Smishing og vishing er typer af phishing-angreb, der forsøger at lokke ofrene til via sms-beskeder og taleopkald. Begge er baseret på de samme følelsesmæssige appeller, som anvendes i traditionelle phishing-svindelnumre, og de er designet til at få dig til at handle hurtigt. Forskellen er leveringsmetoden.
“Cybertyve kan anvende manipulationsteknikker på mange former for kommunikation, fordi de underliggende principper forbliver de samme”, forklarer Stu Sjouwerman, CEO for KnowBe4, som er leder af sikkerhedsbevidsthed. “De lokker ofrene med lokkemad og fanger dem derefter med kroge.”
Hvad er smishing?
Smishing definition: Smishing (SMS phishing) er en type phishing-angreb, der udføres ved hjælp af SMS (Short Message Services) på mobiltelefoner.
Som i forbindelse med phishing-svindel via e-mail indeholder smishing-beskeder typisk en trussel eller en opfordring til at klikke på et link eller ringe til et nummer og udlevere følsomme oplysninger. Nogle gange foreslår de måske, at du installerer et sikkerhedsprogram, som viser sig at være malware.
Smishing-eksempel: En typisk smishing-besked kan f.eks. lyde som: “Din ABC Bank-konto er blevet suspenderet. For at låse din konto op, skal du trykke her: https://bit.ly/2LPLdaU”, og det angivne link vil downloade malware på din telefon. Svindlere er også dygtige til at tilpasse sig det medie, de bruger, så du kan få en sms, hvor der står: “Er dette virkelig et billede af dig? https://bit.ly/2LPLdaU”, og hvis du trykker på linket for at finde ud af det, downloader du endnu en gang malware.
Hvad er vishing?
Vishing definition: Vishing (voice phishing) er en type phishingangreb, der udføres pr. telefon og ofte er rettet mod brugere af Voice over IP-tjenester (VoIP) som Skype.
Det er nemt for svindlere at forfalske opkaldsnummeret, så de kan se ud til at ringe fra et lokalt områdenummer eller endda fra en organisation, som du kender. Hvis du ikke tager telefonen, lægger de en voicemailbesked og beder dig om at ringe tilbage. Nogle gange benytter denne form for svindel en telefonsvarer eller endda et callcenter, som ikke er klar over, at der er tale om en forbrydelse.
Og igen er formålet at få fat i kreditkortoplysninger, fødselsdatoer, kontotilmeldinger eller nogle gange blot at høste telefonnumre fra dine kontakter. Hvis du reagerer og ringer tilbage, kan der være en automatisk besked, der opfordrer dig til at udlevere data, og mange mennesker vil ikke stille spørgsmålstegn ved dette, fordi de accepterer automatiserede telefonsystemer som en del af hverdagen nu.
Sådan undgår du smishing og vishing
Vi er lidt mere på vagt med e-mail i dag, fordi vi er vant til at modtage spam, og svindel er almindeligt forekommende, men sms’er og opkald kan stadig føles mere legitime for mange mennesker. I takt med at vi i højere grad handler, foretager bankforretninger og andre aktiviteter online via vores telefoner, bliver mulighederne for svindlere større og større. For at undgå at blive offer skal man stoppe op og tænke sig om.
“Sund fornuft er en generel bedste praksis og bør være den enkeltes første forsvarslinje mod online- eller telefonsvindel”, siger Sjouwerman.
Og selv om rådene om, hvordan man undgår at blive snydt af phishing-svindel, blev skrevet med e-mailsvindel i tankerne, gælder de lige så godt for disse nye former for phishing. I bund og grund er det et godt sted at starte, at man ikke stoler på nogen. Tryk aldrig på eller klik på links i beskeder, slå numre og websideadresser op og indtast dem selv. Giv ikke oplysninger til en opkalder, medmindre du er sikker på, at vedkommende er legitim – du kan altid ringe tilbage.
Det er bedre at være på den sikre side end at være ked af det, så vær altid på den sikre side. Ingen organisation vil bebrejde dig, at du lægger på og derefter ringer direkte til dem (efter at du selv har slået nummeret op) for at sikre dig, at de virkelig er dem, de siger, de er.
Ajourfør din bevidsthedsuddannelse
Selv om det at være på vagt er et godt råd til enkeltpersoner i hverdagen, så er virkeligheden, at folk på arbejdspladsen ofte er uforsigtige. De kan være distraherede, under pres og ivrige efter at komme videre med deres arbejde, og svindelnumre kan være djævelsk smarte. Hvad nu, hvis SMS’en ser ud til at komme fra den administrerende direktør, eller opkaldet ser ud til at være fra en person i HR? Du kan skærpe dine medarbejdere og øge dit forsvar med den rette uddannelse og klare politikker.
Alle virksomheder bør have en form for obligatorisk, regelmæssig uddannelse i sikkerhedsbevidsthed. Det kan omfatte bedste praksis for generel sikkerhed, men også definere politikker, f.eks. hvem der skal kontaktes i tilfælde af noget mistænkeligt, eller regler for, hvordan visse følsomme meddelelser skal håndteres, som gør forsøg på bedrag meget lettere at opdage.
Hvis du bliver udsat for en form for phishing-angreb, skal du foretage ændringer for at sikre, at det aldrig sker igen – det bør også indgå i din sikkerhedsuddannelse.
De fleste smishing- og vishing-angreb bliver ikke rapporteret, og det spiller de cyberkriminelle i hænderne. Selv om du måske er klog nok til at ignorere den seneste mistænkelige sms eller det seneste mistænkelige opkald, kan det være, at Marge i regnskabsafdelingen eller Dave i HR-afdelingen bliver ofre. Hvis du har et system på plads, så folk kan rapportere disse forsøg på angreb, og måske endda en lille belønning for at gøre det, giver det dig mulighed for at advare andre.
Da phishing fortsætter med at udvikle sig og finde nye angrebsvektorer, skal vi være årvågne og løbende opdatere vores strategier til bekæmpelse af det.