Smishing och vishing: Hur dessa cyberattacker fungerar och hur man förhindrar dem

Smishing och vishing är typer av nätfiskeattacker som försöker locka offer via sms och röstsamtal. Båda bygger på samma känslomässiga vädjan som används i traditionella nätfiskebedrägerier och är utformade för att få dig att vidta brådskande åtgärder. Skillnaden är leveransmetoden.

”Cybertjuvar kan tillämpa manipulationstekniker på många former av kommunikation eftersom de underliggande principerna förblir konstanta”, förklarar Stu Sjouwerman, vd för KnowBe4, som är ledare för säkerhetsmedvetenhet. ”Locka offren med bete och fånga dem sedan med krokar.”

Vad är smishing?

Smishing definition: Smishing (SMS phishing) är en typ av nätfiskeattack som utförs med hjälp av SMS (Short Message Services) på mobiltelefoner.

Som vid nätfiske via e-post innehåller smishing-meddelanden vanligtvis ett hot eller en lockelse att klicka på en länk eller ringa ett nummer och lämna ut känslig information. Ibland kan de föreslå att du installerar en säkerhetsprogramvara som visar sig vara skadlig programvara.

Smishing-exempel: Ett typiskt smishing-textmeddelande kan vara ungefär så här: ”Ditt konto hos ABC Bank har stängts av. Tryck här för att låsa upp ditt konto: https://bit.ly/2LPLdaU” och den angivna länken laddar ner skadlig kod till din telefon. Bedragare är också duktiga på att anpassa sig till det medium de använder, så du kan få ett sms där det står: ”Är det här verkligen en bild på dig? https://bit.ly/2LPLdaU” och om du trycker på länken för att ta reda på det laddar du ner skadlig kod.

Vad är vishing?

Vishing definition: Vishing (voice phishing) är en typ av phishing-attack som utförs via telefon och som ofta riktar sig till användare av VoIP-tjänster (Voice over IP) som Skype.

Det är lätt för bedragare att förfalska nummerpresentationen, så att de kan se ut att ringa från ett lokalt riktnummer eller till och med från en organisation som du känner till. Om du inte svarar lämnar de ett röstmeddelande där de ber dig att ringa tillbaka. Ibland använder sig den här typen av bedrägerier av en svarstjänst eller till och med ett callcenter som inte känner till brottet.

Igen är syftet att få fram kreditkortsinformation, födelsedatum, inloggningsuppgifter till konton eller ibland bara att samla in telefonnummer från dina kontakter. Om du svarar och ringer tillbaka kan det finnas ett automatiskt meddelande som uppmanar dig att lämna ut uppgifter och många människor kommer inte att ifrågasätta detta, eftersom de accepterar automatiska telefonsystem som en del av vardagen numera.

Hur man förhindrar smishing och vishing

Vi är lite mer på vår vakt när det gäller e-post nuförtiden eftersom vi är vana vid att ta emot skräppost och bedrägerier är vanliga, men sms-meddelanden och samtal kan fortfarande kännas mer legitima för många människor. I takt med att vi gör mer av våra inköp, bankärenden och andra aktiviteter online via våra telefoner ökar möjligheterna för bedragare. För att undvika att bli ett offer måste man stanna upp och tänka efter.

”Sunt förnuft är en allmän bästa praxis och bör vara individens första försvarslinje mot nät- eller telefonbedrägerier”, säger Sjouwerman.

Och även om råden om hur man undviker att bli lurad av nätbedrägerier skrevs med e-postbedrägerier i åtanke gäller de för dessa nya former av nätbedrägerier precis lika bra. I grund och botten är det bra att börja med att inte lita på någon. Tryck aldrig på eller klicka på länkar i meddelanden, sök upp nummer och webbadresser och skriv in dem själv. Ge ingen information till en person som ringer om du inte är säker på att de är legitima – du kan alltid ringa tillbaka.

Det är bättre att vara säker än att vara ledsen, så var alltid försiktig. Ingen organisation kommer att klandra dig för att du lägger på och sedan ringer dem direkt (efter att ha kollat upp numret själv) för att försäkra dig om att de verkligen är den de utger sig för att vara.

Uppdatera din utbildning i medvetenhet

Och att vara på sin vakt är ett bra råd till privatpersoner i det vardagliga livet, men i verkligheten är det så att människor på arbetsplatsen ofta är oförsiktiga. De kan vara distraherade, pressade och ivriga att komma vidare med sitt arbete, och bedrägerier kan vara djävulskt smarta. Vad händer om SMS:et ser ut att komma från vd:n eller om samtalet ser ut att komma från någon i personalavdelningen? Du kan skärpa dina anställda och öka ditt försvar med rätt utbildning och tydliga riktlinjer.

Varje företag bör ha någon form av obligatorisk, regelbunden utbildning i säkerhetsmedvetenhet. Den kan innehålla bästa praxis för allmän säkerhet, men också definiera riktlinjer, t.ex. vem man ska kontakta om något är misstänkt eller regler för hur viss känslig kommunikation ska hanteras, som gör försök till bedrägerier mycket lättare att upptäcka.

Om du drabbas av någon form av phishing-attack ska du göra ändringar för att se till att det aldrig händer igen – det bör också påverka din säkerhetsutbildning.

Majoriteten av smishing- och vishing-attackerna rapporteras inte, och detta spelar cyberkriminella i händerna. Även om du kanske är smart nog att ignorera det senaste misstänkta sms:et eller samtalet, kanske Marge i bokföringen eller Dave i personalavdelningen faller offer. Om ni har ett system som gör det möjligt för människor att rapportera dessa attackförsök, och kanske till och med en liten belöning för att göra det, ger det er en möjlighet att varna andra.

I takt med att nätfiske fortsätter att utvecklas och hitta nya angreppsvektorer måste vi vara vaksamma och kontinuerligt uppdatera våra strategier för att bekämpa det.

Lämna ett svar

Din e-postadress kommer inte publiceras.