Malware-sms på rigtig dansk blander sig med legitime Post Danmark-beskeder

En uhensigtsmæssighed i sms-systemet gør det muligt for kriminelle at lægge tvivlsomme phishing-beskeder sammen med legitime sms'er fra Post Danmark.

Post Danmark advarer på virksomhedens hjemmeside mod en fup-sms, der er i omløb, og som ser ud til at komme fra PostNord eller Post Danmark. Det gør den dog ikke.

Engang lød det generelle råd fra flere danske myndigheder, at phishing var noget, borgerne kunne opdage, fordi beskederne, der forsøger at narre informationer fra folk under dække af at være fra legitime afsendere, var skrevet på dårligt eller maskinoversat dansk.

Dette råd viser sig - ikke helt uventet - ikke at være eviggyldigt. I hvert fald er sproget ikke smækfyldt med fejl i den sms, der lige nu florerer på danske telefoner og ser ud til at komme fra Post Danmark.

»Din pakke fra PostNord er tilgængelig til afhentning. Følg linket for at se alle oplysninger om din forsendelse,« står der.

Og så er der et link, der på det billede, Post Danmark har lagt op, ser ud til at gå direkte til en installationsfil til Android-styresystemet under et domæne, der er lavet, så det ligner det officielle Post Danmark-domæne. Det er imidlertid ikke det officielle domæne, og det er en ualmindelig dårlig idé at hente og installere filen.

Først er der en legitim sms fra Post Danmark med besked om en pakke, og så kommer den falske sms ind i samme tråd med et link til en ondsindet Android-fil. Kilde: Post Danmark

Ifølge partner i det danske sikkerhedsforetagende CSIS Jan Kaastrup er der tale om kriminelle, der forsøger at snige det trælse stykke malware, MazarBot, ind på danskernes mobiltelefoner.
CSIS har i relation til en anden sms-kampagne i et blogindlæg fortalt, at softwaren henter en Tor-applikation ned på telefonen. Herefter er den blandt andet i stand til at sende sms'er til overtakserede numre, opsamle sms'er i relation til at omgå 2-faktor-autentifikation og en masse andet skidt.

»Med de muligheder, der åbnes her, er der stor risiko for mange former for misbrug,« har CSIS tidligere skrevet i relation til MazarBot.

Jan Kaastrup fortæller, at phishing via sms kaldes smishing.

»Smishing er helt klart blevet et stigende problem,« siger han.

Samme tråd

En af grundene til, at denne form for angreb åbenbart er populær blandt kriminelle, kunne være, at mens flere borgere er blevet opmærksomme på, at ikke alle mails skal tages for gode varer, så er tilliden måske større til sms’er. Og her er det tilmed muligt at camouflere de lyssky beskeder på en anden måde end med mails.

I tilfældet med Post Danmark så har bagmændene sat afsendernavnet på sms'en, så det er sammenfaldende med det navn, Post Danmark normalt anvender, når virksomhedens sender sms'er om, at 'nu kan pakken afhentes' etc. Og det bevirker, at sms'en - alt afhængig af app og telefon - bliver lagt ind i samme beskedtråd som de foregående, legitime Post Danmark-sms'er. Og dermed optræder bandit-beskeden altså i en kontekst, hvor brugeren er vant til, at der foregår legitim kommunikation.

»Sms'en lægger sig ind i modtagerens eksisterende sms-tråd fra Post Danmark og er dermed endnu sværere at afsløre, men der er altså tale om en fup-sms, og den er ikke afsendt af PostNord eller Post Danmark,« bemærker Post Danmark i en meddelelse på sin egen hjemmeside om emnet.

Ikke første gang

En anden virksomhed, der også døjer med smishing, og som også anvender sms-kommunikation med kunderne, er Nets. Og også her er det hændt, at svindel-sms'er lægger sig sammen med de legitime sms'er på folks telefoner. (Se billede til højre.)

Også Nets er blevet misbrugt som afsender i forbindelse med en smishing-kampagne. Her er der først to legitime beskeder og så to fup-beskeder i samme tråd på telefonen.

Kommunikationskonsulent Ulrik Marschall medgiver, at det kan være vanskeligt at skelne mellem, hvad der er god- og ondartet kommunikation. Han opfordrer i den forbindelse til at se på konteksten for, når en sms bliver modtaget. Altså giver det mening at modtage beskeden i forhold til andre handlinger eller ej.

»Den verden, vi befinder os i nu, stiller større krav til alle - både udbydere og også brugere,« siger han.

Åbent datafelt

Når det overhovedet kan lade sig gøre for tilfældige tredjeparter at skrive 'Nets', 'Post Danmark', 'Taxa' eller andre navne ind som afsender i sådanne beskeder, så skyldes det ifølge direktør i konsulentvirksomheden Netplan, Torben Rune, at der er tale om et datafelt, som enhver i princippet kan udfylde.

