Smishing, en kombination af ordene "SMS" og "phishing", er en type cyberangreb, der bruger tekstbeskeder til at bedrage enkeltpersoner. Smishing angribere narre deres mål til at dele følsomme data, såsom legitimationsoplysninger eller økonomiske oplysninger, eller til at klikke på ondsindede links. Disse handlinger udnyttes derefter af angriberen til at få uautoriseret adgang til netværk, injicere malware eller ransomware eller andre typer ondsindede aktiviteter.

Smishing er en form for phishing. I de fleste tilfælde phishing-angreb foregå via e-mail. Smishing udnytter dog den populære brug af mobiltelefoner og deres beskedapplikationer og udfører phishing gennem mobilbeskeder. Tekstbeskeder har også normalt en høj åbningsrate, hvilket også gavner smishing angribere. Endelig opfatter brugerne fejlagtigt deres mobiltelefoner som sikre, hvilket gør dem mindre mistænksomme over for tekstbeskeder, der får dem til at udføre forskellige handlinger, hvilket øger chancen for et vellykket angreb.

Hvad er Smishing?

Hvordan virker smishing-angreb?

Smishing-angreb udnytter enkeltpersoners tillid og sårbarhed til at bedrage dem gennem deres mobiltelefoner. Sådan fungerer smishing-angreb:

  • Indledende kontakt – Angriberen indleder smishing-angrebet. Dette gøres ved at sende en sms til målets mobile enhed. Beskeden ser ofte ud til at komme fra en betroet kilde, såsom en velrenommeret organisation eller en kendt kontakt.
  • Vildledende indhold – Smishing-beskeden indeholder svigagtigt indhold designet til at fange modtagerens opmærksomhed og få et svar. Dette kan omfatte presserende advarsler, sikkerhedsmeddelelser, dybtfølte anmodninger, tilbud om freebies, rabatter, lotteri-gevinster og mere.
  • Uopsættelighed og manipulation – Angriberen skaber en følelse af uopsættelighed eller udnytter målets følelser til at tilskynde til øjeblikkelig handling. De kan hævde, at manglende handling hurtigt vil resultere i negative konsekvenser. For eksempel ved kontosuspendering, juridiske problemer, økonomisk tab eller en sundhedsrisiko.
  • Anmodning om følsomme oplysninger eller handling – Smishing-beskeden vil bede modtageren om at give følsomme oplysninger. For eksempel adgangskoder, kreditkortoplysninger eller CPR-numre. Eller det kan instruere målet om at klikke på et ondsindet link eller downloade en skadelig vedhæftet fil.
  • Udnyttelse og bedrageri – I tilfælde af, at modtageren udfører den anmodede handling, får angriberen adgang til følsomme oplysninger eller installerer malware på offerets enhed. Dette kan føre til identitetstyveri, økonomisk bedrageri, uautoriseret adgang, eller yderligere udnyttelse af ofrets kontakter.

Eksempler på smishing-angreb 

Smishing-svindel kan udføres under forskellige falske forudsætninger. Disse omfatter:

  • Præmie eller lotteri fidus – Beskeder, der hævder, at målet har vundet en præmie eller et lotteri, og at der kræves personlige oplysninger eller betalinger for at gøre krav på gevinsten.
  • Falske sikkerhedsadvarsler – Beskeder, der hævder mistænkelige aktiviteter, blev taget på modtagerens konto, og opfordrede dem til at tage øjeblikkelig handling ved at klikke på et link eller angive loginoplysninger. Disse kunne omfatte finansielle konti, applikationskonti og mere.
  • MFA-koder – Beskeder, der kræver, at målet deler deres MFA-bekræftelseskode og derefter logger ind som bruger.
  • Bestil Information – Beskeder, der indeholder falske oplysninger om ordrer, såsom konformationer, påstand om, at ordren er blevet annulleret, og mere. Når modtageren klikker på linket, leder det dem til et falsk websted, der stjæler loginoplysninger.

Sådan identificerer og beskytter du dig selv mod smishing-angreb

Årvågenhed og opmærksomhed er nøglen til at beskytte dig selv mod smishing-angreb. Her er nogle øvelser til at træne:

1. Hold dig informeret og træne dig selv

Hold dig opdateret om de nyeste smishing-teknikker og almindelige taktikker, der bruges af angribere. Gør dig bekendt med røde flag, såsom presserende anmodninger, uopfordrede beskeder eller beskeder fra ukendte numre.

2. Bekræft afsenderen

Vær forsigtig med tekstbeskeder modtaget fra ukendte eller ukendte numre eller enkeltpersoner. Selvom ikke alle ukendte afsendere er tegn på smishing, er det en god praksis at udvise forsigtighed og bekræfte afsenderens identitet uafhængigt. Kontakt organisationen direkte via deres officielle hjemmeside eller et bekræftet telefonnummer for at bekræfte meddelelsens legitimitet.

3. Se efter stave- og grammatiske fejl 

Smishing-beskeder indeholder ofte stavefejl, grammatiske fejl eller akavede formuleringer. Betroede organisationer, som banker, har normalt kommunikationsstandarder. Mistænkeligt sprog i en sms kan være et rødt flag.

4. Vær forsigtig med presserende og uopfordrede beskeder 

Vær skeptisk over for beskeder, der kræver øjeblikkelige svar eller truer med negative konsekvenser for manglende overholdelse. De fleste legitime organisationer anmoder ikke om oplysninger på denne måde.

5. Udvis forsigtighed med hyperlinks og anmodninger om personlige oplysninger 

Undgå at klikke på links i tekstbeskeder, især hvis de virker mistænkelige eller fører til ukendte websteder. Vær desuden skeptisk over for beskeder, der anmoder om adgangskoder, personnumre, kreditkortoplysninger eller andre personlige oplysninger.

6. Installer sikkerhedssoftware

Installer sikkerhedssoftware på din mobilenhed for at registrere og blokere smishing-forsøg. Disse applikationer kan identificere og advare dig om potentielt skadelige beskeder eller links.

Undgå phishing-angreb med LayerX

LayerX er en browsersikkerhedsløsning, leveret som en udvidelse, der er specialbygget til at beskytte applikationer, data og enheder mod alle netbårne trusler og risici. LayerX leverer detaljeret synlighed i medarbejdernes webaktivitet og SaaS-brug på tværs af sanktionerede og ikke-sanktionerede apps. Alt imens det sikres en fremragende brugeroplevelse og uden at blande sig i brugerens daglige arbejdsgang.

For at blokere og forhindre phishing overvåger LayerX browsersessioner på applikationslaget og giver synlighed til browsinghændelser. Dette muliggør sessionsanalyse og håndhævelse af beskyttende handlinger, der neutraliserer de ondsindede aspekter af websider. Ondsindet webstedsaktivitet blokeres, før det interagerer med browseren. Derudover scanner LayerX adfærden på sider, der blev tilgået via e-mail, og gør det muligt at blokere ondsindede aktiviteter som phishing.