Tillbaka till bloggen
5 min read

Vishing och Smishing | Två typer av nätfiskeattacker du behöver känna till

Arooj Anwar
By: Arooj Anwar Cybersäkerhet | 5 november

Termerna vishing och smishing kanske låter lite lustiga i förstone men det är allvarliga former av cyberbrott som utförs via telefonsamtal och sms. Du har säkert hört talas om phishing, som är ett brett begrepp som beskriver bedrägerier och cyberbrott. Nätfiske innebär att cyberbrottslingar riktar in sig på människor via e-post, textmeddelanden och telefonsamtal genom att utge sig för att vara legitima institut för att lura individer att dela med sig av personlig information. I det här blogginlägget berättar vi om hur smishing och vishing fungerar, hur du identifierar tecknen, minskar riskerna för attacker och vad du ska göra om du blir offer. Först går vi igenom vad du behöver veta om vishing och sedan går vi in på smishing.

Table of Content

Bluff-sms är det nya normala 

Ofcom-rapporten visar att 71% av de 2000 vuxna i Storbritannien som tillfrågades hade fått ett bluff-sms under de senaste tre månaderna, medan 44% fick ett telefonsamtal med ett inspelat meddelande och 41% fick ett direktsänt telefonsamtal från en bedragare. Rapporten visade också att samtal från fasta telefoner fortsatte att vara ett hot för äldre människor, där 61% av personer över 75 år uppgav att de hade fått ett potentiellt bluffsamtal. Olika typer av phishing-attacker blir alltmer populära bland cyberbrottslingar.

Vad är vishing? 

Vishing är en typ av cyberbrott som innebär att brottslingar stjäl personlig information via telefonsamtal, det kallas också telefonfiske. Cyberbrottslingar ringer sina offer och övertalar dem att dela med sig av sina personuppgifter, t.ex. kreditkortsuppgifter, lösenord och adresser. Vissa cyberbrottslingar använder ett starkt och kraftfullt språk och andra antyder att de hjälper offret att undvika brottsanklagelser. En annan vanlig taktik är att lämna hotfulla röstmeddelanden som säger åt offret att ringa tillbaka omedelbart, annars riskerar de att bli arresterade, få bankkonton stängda eller värre. 

Vishing - Infographic

Hur fungerar vishing?  

Det finns flera steg som cyberbrottslingar tar för att en vishing-attack ska lyckas. Det första steget är att cyberbrottslingarna får tag på offrets telefonnummer. De gör det vanligtvis genom att skicka phishing-e-postmeddelanden som uppmanar offret att svara med sitt telefonnummer, eller genom att använda specialiserad programvara som hittar telefonnummer enligt riktnummer. Om phishing-attacken lyckas vinner angriparen offrets förtroende och offret förväntar sig ett samtal, i det här fallet är det osannolikt att offret misstänker en attack. När cyberbrottslingen har offret i telefon försöker han eller hon övertyga offret om att avslöja personlig information, t.ex. bankkontot. Angriparna lyckas i dessa situationer genom att vädja till offret genom tillit och rädsla.  

Exempel på vishing-attacker 

Det finns flera olika typer av vishing-attacker. Här är några av de vanligaste typerna som du bör vara medveten om. 

Bedrägeri med hjälp av bankidentitet

Vishing-angripare kan utge sig för att vara din bank eller ditt kreditkortsföretag för att begå bedrägeri. När cyberbrottslingarna utger sig för att vara bankpersonal kan de säga till offret att deras konto är hotat och att de måste göra betalningar till ett ”säkert konto”. De kan be om internetbankuppgifter så att de själva kan komma åt kontot och göra betalningar till konton. Cyberbrottslingen kan också be offret att ladda ner programvara för skärmdelning så att de kan visa eller kontrollera offrets dator. Detta kan göra det lättare att ta kontroll över kontot. Det är viktigt att komma ihåg att dessa institutioner ofta redan har ditt telefonnummer i sina register, så om du får ett e-postmeddelande från dem som ber om ditt telefonnummer är det förmodligen inte legitimt.  

