Svindlere er i stor stil begyndt at gå efter folks mobiltelefoner i forsøget på at lænse danskernes netbanker. Og ofte har de it-kriminelle held med deres foretagende. Det fremgår af tal fra Finansrådet.
Alene i 3. kvartal af 2016 var der 588 forsøg på indbrud i netbanken i phishing-kategorien. Af disse angreb har 126 resulteret i et økonomisk tab.
Tallene dækker over sager, hvor netbank-kunder på den ene eller den anden måde bliver overtalt til at afgive deres brugernavn, kodeord og nøglekort-koder til it-kriminelle.
Sammenlignet med årets første fjerdedel er der tale om en markant stigning. I første kvartal var der 169 forsøg på indbrud og 26 sager, hvor penge forsvandt.
Kontorchef for infrastrukturafdelingen i Finansrådet Torben Nielsen forklarer stigningen i angreb med, at de it-kriminelle i høj grad er begyndt at gå efter folks mobiltelefoner.
Det foregår typisk via phishing-forsøg i sms-form, benævnt smishing.
Over halvdelen af de 588 angreb i tredje kvartal 2016 var rettet mod folks mobiltelefoner.
»I bund og grund rammer de på en mobil platform, hvor folk ofte er meget loyale. Hvis du står i supermarkedet, og der kommer en sms ind, så føler folk at de skal reagere på det her og nu. Så er der måske et link om, at Nemid udløber. Og så trykker folk desværre på det.«
Tallene viser, at der generelt er sket en voldsom stigning i antallet af sager, hvor netbank-kunder på den ene eller den anden måde bliver overtalt til at afgive deres brugernavn, kodeord og nøglekort-koder til it-kriminelle.
Også i tabte kroner og øre er der sket en voldsom stigning. I første kvartal blev tabet opgjort til 396.511 kroner, mens beløbet for tredje kvartal 2016 var på 1.892.085 kroner. I 2016 har Finansrådet udvidet sin statistik over netbankindbrud, så tallene nu også omfatter blandt andet phishing-forsøg. Finansrådet skelner mellem indbrud i netbanken gennem malware eller hacking og tilfælde, hvor gerningsmænd gennem phishing eller social engineering tiltusker sig adgang. Netbanksindbrud (Fraud, Malware) Social eng. (Phishing m.v) Kilde: FinansrådetNy opgørelse fra Finansrådet
Antal registrerede forsøg på netbankindbrud omfatter sager, hvor der er sket indbrud eksempelvis ved installation af ”hacker” programmer på brugerens PC, mobil eller tablet og fremgangsmåden kan være kombineret med bedrageri.
Antal registrerede forsøg på social engineering omfatter sager hvor brugeren ”overtales til” at afgive eller indtaste oplysninger (id, password og nøglekortkoder) til de it-kriminelle på baggrund af falske mails, SMS eller telefonopkald. Disse udgiver sig ud for at komme fra eksempelvis en et velrenommeret selskab, en myndighed eller en ven.
Problemet er på Android
Torben Nielsen fortæller, at et angreb-scenarie i denne sammenhæng eksempelvis kan være, at en bruger modtager en sms med et link og bliver narret til at installere en tilsyneladende tilforladelig app.
App'en kan eksempelvis give sig ud for at være en tracking app til at følge sin pakke fra et postselskab, men i virkeligheden bliver en eller anden form for ondsindet software installeret på enheden.
Malwaren, som bliver installeret i denne sammenhæng, lægger et lag ind i brugergrænsefladen på mobiltelefonen, som ligner brugerens netbank, hvorefter login-oplysningerne bliver høstet, når brugeren forsøger at tilgå netbanken, oplyser Torben Nielsen.
En andet scenarie kunne ifølge kontorchefen være at brugere lokkes over på et traditionelt phishing-site hvor de narres til at afgive deres brugerinformationer, samt uploade en kopi af deres nøglekort
Når Finansrådet har valgt at placere disse angreb i phishing-kategorien, skyldes det, at det indledende angreb sker i form af smishing, altså phishing via sms.
Det er særligt telefoner med Googles Android-styresystem, der er mål for smishing-forsøg som førnævnte.
»Smishing er ikke effektivt på IOS (Apples styresystem) endnu. Det er i virkeligheden på Android, vi ser den helt store stigning,« siger Torben Nielsen.
Han forklarer de it-kriminelles forkærlighed for Android med, at det er langt lettere at installere malware-befængte apps på Android uden om Google, end det er at installere ondsindede apps uden om Apple på en iPhone.
»De kan ikke installeres, med mindre installationen foregår gennem Apples officielle og kontrollerede App Store. Ellers skal man jailbreake sin telefon,« uddyber Torben Nielsen i en opfølgende mail.
Forbrugerne er dækket ind
Trods stigningen i angreb i phishing-kategorien mod danskernes netbanker, maner Torben Nielsen til besindighed.
»Vores tabstal skal ses i forhold til den store verden, hvor flere lande omkring os har betydelige store tab, hvorimod det for danske bankers vedkommende ikke er nogle store tal. Og heldigvis er det jo sådan, at forbrugerne er dækket ind, så de skal have optrådt groft uagtsomt, før bankerne begynder at kræve selvrisiko,« siger han.
Udover de mobilrettede angreb, har Finansrådet har også observeret stigning i en anden type angreb, som er placeret i kategorien 'Social engineering/phishing' Det drejer sig om phishing via taleopkald, benævnt vishing (voice phishing red.). 73 ud af de 588 forsøg på angreb i tredje kvartal 2016 har Finansrådet opgjort til at være vishing-angreb.
Det vil sige angreb, hvor it-kriminelle ringer et offer op og udgiver sig for at være fra et kendt firma. Herefter forsøger de kriminelle at franarre ofret oplysninger som brugernavn og kodeord.
Ny statistik
Når udviklingen i forhold til angreb mod Android-telefoner overhovedet er kommer frem hænger det sammen med, at Finansrådet er begyndt at opgøre netbank-angreb på en ny måde.
Tidligere indeholdt statistikken fra Finansrådet primært oplysninger om netbank-angreb som følge af, at it-kriminelle havde havde haft held til at inficere et offers computer med malware.
Men i 2016 har Finansrådet udvidet statistikken med oplysninger om social engineering-angreb, herunder forskellige former for phishing-angreb. Altså hvor it-kriminelle via mails, sms'er og andet forsøger at lokke følsomme oplysninger ud af ofrene.
Årsagen til at statistikken er udvidet, begrunder Finansrådet med, at der de senere år er sket en ændring i kriminalitetsbilledet, hvor bankerne har oplevet en stigning i antallet af svindelsager baseret på phishing af NemID oplysninger.
Mens der ikke har været nogen videre udvikling i antallet af angreb via malware i den traditionelle statistik over netbank-indbrud – der var seks af disse forsøg i tredje kvartal 2016 - så forholder det sig altså anderledes i forhold til statistikken over phishing-angreb.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
