Ny phishing breder sig: Kriminelle forsøger at lokke NemID-info fra dig med SMS

Modtager du en sms fra Nets, Skat eller anden offentlig myndighed, er der grund til at være skeptisk. Sund fornuft er det bedste våben mod smishing.

I mange år har det være almindeligt kendt, at hackere ved hjælp af phishingmails har forsøgt at tvinge sig adgang til folks computere for at høste personlige oplysninger, kreditkortoplysninger, placere ransomware og meget andet.

I takt med, at stort set alle går rundt med en smartphone på sig, er det nu i stigende grad blevet en yndet beskæftigelse for hackere at prøve at svindle folk med falske sms-beskeder.

»Set fra en hackers synspunkt er det et rigtigt godt sted at rette sit angreb, fordi vi i stigende grad tilgår personfølsomme oplysninger fra vores smartphones,« siger Jacob Herbst, der er CTO i Dubex.

Hos Dubex mener man, at der er flere grunde til, at smishingangreb først får alvor er taget til i løbet af de seneste par år. Her peger man blandt andet på, at pc-platforme generelt er mere sårbare end smartphones.

»På en pc-platform har man typisk langt flere programmer med langt flere sårbarheder, man som hacker kan angribe. Fra en hackers synspunkt er det derfor nemmere at lave et avanceret angreb, hvor man får placeret noget malware, der kan drive angrebet,« fortæller Jacob Herbst.

Men angrebene på smartphones bliver hyppigere, og der er forskel på, om brugeren benytter sig af en smartphone med Android eller iOS. Android er ifølge Jacob Herbst nemmere at bypasse af to grunde.

»Generelt set har der været lidt flere sårbarheder i Android, og så tillader Android i modsætning til iOS, at man installerer applikationer fra uautoriserede steder, mens iOS kun tillader Apples egen App Store,« siger han.

Læs også: Malware-sms på rigtig dansk blander sig med legitime Post Danmark-beskeder

Spambeskeder

Modsat angreb på pc-platforme, der typisk indeholder en eller anden form for malware, udfolder smishingangrebene sig typisk som en spambesked, hvor hackeren forsøger at lokke folk ind på en hjemmeside og taste deres NemID eller få folk til at affotografere deres NemID og sende det til en konto.

Typisk udgiver hackerne sig for at være fra en offentlig myndighed såsom Skat eller Nets. Men der er også eksempler på, at eksempelvis økonomimedarbejdere modtager en sms fra en person, der ligner deres økonomichef, og bliver bedt om at lave en decideret pengeoverførsel.

Disse spambeskeder er imidlertid svære at dæmme op for, i hvert fald i forhold til et almindeligt enterprise-mailsystem, der er bygget op med en lang række filtre og antispamsystemer.

»Teleudbyderne laver ikke spamfiltrering på sms'er, som man normalt gør for mails på en standard-mailserver. I praksis har vi nået et punkt, hvor den bedste måde at beskytte sig på er ved at bruge sin sunde fornuft – ligesom med en mail skal man være lidt kritisk over for de beskeder man modtager,« forklarer Jacob Herbst.

Teleindustrien er opmærksomme på det stigende problem og har taget de forholdsregler, den kan.

»Så snart vi opdager, at der er et angreb, får vi opdateret vores filtre. Derudover har vi etableret et netværk på tværs af operatørerne, så vi hurtigt kan dele de oplysninger, vi får,« forklarer Jakob Willer, der er direktør for Teleindustrien.

Læs også: Nets advarer mod smishing: Svar på denne sms, eller du får dit kort lukket

Angriber hvor vi mindst venter det

I Teleindustrien vil man naturligvis gerne bidrage til at beskytte sine kunder, men det er ifølge Jakob Willer svært at fange alt. Udfordringen ligger i at opdage angrebene.

»Problemet er, at der hele tiden kommer nye angreb. Vi ser på det med stor alvor, der bliver sorteret rigtig meget fra i vores filtre, men der er desværre ingen garanti for, at vi fanger det hele,« siger han.

Hvis man tænker lidt videre i de kriminelles baner, mener Jacob Herbst, at hackere hele tiden prøver at ramme os på de kanaler, hvor der er færrest filtre, og under vores naturlige forsvarsværker. Han ser derfor en stigende tendens til, at hackere også prøver at ramme os på sociale medier som Facebook og Twitter.

»Generelt skal man være opmærksom på, hvem der sender beskeden, og om den kommer i en kontekst, der giver mening. Eksempelvis ville vores bank aldrig sende os en sms med et link, men i stedet sende en sms med, at man har en ulæst besked i sin netbank,« slutter Jacob Herbst.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Vi skal slet ikke reagere på beskeder fra SKAT, Politi eller andre offentlige institutioner ?
Hvornår ender vi som i Polen, hvor vi heller ikke skal stoppe for dem, på grund af overfald.

Andrew Rump

Der er vi desværre næsten allerede!
Man skal være meget forsigtig med at stoppe f.eks. ved tilkørselsramper for at hjælpe "nødstedte", som "tilbyder" dig "guld", hvis du hjælper dem, hvorefter de stikker af med din bil eller kaster "guldet" ind og truende forlanger betaling for dit "køb".

Andrew Rump

I min naivitet troede jeg at telefonselskabet altid havde styr på hvem der ringede (ud over crackerne), men jeg har igennem tiden bl.a. oplevet en del "Micro$oft support" opkald, som telefonselskabet ikke kunne gøre noget ved!?!
Det samme gælder (nu) også bl.a. SMS, hvor det viser sig at SS7 slet ikke er beskyttet (godt nok)! Sikkerheden er så dårlig at SMS ikke kan bruges til bl.a. authentikering længere.
Hvorfor bliver det ikke forbedret?

Jakob Møller

Det er nemt nok at gennemskue at når URL'en ender på '.apk' (= android application package), så skal man holde sig væk.

De smarte angribere vil forsøge at lokke dig gennem en URL-shortener til deres download.

Desværre er der mange URL-shorteners, herunder bitly, fuldstændig ukritiske med hvad de sender folk videre til.

Selv hvis man påpeger over for dem at de sender folk videre til en suspekt download gør de ikke noget.

Det er jeg er ret forarget over.

Andrew Rump

Din URL virker ikke! :-D
Desværre er folk heller ikke særlig (læs: overhovedet ikke) kritiske, selvom system kommer med flere advarsler om at man ikke skal åbne op for at installere 3. part software, m.m.m.
De installerer bare det som der står på siden de skal! :-(

Thue Kristensen

udfolder smishingangrebene sig typisk som en spambesked, hvor hackeren forsøger at lokke folk ind på en hjemmeside og taste deres NemID

Brugeren gør jo ikke noget galt her. Der er jo ikke udstukket nogle retningslinjer for hvornår man må indtaste sin NemID-adgangskode. Så en bruger som følger alle retningslinjer, kan stadig få tømt sin bankkonto.

I andre sammenlignelige systemer kan man checke adressen i browserens adresselinje (e.g. skal være https://accounts.google.com for Google's single sign-on system). Så disse systemer giver en kryptologisk garanti (så længe brugeren følger instruktionerne), modsat NemID som har valgt at basere deres system på brugerens skeptiske mavefornemmelse.

Se https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndig...

Log ind eller Opret konto for at kommentere