse
SMS-fiske med bekräftelse innehåller en falsk bekräftelse av ett nyligen gjort inköp eller en faktura för en tjänst. Det kan finnas en länk till en uppföljning för att manipulera din nyfikenhet eller uppmana till omedelbar handling för att utlösa rädsla för oönskade avgifter. Bevis på detta svindleri kan inbegripa strängar med orderbekräftelsetext eller avsaknad av ett företagsnamn.
SMS-fiske med kundtjänst
SMS-fiskeattacker med kundtjänst innebär att angripare utger sig för att vara ett betrott företags supportrepresentant som ska hjälpa dig att lösa ett problem. Teknik- och e-handelsföretag med många användare som Apple, Google och Amazon är effektiva förklädnader för angripare i detta svindleri.
Vanligen gör angriparen anspråk på ett det är något fel med ditt konto och ger dig sätt att lösa det. Begäran kan vara så enkel att använda en bedräglig inloggningssida medan mer komplexa fall kan be dig tillhandahålla en riktig återställningskod för kontot så att ditt lösenord återställs. Varningsflaggor för supportbaserat SMS-fiske inkluderar problem med fakturering, kontoåtkomst, ovanlig aktivitet eller att lösa ditt nyligen genomförda kundklagomål.
Exempel på SMS-fiske
Eftersom SMS är tillgängligt för nästan alla som har en mobiltelefon sker SMS-fiskeattacker över hela världen. Här kommer några exempel på SMS-fiske som du bör känna till.
Svindleri med tidig tillgång till Apple iPhone 12 — SMS-fiske med orderbekräftelse och presenter
I september 2020 dök en SMS-fiskekampanj upp som försökte lura folk att tillhandahålla kreditkortsuppgifter för att få en iPhone 12 gratis.
Svindleriet använder en orderbekräftelse som premiss, i detta textmeddelande påstås det att en paketleverans har skickats till en felaktig adress. URL-länken i SMS:et skickar måltavlan till ett nätfiskeverktyg som utger sig för att vara en chattbot från Apple. Verktyget guidar offret genom en process för att göra anspråk på den kostnadsfria iPhone 12 som en del av ett program för tidig åtkomst men som i slutänden ber om kreditkortsuppgifter för att täcka en liten fraktkostnad.
Bedrägerier med USPS och FedEx — SMS-fiske med orderbekräftelse och presenter
I September 2020 börjar rapporter om ett SMS-bedrägeri med en falsk USPS- och FedEx-paketleverans cirkulera. Denna SMS-fiskeattack kan försöka stjäla dina kontouppgifter för olika tjänster eller din kreditkortsinformation.
Meddelandena började med ett påstående om missad eller felaktig paketleverans och hade en länk till en webbplats med nätfiskeverktyg som låtsades vara en FedEx- eller USPS-enkät med en present. Även om premisserna för dessa nätfiskewebbplatser kan variera har många identifierats som försök att samla in inloggningar till tjänster som Google.
Svindleri med obligatoriskt COVID-19-test online — SMS-fiske med COVID-19
I april 2020 fick Better Business Bureau en ökning av rapporter om personer som utgav sig för att vara från amerikanska myndigheter hade skickat SMS där de bad människor att ta obligatoriska COVID-19-test via en länkad webbplats.
Givetvis var det många som omedelbart upptäckte detta svindleri eftersom det inte finns några onlinetest för COVID-19. Men premissen för denna SMS-fiskeattack är att anspela på folks rädsla för pandemin, vilket är en effektiv metod för att göra människor till offer.
Så här förhindrar man SMS-fiske
Den goda nyheten är att de potentiella konsekvenserna av dessa attacker är lätta att skydda sig mot. Du kan se till att vara säker genom att inte göra något alls. Attackerna kan bara skada dig om du sväljer betet.
Med detta sagt ska man vara medveten om att det är fullt lagligt för återförsäljare och institutioner att kontakta dig via SMS. Man ska inte ignorera alla meddelanden, men du ska agera på ett säkert sätt.
