Contact us: +45 40 32 32 35
Dansk

Vishing Og Smishing - To Typer Af Phishing-Angreb, Du Skal Kende Til

Arooj Anwar
By: Arooj Anwar IT-sikkerhed | 7 marts

Udtrykkene vishing og smishing kan lyde lidt sjove, når man først hører dem, men de er alvorlige former for cyberkriminalitet, der udføres via telefonopkald og tekstbeskeder. Du har sikkert hørt om phishing, som er et bredt begreb, der beskriver svindelaktiviteter og cyberkriminalitet. Phishing involverer cyberkriminelle, der går efter folk via e-mail, sms'er og telefonopkald, ved at udgive sig for at være legitime institutioner, for at lokke privatpersoner til at dele deres personlige oplysninger. I dette blogindlæg vil vi forklare, hvordan smishing og vishing virker, hvordan man identificerer tegnene på dem, reducerer risikoen for angreb og hvad man skal gøre, hvis man bliver et offer. Vi gennemgår først det du skal vide om vishing, og dykker så ned i smishing. 

Indholdsfortegnelse:

Scam-beskeder er den nye normal 

Ofcom-rapporten afslører, at 71% af de adspurgte britiske voksne i 2000 havde modtaget en fup-sms i løbet af de sidste tre måneder, mens 44% modtog et telefonopkald med en optaget besked, og 41% blev mål for et live telefonopkald fra en svindler. Rapporten så også, at fastnetopkald fortsatte med at være en trussel mod ældre mennesker, med 61% af de adspurgte personer over 75 som rapporterede om, at de havde modtaget et potentielt fupopkald. 

Hvad er vishing? 

Vishing er en form for cyberkriminalitet, der involverer kriminelle, som stjæler personlige oplysninger via telefonopkald - det er også kendt som telefon-phishing. Cyberkriminelle ringer til deres ofre og overbeviser dem om at dele deres personlige oplysninger, såsom kreditkortoplysninger, adgangskoder og adresser. Nogle cyberkriminelle bruger et hårdt og overbevisende sprog, og andre lader som, at de hjælper offeret med at undgå kriminelle anklager. En anden almindelig taktik er at indtale en truende besked på målets telefonsvarer, der beder offeret om at ringe tilbage med det samme, da de ellers risikerer at blive arresteret, få deres bankkonti spærret, eller værre.  

Vishing - Infographic

Hvordan virker vishing?  

Cyberkriminelle gennemgår flere trin for, at et vishing-angreb bliver en succes. Det første trin for cyberkriminelle er at tilegne sig deres offers telefonnummer. De gør normalt dette ved at sende phishing-e-mails, hvor de beder offeret om at svare med deres telefonnummer, eller ved at bruge specialiseret software, som finder telefonnumre ud fra et områdenummer. Hvis phishing-angrebet lykkes, får de vundet offerets tillid, og offeret forventer et opkald. I dette tilfælde er det usandsynligt, at offeret har mistanke om et angreb. Når cyberkriminelle taler med offeret i telefonen, vil de forsøge at overbevise offeret om at afsløre personlige oplysninger, såsom deres bankkonto. Angribere lykkedes i disse situationer ved at appellere til deres ofre gennem tillid og frygt.  

Eksempler på vishing-angreb 

Der er flere forskellige typer af vishing-angreb. Her er nogle af de mest almindelige typer, som du skal være opmærksom på.  

Udgiver sig for at være din bank 

Vishing-angribere kan udgive sig for at være din bank eller dit kreditkortselskab, i et forsøg på at svindle dig. Mens de udgiver sig for at være bankansatte, kan cyberkriminelle fortælle offeret, at deres konto er truet, og at de er nødt til at foretage betalinger til en "sikker konto". De beder måske om netbankoplysninger, så de selv kan få adgang til kontoen og foretage betalinger til deres egne konti. Den cyberkriminelle kan også bede offeret om at downloade skærmdelingssoftware, så de kan se eller kontrollere ofrets computer. Dette kan gøre det nemmere at tage kontrol over kontoen. Det er vigtigt at huske, at institutioner såsom banker ofte allerede har dit telefonnummer i deres optegnelser, så hvis du får en e-mail fra dem, der beder om dit telefonnummer, er det sandsynligvis ikke legitimt. Dertil benytter samtlige danske banker interne og sikre kommunikationskanaler, hvis de skal i skriftlig kontakt med deres kunder. Det kan være igennem deres egne sikre mail systemer via Net- eller mobilbank, eller via Eboks.

