Tilbake til bloggen
5 min read

Vishing og smishing - to typer phishing-angrep du må kjenne til

Arooj Anwar
By: Arooj Anwar Cybersikkerhet | 5 november

Begrepene vishing og smishing høres kanskje litt morsomme ut, men det er alvorlige former for nettkriminalitet som utføres via telefonsamtaler og tekstmeldinger. Du har sikkert hørt om phishing, som er et vidt begrep som beskriver svindelaktiviteter og nettkriminalitet. Phishing innebærer at nettkriminelle retter seg mot personer via e-post, tekstmeldinger og telefonsamtaler ved å utgi seg for å være legitime institusjoner for å lure personer til å dele personlig informasjon. I dette blogginnlegget skal vi snakke om hvordan smishing og vishing fungerer, hvordan du kan identifisere tegnene, redusere risikoen for angrep og hva du skal gjøre hvis du blir utsatt for det. Først tar vi for oss det du trenger å vite om vishing, og deretter går vi nærmere inn på smishing.

Innholdsfortegnelse

Svindelmeldinger er den nye normalen 

Ofcom-rapporten avslører at 71 % av de 2000 voksne britene som deltok i undersøkelsen, hadde mottatt en svindel-SMS i løpet av de siste tre månedene, mens 44 % hadde mottatt en telefonsamtale med en innspilt melding, og 41 % hadde mottatt en direkte telefonsamtale fra en svindler. Rapporten viser også at fasttelefoner fortsatt er en trussel for eldre mennesker, og 61 % av de over 75 år sier at de har mottatt en potensiell svindelsamtale. Ulike typer phishing-angrep blir stadig mer populære blant nettkriminelle.

Hva er vishing?  

Vishing er en type nettkriminalitet som innebærer at kriminelle stjeler personlig informasjon gjennom telefonsamtaler, også kjent som telefonfiske. De nettkriminelle ringer ofrene sine og overtaler dem til å dele personlig informasjon som kredittkortopplysninger, passord og adresser. Noen nettkriminelle bruker et sterkt og kraftfullt språk, mens andre antyder at de hjelper offeret med å unngå tiltale. En annen vanlig taktikk er å legge igjen truende telefonsvarere som ber offeret om å ringe tilbake umiddelbart, ellers risikerer de å bli arrestert, få bankkontoer stengt eller det som verre er. 

Vishing - Infographic

Hvordan fungerer vishing?    

Det er flere steg nettkriminelle må ta for at et vishing-angrep skal lykkes. Det første trinnet er å få tak i offerets telefonnummer. Dette gjøres vanligvis ved å sende phishing-e-poster der offeret blir bedt om å svare med telefonnummeret sitt, eller ved å bruke spesialisert programvare som finner telefonnumre i henhold til retningsnummer. Hvis phishing-angrepet er vellykket, vinner angriperen offerets tillit og offeret forventer en oppringning, og i dette tilfellet er det lite sannsynlig at offeret mistenker et angrep. Når den nettkriminelle har fått offeret i røret, vil han eller hun forsøke å overbevise offeret om å gi fra seg personlig informasjon, for eksempel bankkontoen sin. Angriperne lykkes i slike situasjoner ved å appellere til ofrene gjennom tillit og frykt.  

 

Eksempler på vishing-angrep 

Det finnes flere ulike typer vishing-angrep. Her er noen av de vanligste typene du bør være oppmerksom på. 

Bedrageri ved å utgi seg for å være en bank    

Vishing-angripere kan utgi seg for å være banken eller kredittkortselskapet ditt for å begå svindel. Mens de utgir seg for å være bankansatte, kan de nettkriminelle fortelle offeret at kontoen deres er truet, og at de må foreta betalinger til en «trygg konto». De kan be om nettbankopplysninger slik at de kan få tilgang til kontoen og selv foreta betalinger til kontoen. Den cyberkriminelle kan også be offeret om å laste ned programvare for skjermdeling, slik at de kan se eller kontrollere offerets datamaskin. Dette kan gjøre det enklere å ta kontroll over kontoen. Det er viktig å huske at disse institusjonene ofte allerede har telefonnummeret ditt i sine registre, så hvis du får en e-post fra dem der de ber om telefonnummeret ditt, er den sannsynligvis ikke legitim.