»Man kan normalt ikke sende sådan nogle beskeder fra en almindelig mobiltelefon, men der findes et hav af netværkstjenester på internettet, som kan gøre det.«

Oprindeligt var det meningen, fortæller Torben Rune, at operatører kunne udfylde feltet på vegne af abonnenter, men i dag kan enhver i princippet udfylde feltet, som mobiltelefoner bruger til at gruppere beskeder efter.

»Mange år efter står vi så med nogle systemer, hvor man har åbnet for, at tredjepart - uden telefoner - kan udfylde de felter. Og det er derfra, balladen kommer.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
Jens Jönsson

Når det overhovedet kan lade sig gøre for tilfældige tredjeparter, at skrive 'Nets', 'Post Danmark', 'Taxa' eller andre navne ind som afsender i sådanne beskeder, så skyldes det ifølge direktør i konsulentvirksomheden Netplan, Torben Rune, at der er tale om et datafelt, som enhver i princippet kan udfylde.

Oprindeligt var det meningen, fortæller Torben Rune, at operatører kunne udfylde feltet på vegne af abonnenter, men i dag kan enhver i princippet udfylde feltet, som mobiltelefoner bruger til at grupperer beskeder efter.

Operatørerne bør lukke det hul.....

Lasse Mølgaard

Nu er det langt tid siden jeg sidst har kodet SMSer på hexadecimalt niveau, men så vidt jeg husker er det nemt at udgive sig for at være en anden.

SMS protokollen tillader at man sætter afsenderadressen til at være en alphanumerisk tekststreng.

Mere teknisk er det "type of address of senders number", der skal have værdien "D0". Derefter følger kodningen af afsenderadressen som en GSM 7 bit tekststreng.

Så hvis i vil prøve at lukke hullet med at udgive sig for være en anden, er i nød til at skrive SMS protokollen helt om.

Simon Mikkelsen

Vil der ikke altid kunne forekomme situationer, hvor der vil være stærke hints til at nogen er en anden end de giver sig ud for? Gælder det ikke om at uddanne folk?

Det ville nok hjælpe hvis samtlige operatører tog initiativ til at bortfiltrere SMSer med udvalgte tekststrenge (POST, NETS ol.) eller adressetyper.

Nå, jeg må smutte. Selvom jeg bruger Linux ringer Microsoft Support til mig...

Dave Pencroof

Hvis vi kikker på linket i den falske Post Danmark sms er det jo klart som dagen at (for folk som er interesserede(nerds)) der er tale om en installationsfil til androide linket slutter på "p.apk" !
ALT hvad vi skal gøre er at tvinge minimum 95 % af danmarks befolkning til at lære at læse indenad og ikke bare gå efter billedgenkendelse og at lægge to og to sammen "har jeg fasktisk bestilt en pakke og tilmed fra X evt check med din partner har denne bestilt i dit navn !
Men nej mennesker er og bliver nogle tåber der absolut vil tages ved næsen samtidigt med at de siger at det her sker ALDRIG for mig !
Jeg ved ikke med sikkerhed om det stadigt gælder men tidligere fik man altid at vide at "UVIDENHED ER INGEN UNDSKYLDNING" !
det er squ ikke svært at sikre sig bare lidt "hvis du gider" !

Henning Hansen

Det burde overhovedet ikke være tilladt med overtakserede numre - telefonselskaberne optræder som hælere, når de formidler opkrævning af ulovlige fup-services på den måde, og der burde være regler svarende til købeloven for internethandel, som sikrer brugerne mod misbrug.

Bent Jensen

Ikke hvis man venter en pakke. Postdanmark har vendet os til at de laver om i posttider og ekspeditions måder sådan efter forgodt befinden. Samt bagefter spamer en til med mail, om at bedømme en på Trustlort.

Fik selv en, med den blev sendt til min PC-er(Mighty Tekst), her kunne jeg se at det var et app link. Derfor var jeg ikke bange for at følge linket på min PC, her advaret chorme mig mod angreb. Men det var ikke sikkert det var sket på en telefon. Man ville nok ikke kunne installeret det, hvis ikke man have godkendt og åbnet for app fra 3part.

Så nej du kan ikke lære folk til at genkende dette, det ligner efterhånden det rigtige, og hvis det også kommer fra en afsender hvor du før har fået besked om afhentning, så er paraderne lave.

Her er link har ændret extension, brug det ikke fra telefonen :-)

http://postdanmark.online/post.apk_SLUK

Her er teksten
"Din pakke fra PostNord er tilgængelig til afhentning. Følg linket for at se alle oplysninger om din forsendelse. "

Bent Jensen

Nu er det snart hele Danmarks befolkning som er på Internetet, nogen tvunget der over på grund af Nemid og andre offelige ydelser. Prøv at søge SU eller flytte.

Derfor er der også tåber, udvidne, børn, ældre og sågar rigtige gammeldags åndsvage.