Svindel med teknisk support 

Teknisk support-svindlere udgiver sig for at være en computertekniker fra et velkendt selskab. De ringer til deres offer for, at lave en rapport om mistænkelig aktivitet på ofrets konto, og beder dem om, at bekræfte deres kontooplysninger. Under opkaldet beder de om ofrenes e-mail-adresse og fortæller offeret, at de vil modtage en e-mail med et link til at downloade softwaren for at undgå, at deres konto bliver kompromitteret - men istedet installerer ofret ubevidst malware på deres computer. Den anden typiske taktik, som teknisk support-svindlere bruger, er at fortælle ofrene, at de har opdaget et problem med offerets computer. Svindlere beder derefter deres ofre om at give dem fjernadgang til deres computer og foregiver at køre en diagnostisk test. Derefter forsøger de, at få offeret til at betale for at løse et problem, der slet ikke eksisterer. 

Svindelnummer med Skat

Brugen af svindelnumre med Skat er en lukrativ måde for angribere, at indsamle finansielle oplysninger fra intetanende ofre på. Denne type svindelnummer involverer generelt en forudindtalt talebesked, der forklarer et problem med offerets årsopgørelse/oplysningsskema hos Skat. Dette efterfølges af en advarsel om, at hvis du undlader at ringe tilbage, vil der blive udstedt en arrestordre på din anholdelse. Når offeret ringer tilbage til svindleren, opfordres de til at dele finansielle oplysninger. Alternativt kan offeret blive bedt om at følge instrukser og klikke på et link, som angriberen har sendt til offeret via e-mail eller sms. At true med at udstede en arrestordre, hvis ofrene ikke gør, som der bliver sagt, er et godt eksempel på, hvordan cyberkriminelle bruger frygt til at skræmme deres ofre gennem.  

Smart CTA_phishingcase DK

Sådan reducerer man risikoen for vishing-angreb  

Det er vigtigt at enkeltpersoner og virksomheder ved, hvordan man genkender tegn på vishing, og derved reducerer risikoen for disse typer angreb. Her er nogle ting man skal huske på, når man sidder med et potentielt vishing-angreb: 

  • Del aldrig personlige oplysninger over telefonen 

  • Vær opmærksom på det sprog, der bruges af den der ringer op. Vær på vagt over for enhver art af eventuelle trusler, eller forhastede anmodninger

  • Stil altid spørgsmål. Bed om beviser, hvis de f.eks. forsøger at sælge dig noget. Hvis den der ringer, nægter at bekræfte sin identitet, bør du lægge på
  • Svar ikke på e-mails eller beskeder, der beder om dit telefonnummer - dette er normalt det første skridt i et målrettet vishing-angreb 

Hvad er smishing?  

Det kaldes for Smishing, når cyberkriminelle forsøger at narre dig til at dele personlige oplysninger via en sms. Smishing er blevet mere og mere populært, fordi folk er mere tilbøjelige til at stole på en besked, de får via en besked-app på deres telefon, end en besked der er leveret via e-mail. Selvom de fleste af os ikke forbinder phishing-svindel med sms’er, så er det blevet lettere for cyberkriminelle, at finde telefonnumre ved hjælp af online databaser, samt apps der genererer telefonnumre. 

Smishing - Infographic

Hvordan fungerer smishing? 

Cyberkriminelle påtager sig en identitet, som deres ofre stoler på, for at få dem til at sænke paraderne, og derved være lettere at snyde. Cyberkriminelle bruger situationer, der kan være relevante for deres offer - dette gøres normalt ved at få beskeden til at føles personlig. Derudover prøver de på at øge ofrenes følelse af, at situationen kræver hurtig handling, hvilket skal få offeret til tænke hurtigt og mindre kritisk i situationen. Gennem tillid, relevans og følelsesmæssig appel skaber angribere situationer, hvor deres ofre føler sig tvunget til at reagere hurtigt.  

