Kampen mod smishing - hvordan vores ekstremt effektive tiltag virker
SMS phishing, eller smishing, er et stigende problem globalt, hvor flere rapporter peger på en markant stigning de seneste par år i Europa samt globalt.
Kapløbet mellem svindlere på den ene side og teleselskaberne samt SMS platforme på den anden side har været i gang i mange år, og der er ikke nogen udsigt til en endelig løsning lige foreløbig.
I GatewayAPI-teamet tager vi denne udfordring meget seriøst og gør alt, hvad vi kan, for at sikre, at vi forhindrer så mange phishing beskeder som muligt i at nå modtagerne. Nedenfor kan du læse mere om, hvilke tiltag vi har sat i søen, samt hvor effektive de har været (spoiler: de har været meget effektive!).
Bemærk, at vores sikkerhedsforanstaltninger er den første forsvarslinje, og at de fleste teleselskaber også har deres egne filtre samt krav til fx Sender ID registrering eller krav om brug af et virtuelt numre, som set i Nordamerika.
Hvad er smishing?
Smishing er en form for økonomisk svindel, hvor svindlere bruger SMS-beskeder til at lokke oplysninger ud af modtagerne. For privatpersoner er smishing en alvorlig trussel, der kræver ekstra forsigtighed ved modtagelse af mistænkelige SMS’er.
Over 1 mio. smishing-beskeder blokeret de seneste 6 måneder
Vi kan med al ydmyghed konstatere, at alle vores sikkerhedsmekanismer tilsammen har standset intet mindre end 1.051.345 smishing beskeder (og potentielle smishing beskeder) de seneste seks måneder.
Vores indsatser består blandt andet af en verifikationsproces samt et URL og Sender ID filter. Vedligeholdelsen af filtrene er ikke nogen nem opgave, og det kræver et stort kontinuerligt arbejde at holde dem opdaterede for at tilpasse dem til det stadigt skiftende trusselslandskab.
Verifikationsproces
Vores forsvar består først og fremmest af en verifikationsproces af nye brugere, så vi er sikre på, at de repræsenterer legitime virksomheder – og endnu vigtigere, at de rent faktisk repræsenterer de virksomheder, de hævder at repræsentere.
Af og til kommer phishing beskederne også fra GatewayAPI-konti, som har været kunder hos os i længere tid, det kan fx ske hvis API-nøglerne er blevet videregivet over et usikkert medie og derefter er blevet opsnappet af en hacker. Vi opfordrer derfor også alle vores kunder til at følge anbefalingerne i dette blogindlæg samt her, så deres GatewayAPI-konti samt de systemer, der er knyttet til vores SMS API, så vidt som muligt er sikret mod at blive udnyttet af svindlere.
URL-filter
For at imødegå brugen af links til sider, hvor svindlere enten kan franarre modtageren oplysninger eller installere malware, har vi først og fremmest et URL-filter, som bremser alle beskeder, der indeholder en URL, som ikke er blevet whitelistet af vores team på forhånd.
Det betyder i princippet, at man kun kan komme igennem denne del af vores forsvar ved at sende en besked uden et link, hvilket i så fald sandsynligvis vil være spam i stedet for. Imens spam uden tvivl kan være generende, så er det ikke forbundet med de samme graverende samfundsomkostninger, som phishing er.
Læs mere om URL whitelisting her, samt hvordan processen foregår, hvis du ønsker at inkludere et link til din hjemmeside.
Sender ID filter
Svindlere vil ofte forsøge at sende en besked med et Sender ID fra et kendt brand eller organisation, som folk kender og stoler på og inkludere et phishing link i teksten. Se eksempler på forskellige typer af phishing angreb nederst i blogindlægget.
Vores Sender ID filter sammenholder Sender ID’et i beskeden med en liste over typiske Sender IDs samt typiske mønstre i forbindelse med phishing-angreb. Sender ID’er der fx indeholder ordet “bank”, “Apple”, “skat” eller “GLS” vil ofte blive blokeret – medmindre de er blevet godkendte af vores team på forhånd.
Den samfundsmæssige gevinst ved at bremse SMS phishing
Vores blokering af over en million smishing-beskeder er et betydningsfuldt resultat, som har mange positive gevinster.
Lad os undersøge dette nærmere.