Bedrägeri inom teknisk support 

Bedragare inom teknisk support utger sig för att vara en datatekniker från ett välkänt företag. De ringer offret för att rapportera misstänkt aktivitet på offrets konto och ber dem bekräfta sina kontouppgifter. Under samtalet ber de om offrets e-postadress och säger att de kommer att få ett e-postmeddelande med en länk för att ladda ner programvaran för att undvika att deras konto äventyras, men offret installerar omedvetet skadlig kod på sin dator. Den andra vanliga taktiken som bedragare inom teknisk support använder är att berätta för offren att de har hittat ett problem med deras dator. Bedragare ber sedan sina offer att ge dem fjärråtkomst till sin dator och låtsas köra ett diagnostiskt test. Sedan försöker de få offret att betala för att åtgärda ett problem som inte existerar. 

Skattebedrägeri 

Skattebedrägerier är ett givande sätt för angripare att samla in finansiell information från intet ont anande offer. Skattebedrägerier innebär i allmänhet ett förinspelat röstmeddelande som förklarar ett problem med offrets skattedeklaration. Detta följs av en varning om att om du inte ringer tillbaka kommer en arresteringsorder att utfärdas för dig. När offret ringer tillbaka till bedragaren uppmanas de att dela med sig av finansiell information. Alternativt kan offret uppmanas att följa instruktioner för att klicka på en länk som de har skickat till offret via e-post eller textmeddelande. Att hota att utfärda en arresteringsorder om offren inte följer är ett bra exempel på hur cyberbrottslingar vädjar till sina offer genom rädsla taktik. 

Smart CTA_phishingcase DE

Så här minskar du risken för vishing-attacker   

Det är viktigt att privatpersoner och företag vet hur man känner igen tecken på vishing och minskar risken för den här typen av attacker. Här är några saker att komma ihåg när du hanterar en potentiell vishing-attack:

  • Lämna aldrig ut personlig information över telefon
  • Var uppmärksam på det språk som används av den som ringer. Var försiktig med eventuella hot eller brådskande förfrågningar av något slag
  • Ställ alltid frågor. Be den som ringer om bevis när de försöker ge dig ett gratis pris eller sälja något. Om den som ringer vägrar att verifiera sin identitet ska du lägga på luren
  • Svara inte på e-post eller meddelanden som ber om ditt telefonnummer, det är oftast det första steget i en riktad vishing-attack 

Vad är smishing?  

Smishing är när cyberbrottslingar försöker lura dig att dela med dig av personlig information via ett textmeddelande. Smishing har blivit alltmer populärt eftersom människor är mer benägna att lita på ett meddelande som kommer in via en meddelandeapp på deras telefon än ett meddelande som levereras via e-post. Även om de flesta av oss inte förknippar phishingbedrägerier med textmeddelanden har det blivit allt lättare för cyberbrottslingar att hitta telefonnummer med hjälp av onlinekataloger och appar som genererar nummer.  

Smishing - Infographic

Hur fungerar smishing?

Cyberbrottslingar tar på sig en identitet som offren litar på för att lura dem och sänka deras skepticism. Detta gör det möjligt för cyberbrottslingar att manipulera offrens beslutsfattande. Cyberbrottslingar använder situationer som kan vara relevanta för offret, och detta görs normalt genom att få meddelandet att kännas personligt. Cyberbrottslingar strävar efter att öka offrets känslor för att skapa brådska, vilket lämnar lite utrymme för kritiskt tänkande i situationen. Genom tillit, relevans och känslomässig vädjan skapar angriparna situationer där offren känner sig tvingade att svara.  

Exempel på smishing-attacker 

Det finns flera olika typer av smishing-attacker. Här är några av de vanligaste typerna som du bör vara medveten om.

Bedrägeri med ovanlig aktivitet  

Cyberbrottslingar utger sig för att vara legitima organisationer för att lura människor att klicka på misstänkta länkar som kan ge cyberbrottslingar tillgång till din enhet samt personlig och finansiell information. Företag skickar nu meddelanden till sina kunder om deras konto har öppnats från en annan enhet eller plats för att förbättra användarnas säkerhet. Cyberbrottslingar kopierar också tekniken och skickar varningar med misstänkta länkar till offret, så att de kan verifiera varifrån åtkomsten kom. När offren får ett sms med texten ”misstänkt aktivitet på ditt konto” måste varningsklockorna ringa och därför fungerar den här bluffen så bra för cyberbrottslingar eftersom offren ställs inför brådska, panik och förvirring, vilket är ett recept på katastrof. 