Svindel med teknisk kundestøtte 

Svindlere utgir seg for å være en datatekniker fra et velkjent selskap. De ringer offeret for å rapportere mistenkelig aktivitet på offerets konto og ber dem bekrefte kontoopplysningene sine. I løpet av samtalen ber de om offerets e-postadresse, og forteller offeret at de vil motta en e-post med en lenke for å laste ned programvaren for å unngå at kontoen deres blir kompromittert, men offeret installerer ubevisst skadelig programvare på datamaskinen sin. Den andre vanlige taktikken svindlere bruker, er å fortelle ofrene at de har funnet et problem med datamaskinen deres. Svindlerne ber deretter ofrene om å gi dem ekstern tilgang til datamaskinen og later som om de skal kjøre en diagnostisk test. Deretter prøver de å få offeret til å betale for å fikse et problem som ikke eksisterer. 

Skattesvindel 

Skattesvindel er en givende måte for angripere å samle inn økonomisk informasjon fra intetanende ofre. Skattesvindel involverer vanligvis en forhåndsinnspilt talemelding som forklarer et problem med offerets selvangivelse. Deretter advares offeret om at det vil bli utstedt en arrestordre på deg hvis du ikke ringer tilbake. Når offeret ringer tilbake til svindleren, blir de oppfordret til å dele finansiell informasjon. Alternativt kan offeret bli bedt om å følge instruksjoner om å klikke på en lenke de har sendt til offeret via e-post eller tekstmelding. Trusler om å utstede en arrestordre hvis offeret ikke adlyder, er et godt eksempel på hvordan nettkriminelle appellerer til ofrene sine ved hjelp av frykttaktikk.

Smart CTA_phishingcase NO

Slik reduserer du risikoen for vishing-angrep

Det er viktig at privatpersoner og bedrifter vet hvordan de kan gjenkjenne tegn på vishing og redusere risikoen for denne typen angrep. Her er noen ting du bør huske på når du skal håndtere et potensielt vishing-angrep:

  • Aldri oppgi personlig informasjon over telefon
  • Vær oppmerksom på språket som brukes av den som ringer. Vær på vakt mot trusler eller hasteforespørsler av noe slag.
  • Still alltid spørsmål. Be innringeren om bevis når de prøver å gi deg en gratis premie eller selge noe. Legg på hvis innringeren nekter å bekrefte identiteten sin.
  • Ikke svar på e-poster eller meldinger som ber om telefonnummeret ditt, dette er vanligvis det første trinnet i et målrettet vishing-angrep. 

Hva er smishing?

Smishing er når nettkriminelle prøver å lure deg til å dele personlig informasjon via en tekstmelding. Smishing har blitt stadig mer populært fordi det er mer sannsynlig at folk stoler på en melding som kommer inn via en meldingsapp på telefonen, enn en melding som leveres via e-post. Selv om de fleste av oss ikke forbinder phishing-svindel med tekstmeldinger, har det blitt stadig enklere for nettkriminelle å finne telefonnumre ved hjelp av nettkataloger og apper som genererer numre. 

Smishing - Infographic

Hvordan fungerer smishing?

Nettkriminelle tar på seg en identitet som ofrene stoler på, for å lure dem og redusere skepsisen deres. Dette gjør det mulig for nettkriminelle å manipulere ofrenes beslutningstaking. De nettkriminelle bruker situasjoner som kan være relevante for offeret, og dette gjøres vanligvis ved å få budskapet til å føles personlig. De nettkriminelle forsøker å vekke ofrenes følelser for å skape en følelse av at det haster, noe som gir lite rom for kritisk tenkning i situasjonen. Gjennom tillit, relevans og emosjonell appell skaper angriperne situasjoner der ofrene føler seg tvunget til å reagere.

Eksempler på smishing-angrep

Det finnes flere ulike typer smishing-angrep. Her er noen av de vanligste typene du bør være oppmerksom på. 

Svindel med uvanlig aktivitet   

Nettkriminelle utgir seg for å være legitime organisasjoner for å lure folk til å klikke på mistenkelige lenker, noe som kan gi nettkriminelle tilgang til enheten din og personlig og økonomisk informasjon. For å øke brukersikkerheten sender selskaper nå varsler til kundene sine hvis kontoen deres har blitt åpnet fra en annen enhet eller et annet sted. Nettkriminelle kopierer også teknikken og sender varsler med mistenkelige lenker til offeret, slik at de kan verifisere hvor tilgangen kom fra. Når ofrene mottar en tekstmelding med teksten «mistenkelig aktivitet på kontoen din», må alarmklokkene ringe, og derfor fungerer denne svindelen så godt for nettkriminelle, ettersom ofrene blir møtt med hastverk, panikk og forvirring, noe som er en oppskrift på katastrofe. 

