Noen ferske eksempler på SMiShing

frontpicBegrepet phishing har blitt like dagligdags her i Norge som rømmegraut og busserull. En litt mindre kjent avart er SMiShing, som i praksis er SMS-meldinger som prøver å lure deg på samme måte som phishing. Avsenderen vil typisk utgi seg for å være en bedrift du er kjent med, og meldingen inneholder en eller annen lenke du skal trykke på. I dagens blogg har vi samlet et par aktuelle smishe-angrep som mange har mottatt den siste tiden.

Først av alt, SMiShing er ikke noe nytt, vi har sett eksempler på denne type angrep i over ti år. Det som gjør angrepet mer aktuelt i dag, er at de fleste telefoner nå kan åpne lenker som følger med SMS’er direkte, meldingene er skrevet på norsk og at telefoner i større grad kan bli utsatt for malware. Dette gjør oss litt mer sårbare, ettersom folk flest har større tillit til SMS-meldinger enn vanlig epost. I tillegg har de færreste av oss noe SPAM-filter for SMS/MMS-meldinger.

Eksempel #1

iphonebilder 2016-03-29 001Bildet til høyre viser en SMS-melding som tilsynelatende kommer fra Apple. Den er skrevet på nesten feilfri norsk, men det bør ringe en varselbjelle når avsendernummeret kommer fra Kambodsja (+855).

For å sjekke hvor lenken leder hen, har vi brukt en sikker linux-maskin som ikke lar seg så lett infisere (men vi antar at det blir registrert at vi bruker lenken i meldingen, som igjen kan føre til flere angrep mot telefonnummeret). Vi har tatt med noen skjermbilder fra nettleseren under her.

 

 

iphone3

Første side man kommer til, tilbyr deg å teste den nye iPhone 7 («this is not a joke»). Dette kan vi selvfølgelig ikke si nei til, og trykker OK.

iphone2

Deretter kommer man til en spørreundersøkelse man må gjennomføre for å få lov til å kjøpe en iPhone 6s til $1.

iphone

Etter undersøkelsen blir man bedt om å gi fra seg en del kontaktdata for å kunne kjøpe telefonen, som nå har fått en pris på $2. Videre steg er å gi fra seg kredittkortdata, og går du så langt, blir du selvfølgelig svindlet.

Eksempel #2

galaxyiphonebilder 2016-04-03 001Denne meldingen kommer også fra Kambodsja, helt uten skrivefeil til og med. Ved å klikke lenken kommer man til en side som etterspør epostadressen din og tilbyr deg medlemskap i et slags nettcasino. Selvfølgelig må du også betale hele 39 kroner for å få premien din (en Samsung Galaxy), og dermed har casinoet kredittkortdataene dine som de kan fortsette å trekke penger fra hvis du leser det som står med liten skrift. Dette blir fort en ganske kostbar affære, så hold deg unna!

 

Tips for å unngå SMiShing

  • Norskspråklige meldinger fra utenlandske nummer er generelt skumle. En av grunnene til at de sendes fra utlandet, er at det kan være vanskelig for de norske teleoperatørene å stenge slike ute.
  • Ikke ring eller send melding tilbake til slike nummer for å undersøke hva det er, du kan fort få en skyhøy utenlandstakst.
  • Forvent at smishe-angrep vil bli bedre over tid. I eksemplene på denne siden, ledet meldingene til lite troverdige web-sider, men det skal ikke så mye mer arbeid til for å lage noen norske sider som gjør at man går lettere på limpinnen.
  • Telefoner kan også bli infisert av malware ved å trykke på lenker i SMS-meldinger (les for eksempel om Mazar fra tidligere i år). Ikke stol på at telefonen er så mye tryggere enn en datamaskin.
  • En melding som kommer fra noen du kjenner, kan også være et angrep fra en infisert telefon. Vær skeptisk til uvanlige meldinger som kommer fra kjente (for eksempel om mora di vil at du skal besøke et russisk nettcasino).
  • SMS-meldinger som kommer fra nummer som ikke er mobiltelefonnummer kan være sendt via epost-til-SMS-tjenester. Slike meldinger er sjelden noe å stole på.
  • Dersom mange i din bedrift mottar slike smishe-meldinger, er det sannsynligvis noen som systematisk sender ut basert på kontaktdata funnet på Web-siden til bedriften. I så fall kan meldingene være skreddersydde for din bedrift, med for eksempel avsender fra en direktør e.l. (teknisk sett blir vel dette spear SMiShing). Send ut en advarsel til de ansatte (men ikke gjør det via SMS med lenke).

Ellers er de fleste tiltak mot vanlig phishing og vishing er også gyldige her. Se for eksempel NorSIS sine forholdsregler.