Bedrägerier med presentkort  

Cyberbrottslingar utger sig för att vara legitima organisationer för att lura människor att klicka på misstänkta länkar som kan ge cyberbrottslingar tillgång till din enhet samt personlig och finansiell information. Företag skickar nu meddelanden till sina kunder om deras konto har öppnats från en annan enhet eller plats för att förbättra användarnas säkerhet. Cyberbrottslingar kopierar också tekniken och skickar varningar med misstänkta länkar till offret, så att de kan verifiera varifrån åtkomsten kom. När offren får ett sms med texten ”misstänkt aktivitet på ditt konto” måste varningsklockorna ringa och därför fungerar den här bluffen så bra för cyberbrottslingar eftersom offren ställs inför brådska, panik och förvirring, vilket är ett recept på katastrof. 

Så här minskar du risken för smishing-attacker  

Du kan vidta vissa åtgärder för att se till att du inte faller offer för smishing. Attackerna kan bara orsaka skada om du svarar eller engagerar dig på något sätt, och ett textmeddelande i sig kommer inte att orsaka någon skada om ingen åtgärd vidtas. Nedan följer några saker som du bör tänka på när du misstänker en smishing-attack.  

  • Svara inte på textmeddelandet. Angripare är beroende av din nyfikenhet över situationen men du kan vägra att engagera dig
  • Sakta ner om ett meddelande är brådskande och fortsätt med försiktighet. Ett textmeddelande som kräver ett brådskande svar eller har en tidsgräns kan vara ett tecken på möjlig smishing
  • Om du är tveksam till ett sms, ring din bank eller företaget direkt
  • Kontrollera telefonnumret. Telefonnummer som ser konstiga ut, till exempel fyrsiffriga, kan vara ett tecken på möjlig smashing

Picture of the risk analysis template

Vad ska du göra om du blir utsatt för smishing  

Om du redan har fallit offer för en smishing-attack är det viktigt att ha en plan på plats. För att begränsa skadan av attacken, se till att:  

  • Rapportera den misstänkta attacken till den IT-ansvarige
  • Frysa ditt kreditkort för att förhindra framtida eller pågående identitetsbedrägerier
  • Byt alla lösenord och PIN-koder för konton där det är möjligt
  • Övervaka din ekonomi, dina krediter och dina onlinekonton för att upptäcka konstiga inloggningsplatser och andra aktiviteter 

Vad ska du göra om du blir utsatt för smishing 

Det är viktigt att utbilda dina anställda i att upptäcka tecken på vishing och smishing som ett första steg för att minska risken för dessa typer av attacker. För att göra detta måste du bygga en kultur av medvetenhet inom din organisation. Det kan du göra med hjälp av våra affischer om cybersäkerhet, genom att visa att du har phishingutbildning och genom att utbilda dina anställda i cybersäkerhet.  

En kvinna testar gratis kurser i medvetenhet på sin dator

 
Back to blog
Recent articles
GDPR Var Trygg När - Publicera Bilder och Videor Online

Du behöver rättslig grund för att publicera bilder och videor online. Det finns olika typer av grunder, så som: samtycke, avtal och intresseavvägning.

Gillian Loones 4 min read - By Gillian Loones
GDPR Vad betyder Privacy by Design, och varför är det viktigt för GDPR?

Privacy By Design är en metod som betyder att integritet prioriteras varje gång du designar produkter, processer och mycket mer.

Gillian Loones 11 min read - By Gillian Loones
Cybersäkerhet Vad är NIS2-direktivet och hur kommer det att påverka din organisation?

NIS2-direktivet EUs nyaste direktiv som alla medlemsländer måste följa år 2024. Ta dera på om NIS2-lagen berör din organisation och vad du bör göra.

Sarah Hofmann 14 min read - By Sarah Hofmann