Gavekort-svindel  

Gavekortsvindel baserer seg på etterligning og sosial manipulering for å komme i kontakt med ofrene og be dem om å kjøpe gavekort. Angriperne utgir seg ofte for å være ofrenes ansatte eller sjefen deres som en del av svindelen. De finner på en historie om at de trenger din hjelp med noe, en overraskelsesfest på kontoret, et firmaarrangement eller til og med et enkelt ærend. Uansett hva grunnen er, ber de deg om å hjelpe til ved å betale dem med gavekort, og lover å betale deg tilbake senere. Men så snart du gir fra deg gavekortnummeret og PIN-koden, er pengene borte. Disse angrepene fungerer fordi de er en enkel og rask måte å få penger fra ofrene på, spesielt når tekstmeldingen utgir seg for å være fra en person i organisasjonen. 

Slik reduserer du risikoen for smishing-angrep

Du kan ta noen grep for å sikre at du ikke blir offer for smishing. Angrepene kan bare forårsake skade hvis du svarer eller engasjerer deg på en eller annen måte, og en tekstmelding alene vil ikke forårsake noen skade hvis du ikke gjør noe. Nedenfor er noen ting du bør huske på når du mistenker et smishing-angrep.

  • Ikke svar på tekstmeldingen. Angriperne er avhengige av at du er nysgjerrig på situasjonen, men du kan nekte å engasjere deg.
  • Ta det med ro hvis en melding haster, og gå forsiktig frem. En tekstmelding som krever et raskt svar eller har en tidsbegrensning, kan være et tegn på mulig smishing.
  • Hvis du er i tvil om en tekstmelding, kan du ringe banken eller selskapet direkte.
  • Sjekk telefonnummeret. Telefonnummer som ser merkelige ut, for eksempel firesifrede, kan være et tegn på mulig smashing.  

 

New call-to-action

Hva du skal gjøre hvis du blir utsatt for smishing  

Hvis du allerede har blitt utsatt for et smishing-angrep, er det viktig å ha en plan på plass. Sørg for å begrense skadene av angrepet:

  • Rapportere det mistenkte angrepet til den IT-ansvarlige
  • Frys kredittkortet ditt for å forhindre fremtidig eller pågående identitetssvindel
  • Bytt alle passord og PIN-koder der det er mulig
  • Overvåk økonomien, kreditten og nettkontoene dine for å se etter merkelige påloggingssteder og andre aktiviteter 

Bygge bevissthet i organisasjonen  

Det er viktig å lære opp de ansatte til å oppdage tegn på vishing og smishing som et første skritt for å redusere risikoen for denne typen angrep. For å gjøre dette må du bygge en bevissthetskultur i organisasjonen. Dette kan oppnås ved hjelp av våre plakater om cybersikkerhet, phishing-opplæring og bevisstgjøringskurs for ansatte.  

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

 
Back to blog
Recent articles
Cybersikkerhet Hva Er SIEM Og Log Management Og Hva Betyr Det For Din IT-Sikkerhet?

SIEM kan være et automatisk varslinssystem for dine IT-systemer. Sammen med log management kan det ble et viktig verktøy for din cybersikkerhet.

Agnes Norrman 2 min read - By Agnes Norrman
Cybersikkerhet Direktørsvindel - Hva Det Er Og Hvordan Å Beskytte Din Bedrift Mot Det

Direktørsvindel er en metode hvor hackere manipulerer deg til å enten sende penger eller å laste ned skadevare. Her er hva det er og hva du kan gjøre med det.

Kelly Fung 4 min read - By Kelly Fung
GDPR Hvordan Sikre At Bedriften Din Er GDPR Compliant

Det er flere steg du må gjennomføre før selskapet ditt er GDPR compliant. Vi har laget en guide for de første stegene mot å bli GDPR compliant.

Anders Bryde Thornild 11 min read - By Anders Bryde Thornild