SÅ når de ikke kan være sikkert på nettet, så er det på grund af Udviklere, programører, og firmaer som ikke laver deres OS og aplicationer gode og sikkert nok. Eller som med antivirus eller teleselvskaberne direkte tjener penge på at deres egne eller andres systemer ikke er udvilket og testet så de er sikke og robuste nok til at være på nettet.

HINT man skal ikke kunne få instalere et program der overtager ens PC ved bare at besøge en hjemmeside. Eller modtage en SMS, Mail eller telefon opkald unden at kunne se afsender og denne også var det som han gav sig ud for. Når det er ikke er muligt, så er det de personer som tror de er så dytige og kloge, som har udviklet nogen systemer som ihvert fald ikke er det.

Richard Bundgaard

Man kunne jo lave et dns lignende system hvor sms klienten kunne kontrollere afsenderen. Advare hvis afsenderen ikke havde oprettet en spf record (teleselskabets ansvar forståes), og blokere hvis nummer og navn ikke hænger sammen.

Måske lidt omfattende, men dog kendt teknologi.

Dave Pencroof

Bent Jensen Sikkerhed intelligens og demokrati er IKKE modsætninger (jeg er også med i diskussionen "Danskernes blinde tillid til hinanden giver usikre systemer")
og disse diskussioner høre egentligt sammen for der er tale om at vi danskere ser igennem fingre med stort set hvad som helst sådan bare fordi og vil helst ikke "overbebyrdes" med viden om andet end det absolut allermest nødvendige for lille mig !
Faktisk er det ikke muligt at være et fuldgyldigt medlem af virkeligheden mm du seriøst forsøger at sætte dig ind i hvordan tingene hænger sammen og prøver at tænke på konsekvensen ved det ene eller det andet !
Den slaphed/ligegyldighed/regel tilsidesættelse er jo netop med til at :
regeringen kan gøre som det passer dem (for jeg har ikke noget at skjule (det næste er overvågning i hjemmet)) FORDI VI KAN !
de kriminelle har frit spil (for de færreste vil indrømme at være taget ved næsen)
firmaer kan tappe os for hvad som helst for at kunne sælge "bedre" reklamer
diktatorer kan slå dissidenter ihjel på åben gade uden konsekvens
I nægter at tage ansvar og sige "dette kan også ske for mig så jeg vil se mig for"

Tag jer sammen og deltag vis interesse tag stilling !

BTW Bent Jensen du har min fulde sympati angående Trustpilot (it sucks) og samtidigt hvis ikke Postdanmark får at vide hvad de gør rigtigt eller forkert hvordan helvede vil du så have at de finder ud af hvad de skal ændre ved eller holde fast i ?
uden indput fra os brugere bliver det IKKE bedre !

Dave Pencroof

Bent Jensen
Lad være med at inddrage dem der oprigtigt ikke er i stand til at vide børn/evnesvage/gamle disse skal i høj grad beskyttes efter bedste evne !
iflg div udsendelser er det ikke mere de gl der snydes mest men dem der partou vil købe alt langt billigere end det faktisk er at producere på div suspekte sider (har INTET til overs for disse mennesker de skal snydes uden mulighed for erstatning til de lære at bruge hjernen)
Alle SKAL lære igen at "UVIDENHED ER IKKE EN UNDSKYLDNING" brug dine evner TÆNK se dig for vær opmærksom

Hjernen er Danmarks eneste råstof BRUG DEN !

Bent Jensen

JO Systemerne findes hvis det er tænkt klog over tingene. Min mors skal hvis have en chrome book næste gang.

Synes mere det er din instilling til problemmerne der er problemet. Man burde forvente når man køber en PC med WiFI eller LAN og en browser, at den kan gå på nettet uden problemmer.
Som at min Intelligente EL-Måler eller Bil også er sikkert, og hvis ikke så er det producentens problem. Lige som Net burde have fået nogen dask med en vådavis, indholden en bordplade. Deres tåbelige valg var ikke betalt af PET, men blev fortaget af uvidenhed, nemhed, tåbelighed og baseret på meget lidt indsigt. Så du skal ikke peje fingere af brugerne og deres mangler, eller som du kalder det uvidenhed, det tilkommer altsammen nets i det her tilfælde
Når der om nogen år kommer dimser i ALT, med IoT så bliver det problem være, vil du så påstå at det er forbrugens problem at hans støvsuger og vaskemaskine ikke er opdateret.
Løsning er få software ind under produktansvarloven,. og udvide denne markant. Med meget store bøder og fængsel straffe i grove tilfælde.

Kjeld Flarup Christensen

Det burde overhovedet ikke være tilladt med overtakserede numre - telefonselskaberne optræder som hælere, når de formidler opkrævning af ulovlige fup-services på den måde, og der burde være regler svarende til købeloven for internethandel, som sikrer brugerne mod misbrug.


Det har jeg faktisk flere gange pointeret overfor TDC. Problemet er at de internationale numre går via transit, så det er svært at forhandle noget igennem der.
Til gengæld så er de blevet dygtige til at lukke for svindelnumrene.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017