Eksempler på smishing-angreb 

Der findes flere forskellige typer af smishing-angreb. Her er nogle af de mest almindelige typer, som du skal være opmærksom på. 

Svindelmeddelse: "Usædvanlig aktivitet på din konto"

Cyberkriminelle udgiver sig for at være reelle og legitime virksomheder, for at narre folk til at klikke på mistænkelige links. Disse links kan give de cyberkriminelle adgang til ens enheder, samt personlige- og finansielle oplysninger. I dag sender virksomheder en meddelelse til deres kunder, hvis de har registreret at deres konto er blevet tilgået fra en anden enhed eller placering, som et led i at forbedre brugernes sikkerhed. Cyberkriminelle kopierer denne teknik og sender advarsler med mistænkelige links til offeret for at få dem til at bekræfte, hvor adgangen kom fra. Når ofrene modtager en meddelse, med en påstand om "mistænkelig aktivitet på din konto", så får det alarmklokkerne til at ringe. Derfor fungerer denne svindelmetode godt for cyberkriminelle, idet at ofrene oplever en følelse af hast, panik og forvirring – den perfekte opskrift på katastrofe. 

Svindel via gavekort

Ved svindel med gavekort bruges  efterlignings- og social- engineering-taktikker til at komme i kontakt med ofre, og bede disse om at købe gavekort. Ved denne type svindel udgiver angriberne sig ofte for at være ofrenes kollega eller chef. De finder på en historie om, at de har brug for hjælp til noget – et supriseparty på kontoret, en firmabegivenhed eller bare et simpelt ærinde. Uanset årsagen, vil de bede dig om at hjælpe med og betale for et gavekort, som lover at betale dig tilbage for senere. Men når du afleverer gavekortnummeret og pin-koden, forsvinder pengene. Disse angreb virker, fordi at det er en enkel og hurtig måde at få penge fra deres ofre, især når sms'en efterligner nogen som ofrene kender.

Sådan reduceres risikoen for smishing-angreb  

Du kan tage nogle forholdsregler for at sikre, at du ikke bliver et offer for smishing. Angrebene kan kun forårsage skade, hvis du, på en eller anden måde, reagerer eller engagerer dig. En sms vil alene ikke forårsage nogen skade, hvis du ikke reagerer på den og hopper i aktion. Nedenfor er et par ting, som du skal huske på, når du har mistanke om et smishing-angreb: 

  • Svar ikke på sms'en. Angriberne er afhængige af din nysgerrighed om situationen, men du kan nægte at agere. 

  • Stop op og tænk - Hvis en meddelelse haster, så fortsæt med forsigtighed. En sms, der beder om et hurtigt svar eller har en tidsfrist, kan være et tegn på mulig smishing. 

  • Hvis du er i tvivl om en sms, så ring til din bank eller virksomheden direkte. 

  • Tjek telefonnummeret. Underligt udseende telefonnumre, såsom 4-cifrede numre, eller numre der har andre landekoder foran sig, kan være et tegn på mulig smishing.  

  • Opbevar ikke betalingsinformation, såsom betalingskort, på din telefon. Den bedste måde at undgå, at finansielle oplysninger bliver stjålet fra en digital tegnebog, er at aldrig placere dem der. Better safe than sorry

Det skal du gøre, hvis du bliver offer for smishing 

Hvis du allerede er blevet offer for et smishing-angreb, er det vigtigt at have en plan klar. For at begrænse skadens omfang af angrebet, skal du sørge for at:  

  • Anmelde det formodede angreb til den person, der er ansvarlig for IT 

  • Spærre dit kreditkort for at forhindre fremtidig eller igangværende identitetssvindel 

  • Ændre alle adgangskoder og konto-pinkoder, hvor det er muligt 

  • Overvåg dine økonomiske, kreditkorts- og onlinekonti efter mærkelige loginplaceringer og andre aktiviteter 

Opbygning af organisatorisk bevidsthed 

Det er vigtigt at uddanne dine medarbejdere i, at kunne få øje på tegnene på vishing og smishing, som et første skridt til at reducere risikoen for disse typer af angreb. For at gøre dette, skal du opbygge en IT-sikkerhedskultur i din organisation. Dette kan opnås ved hjælp af vores plakater, phishing-træning og awareness-trænings til dine medarbejdere.