Det finns några saker att ha i åtanke som hjälper till att skydda dig mot dessa attacker.
- Svara inte. Även uppmaningar om att svara med "SLUTA" för att sluta prenumerera på något kan vara ett trick för att identifiera aktiva telefonnummer. Angripare förlitar sig på att din nyfikenhet eller oro över situationen tar över, men du kan vägra delta.
- Lugna ner dig om ett meddelande är brådskande. Du ska ta dig an brådskande kontouppdateringar och erbjudanden med begränsad tid som varningstecken för möjliga SMS-fisken. Förbli skeptisk och gå vidare med försiktighet.
- Ring din bank eller återförsäljare direkt om du känner dig tveksam. Legitima institutioner ber inte om kontouppdateringar eller inloggningsinformation via SMS. Dessutom går det att verifiera brådskande aviseringar direkt på dina onlinekonton eller via en officiell hjälplinje via telefon.
- Undvik att använda länkar eller kontaktinformation i meddelanden. Undvik att använda länkar eller kontaktinformation i meddelanden som gör dig obekväm. Gå direkt till officiella kontaktkanaler när du kan.
- Kontrollera telefonnumret. Telefonnummer som ser konstiga ut, såsom sådana med 4 siffror, kan vara bevis för att det är tjänster för e-post-till-SMS. Detta är en av många taktiker som en svindlare kan använda för att maskera sina riktiga telefonnummer.
- Välj att aldrig ha ditt kreditkortsnummer i din telefon. Det bästa sättet från att förhindra att finansiell information blir stulen från en digital plånbok är att aldrig lägga in den där.
- Använd flerfaktorsautentisering (MFA). Ett exponerat lösenord kan vara värdelöst för en SMS-fiskare om kontot som knäckts kräver en andra "nyckel" som verifiering. Den vanligaste varianten av MFA är tvåfaktorsautentisering (2FA) som ofta använder en verifieringskod via SMS. Starkare varianter använder en dedikerad app för verifiering (som Google Authenticator).
- Tillhandahåll aldrig ett lösenord eller kontoåterställningskod via SMS. Både lösenord och tvåfaktorsautentisering (2FA) via SMS med återställningskoder kan kompromettera ditt konto i fel händer. Ge aldrig den här informationen till någon och använd den bara på officiella webbplatser.
- Ladda ner en app mot skadlig programvara. Produkter som Kaspersky Internet Security for Android kan skydda mot skadliga appar, såväl som mot SMS-fiskelänkarna.
- Rapportera alla SMS-fiskeförsök till berörda myndigheter.
Kom ihåg att, precis som nätfiske med e-post, är SMS-fiske ett brott, det förlitar sig på att lura offret till att samarbeta genom att klicka på en länk eller tillhandahålla information. Det enklaste skyddet mot dessa attacker är att inte göra något alls. Om du inte svarar kan inte det skadliga SMS:et göra någonting.
Vad ska man göra om man blir offer för SMS-fiske
SMS-fiskeattacker är luriga och du kan redan ha fallit offer, så du behöver ha en återställningsplan i beredskap.
Vidta dessa viktiga åtgärder för att begränsa skadan vid ett lyckat SMS-fiskeförsök:
- Rapportera den misstänkta attacken till alla institutioner som kan hjälpa dig.
- Frys din kredit för att förhindra eventuella framtida eller pågående identitetsbedrägerier.
- Byt ut alla lösenord och PIN-koder till konton där det är möjligt.
- Övervaka dina finanser, krediter och diverse andra onlinekonton för underliga inloggningsplatser och andra aktiviteter.
Vart och ett av dessa steg har avgörande vikt för ditt skydd efter en SMS-fiskeattack. Kom ihåg, att rapportera en attack hjälper inte bara dig själv att återhämta dig utan förhindrar även att andra faller offer.
Relaterade länkar:
- Är elektroniska överföringar säkra?
- Vad du ska göra om ditt e-postkonto hackas?
- Coronavirusbedrägerier
- Mobilbedrägerier: så identifierar du dem och skyddar dig själv
Rekommenderade produkter:
