Udtrykkene vishing og smishing kan lyde lidt sjove, når man først hører dem, men de er alvorlige former for cyberkriminalitet, og er en form for phishing der udføres via telefonopkald og sms beskeder. Phishing involverer cyberkriminelle, der går efter folk via e-mail, sms'er og telefonopkald, ved at udgive sig for at være legitime institutioner, for at lokke privatpersoner til at dele deres personlige oplysninger. I dette blogindlæg vil vi forklare, hvordan smishing og vishing virker, hvordan man identificerer tegnene på dem, reducerer risikoen for angreb og hvad man skal gøre, hvis man bliver et offer. Vi gennemgår først det du skal vide om vishing, og dykker så ned i smishing.
Indholdsfortegnelse:
Scam-beskeder er den nye normal
Ofcom-rapporten afslører, at 71% af de adspurgte britiske voksne i 2000 havde modtaget en fup-sms i løbet af de sidste tre måneder, mens 44% modtog et telefonopkald med en optaget besked, og 41% blev mål for et live telefonopkald fra en svindler. Rapporten så også, at fastnetopkald fortsatte med at være en trussel mod ældre mennesker, med 61% af de adspurgte personer over 75 som rapporterede om, at de havde modtaget et potentielt fupopkald.
Hvad er vishing?
Vishing er en form for cyberkriminalitet, hvor kriminelle stjæler personlige oplysninger via telefonopkald - det er også kendt som telefon-phishing. It-kriminelle ringer til deres ofre og overbeviser dem om at dele deres personlige oplysninger, såsom kreditkortoplysninger, adgangskoder og adresser. Nogle cyberkriminelle bruger et hårdt og overbevisende sprog, og andre lader som, at de hjælper offeret med at undgå kriminelle anklager.
En anden almindelig taktik er at indtale en truende besked på målets telefonsvarer, der beder offeret om at ringe tilbage med det samme, da de ellers risikerer at blive arresteret, få deres bankkonti spærret, eller værre.
Hvordan virker vishing?
Der er flere trin til et succesfuldt vishing-angreb. Det første trin er at tilegne sig offerets telefonnummer. Det gøres typisk ved at sende en phishing-e-mail, hvor de beder offeret om at svare med deres telefonnummer, eller ved at bruge specialiseret software, som finder telefonnumre ud fra et områdenummer. Hvis phishing-angrebet lykkes, vinder de offerets tillid, og offeret forventer et opkald.
I dette tilfælde er det usandsynligt, at offeret har mistanke om et angreb. Når de it-kriminelle taler med offeret i telefonen, vil de forsøge at overbevise dem om at afsløre personlige oplysninger, såsom deres bankkonto. Angriberne lykkedes i disse situationer ved at appellere til deres ofre gennem tillid og frygt.
Eksempler på vishing-angreb
Der er flere forskellige typer af vishing-angreb. Her er nogle af de mest almindelige typer, som du skal være opmærksom på.
Udgiver sig for at være din bank
Vishing-angribere kan udgive sig for at være din bank eller dit kreditkortselskab. Mens de udgiver sig for at være bankansatte, kan cyberkriminelle fortælle offeret, at deres konto er truet, og at de er nødt til at foretage betalinger til en "sikker konto". De beder måske om dine netbankoplysninger, så de selv kan få adgang til din konto og foretage betalinger til deres egne konti. De cyberkriminelle kan også bede dig om at downloade skærmdelingssoftware, så de kan se eller kontrollere din computer. Det kan gøre det nemmere at tage kontrol over din konto.
Det er vigtigt at huske, at institutioner såsom banker ofte allerede har dit telefonnummer i deres optegnelser, så hvis du får en e-mail fra dem, der beder om dit telefonnummer, er det sandsynligvis ikke legitimt. Dertil benytter samtlige danske banker interne og sikre kommunikationskanaler, hvis de skal i skriftlig kontakt med deres kunder. Det kan være igennem deres egne sikre mail systemer via Net- eller mobilbank, eller via E-boks.
Svindel med teknisk support
Teknisk support-svindlere udgiver sig for at være en computertekniker fra et velkendt selskab. De ringer til deres offer for at lave en rapport om mistænkelig aktivitet på ofrets konto, og beder dem om, at bekræfte deres kontooplysninger. Under opkaldet beder de om ofrenes e-mail-adresse og fortæller offeret, at de vil modtage en e-mail med et link til at downloade softwaren for at undgå, at deres konto bliver kompromitteret - men istedet installerer ofret ubevidst malware på deres computer.
Den anden typiske taktik, som teknisk support-svindlere bruger, er at fortælle ofrene, at de har opdaget et problem med offerets computer. Svindlere beder derefter deres ofre om at give dem fjernadgang til deres computer og foregiver at køre en diagnostisk test. Derefter forsøger de, at få offeret til at betale for at løse et problem, der slet ikke eksisterer.
Svindelnummer med Skat
Brugen af svindelnumre med Skat er en lukrativ måde for angribere at indsamleoplysninger fra intetanende ofre på. Denne type svindelnummer involverer generelt en forudindtalt talebesked, der forklarer et problem med offerets årsopgørelse/oplysningsskema hos Skat. Dette efterfølges af en advarsel om, at hvis du undlader at ringe tilbage, vil der blive udstedt en arrestordre på din anholdelse. Når offeret ringer tilbage til svindleren, opfordres de til at dele finansielle oplysninger.
Alternativt kan offeret blive bedt om at følge instrukser og klikke på et link, som angriberen har sendt til offeret via e-mail eller sms besked.
Sådan reducerer man risikoen for vishing-angreb
Det er vigtigt at enkeltpersoner og virksomheder ved, hvordan man genkender tegn på vishing, og derved reducerer risikoen for disse typer angreb. Her er nogle ting man skal huske på, når man sidder med et potentielt vishing-angreb:
- Del aldrig personlige oplysninger over telefonen
- Vær opmærksom på det sprog, der bruges af den der ringer op. Vær på vagt over for enhver art af eventuelle trusler, eller forhastede anmodninger
- Stil altid spørgsmål. Bed om beviser, hvis de f.eks. forsøger at sælge dig noget. Hvis den der ringer, nægter at bekræfte sin identitet, bør du lægge på
- Svar ikke på e-mails eller beskeder, der beder om dit telefonnummer - dette er normalt det første skridt i et målrettet vishing-angreb
Hvad er smishing?
Det kaldes for Smishing, når cyberkriminelle forsøger at narre dig til at dele personfølsommme oplysninger via sms-beskeder. Smishing er blevet mere og mere populært, fordi folk er mere tilbøjelige til at stole på en besked, de får via en besked-app på deres telefon, end en besked der er leveret via e-mail. Selvom de fleste af os ikke forbinder phishing-svindel med sms’er, så er det blevet lettere for cyberkriminelle, at finde telefonnumre ved hjælp af online databaser, samt apps der genererer telefonnumre.
Hvordan fungerer smishing?
Cyberkriminelle påtager sig en identitet, som deres ofre stoler på, for at få dem til at sænke paraderne, og derved være lettere at snyde. Cyberkriminelle bruger situationer, der kan være relevante for deres offer - dette gøres normalt ved at få beskeden til at føles personlig. Derudover prøver de på at øge ofrenes følelse af, at situationen kræver hurtig handling, hvilket skal få offeret til tænke hurtigt og mindre kritisk i situationen. Gennem tillid, relevans og følelsesmæssig appel skaber angriberne situationer, hvor deres ofre føler sig tvunget til at reagere hurtigt.
Eksempler på smishing-angreb
Der findes forskellige typer af smishing-angreb. Her er nogle af de mest almindelige typer, som du skal være opmærksom på.
Svindelmeddelse: "Usædvanlig aktivitet på din konto"
Cyberkriminelle udgiver sig for at være legitime virksomheder, for at narre folk til at klikke på mistænkelige links. Disse links kan give dem adgang til ens enheder, samt personlige- og finansielle oplysninger. I dag sender virksomheder en meddelelse til deres kunder, hvis de har registreret at deres konto er blevet tilgået fra en anden enhed eller placering, som et led i at forbedre brugernes sikkerhed.
Cyberkriminelle kopierer denne teknik og sender advarsler med mistænkelige links til offeret for at få dem til at bekræfte, hvor adgangen kom fra. Når ofrene modtager en meddelse, med en påstand om "mistænkelig aktivitet på din konto", så får det alarmklokkerne til at ringe. Derfor fungerer falske sms’er godt for cyberkriminelle, idet at ofrene oplever en følelse af hast, panik og forvirring – den perfekte opskrift på katastrofe.
Svindel via gavekort
Ved svindel med gavekort bruges efterlignings- og social- engineering-taktikker til at komme i kontakt med ofrene, og bede dem om at købe gavekort. Ved denne type svindel udgiver angriberne sig ofte for at være ofrenes kollega eller chef. De finder på en historie om, at de har brug for hjælp til noget – et supriseparty på kontoret, en firmabegivenhed eller bare et simpelt ærinde. Uanset årsagen, vil de bede dig om at hjælpe og betale for et gavekort, som de lover at betale dig tilbage for senere. Men når du afleverer gavekortnummeret og pin-koden, forsvinder pengene. Disse angreb virker, fordi at det er en enkel og hurtig måde at få penge fra deres ofre, især når sms'en efterligner nogen som ofrene kender.
Sådan reduceres risikoen for smishing-angreb
Du kan tage nogle forholdsregler for at sikre, at du ikke bliver et offer for smishing. Angrebene kan kun forårsage skade, hvis du, på en eller anden måde, reagerer på den falske sms. En sms-besked kan alene ikke forårsage nogen skade, hvis du ikke reagerer på den og hopper i aktion. Nedenfor er et par ting, som du skal huske på, når du har mistanke om et smishing-angreb:
- Svar ikke på sms'en. Angriberne er afhængige af din nysgerrighed om situationen, men du kan nægte at agere. Aldrig send dem private oplysninger
- Stop op og tænk - Hvis en meddelelse haster, så fortsæt med forsigtighed. En sms, der beder om et hurtigt svar eller har en tidsfrist, kan være et tegn på mulig smishing.
- Hvis du er i tvivl om en sms, så ring til din bank eller virksomheden direkte.
- Tjek telefonnummeret. Underlige telefonnumre, såsom 4-cifrede numre, eller numre der har andre landekoder foran sig, kan være et tegn på et smishing-angreb.
- Opbevar ikke betalings information, såsom betalingskort, på din telefon. Den bedste måde at undgå, at finansielle oplysninger bliver stjålet fra en digital tegnebog, er at aldrig placere dem der. Better safe than sorry.
Det skal du gøre, hvis du bliver offer for smishing
Hvis du allerede er blevet offer for et smishing-angreb, er det vigtigt at have en plan klar. For at begrænse skadens omfang af angrebet, skal du sørge for at:
- Anmelde det formodede angreb til den person, der er ansvarlig for IT
- Spærre dit kreditkort for at forhindre fremtidig eller igangværende identitetssvindel
- Ændre alle adgangskoder og konto-pinkoder, hvor det er muligt
- Overvåg dine økonomiske, kreditkorts- og onlinekonti efter mærkelige loginplaceringer og andre aktiviteter
Opbygning af organisatorisk bevidsthed
Det er vigtigt at træne dine medarbejdere i, at kunne få øje på vishing og smishing angreb, som et led til at reducere risikoen for disse typer af angreb. For at gøre dette, skal du opbygge en IT-sikkerhedskultur i din organisation. Dette kan opnås ved hjælp af vores plakater, phishing-træning og awareness-træning til dine medarbejdere.