Succesraten for SMS phishing kan variere meget afhængigt af det specifikke angreb og den enkelte målgruppes tilbøjelighed til at falde for svindelnumre. Svindlere deler sjældent data på succesraten for deres angreb (af indlysende årsager), så det meste er kvalificerede bud.
Det vi dog ved er, at befolkningen generelt har en høj tillid til SMS, at svindlere nemt kan udarbejde en SMS phishing besked – det er fx meget nemmere end på email – og at åbningsraten på links i SMS generelt er op til otte gange højere end ved links i emails. Med alt det in mente, må man formode, at en betydelig andel af modtagerne klikker på det link, som er i smishing beskeden, samt at succesraten er betydelig højere for SMS phishing end for email phishing.
Forhindring af økonomiske tab, spredning af malware samt identitetstyveri
Man kan først og fremmest forhindre økonomiske tab for enkeltpersoner og organisationer ved at forhindre, at smishing når frem.
For det andet forhindrer blokeringen af smishing, at malware kan sprede sig. Nogle smishing-beskeder bruges nemlig til at lokke folk til at installere malware på deres enheder, som derefter kan bruges til at stjæle oplysninger eller få uautoriseret adgang til netværk og systemer.
For det tredje forhindrer det skade på organisationers omdømme. Når smishing beskeder udgiver sig for at være en organisation, ofte ved at bruge et lignende Sender ID, og det lykkes dem at narre en række modtagere, kan det være skadeligt for den organisation, som beskeden udgiver sig for at være fra.
Ved at blokere over en million SMS-beskeder har filtrene klart demonstreret deres effektivitet, hvilket med stor sandsynlighed har reddet tusindvis af borgere fra et samlet tab på millioner af kroner.
Eksempler på forskellige typer af SMS phishing angreb
Ved eksemplerne nedenfor er det som udgangspunkt finansielle gevinster, som er målet. Smishing beskeder bruges nemlig ofte til at skaffe oplysninger, som derefter kan bruges til at begå bedrageri eller identitetstyveri.
Se eksempler nedenfor på de forskellige strategier, som svindlerne anvender:
- Brand phishing-angreb: Såsom ‘Visa’, ‘Apple’, ‘PayPal’ osv. Oplysningerne sælges derefter på det sorte marked.
- Pakketjeneste: SMS-beskeder, der underretter brugeren om, at deres pakke er klar til afhentning. Brugerne skal bare lige klikke på et link først.
- Skræmmeteknikken: SMS-beskeder, der underretter brugeren om, at ens bankkonto eller Apple konto er blevet låst på grund af et uautoriseret login, ledsaget af et phishing-link.
- Nigeriansk prins: Et eksempel der landede i en af vores medarbejderes indbakke så således ud: “My name is Mr Gatan, I work with Medirect Bank in Malta. Can i trust you with a business worth $21.3 millions? reply ONLY to my email….” og derefter et link. Ikke ligefrem overbevisende, men det må næsten virke på nogen, siden den type beskeder stadig sendes ud.
- Du har vundet: Selv lokale biografer og restauranter anvendes nu som sender ID, hvor modtagerne får at vide, at de har vundet i en konkurrence. Generelt er der mange forskellige “du har vundet” phishing-angreb. Når beskederne gøres hyperlokale, hjælper det yderligere med at sænke folks parader.
Et kig på fremtiden
De seneste rapporter om smishing-angreb verden over er ikke ligefrem opmuntrende, og bare i USA alene har der været en massiv stigning de seneste par år, bl.a. pga. COVID-19 og den efterfølgende stigning i brugen af informationsteknologi. Derudover viser undersøgelser, at smishing lige nu er den mest udbredte form for mobilbaseret svindel.
Som nævnt i starten har det været en lang sej kamp for telekommunikationsindustrien, og det kommer til at kræve en stor indsats hele vejen rundt for at bremse det. Ved GatewayAPI har vi en række yderligere tiltag i støbeskeen samt en opgradering af eksisterende tiltag, så vi kan fortsætte med at gøre vores del for at standse smishing.
GatewayAPI har nogle af de laveste priser i størstedelen af verden kombineret med en intuitiv brugergrænseflade, support i verdensklasse og en solid oppetid på over 99,99% i gennemsnit. Hvis du ikke har en konto endnu, kan du oprette en gratis konto på under to minutter her: Gå til GatewayAPI eller skriv til sales@gatewayapi.com.