Hvordan gjenkjenne svindelforsøk på mobil?

Mobile phishing

Hjemmekontor og karantenetider gjør at vi blir mer digitale – samtidig ser vi en enorm økning i cyberangrep. Mobilen er et viktig arbeidsverktøy for mange, men vi vier ofte mindre oppmerksomhet til sikkerheten på mobilen fremfor på desktop. Noe som er ganske slående når vi vet at svindelforsøk på mobil utgjør den største trusselen vi kjenner til innen cybersikkerhet.

«I et samfunn der behovet for å føle seg informert er ekstremt stort, gir det cyberkriminelle en massiv plattform av intetanende ofre», skriver Francois Mouton, førstelektor i cyber security hos Noraff, i en fersk forskningsartikkel.

Cyberkriminelle slår til når mennesker er følelsesmessig utsatt og de spiller på frykten vår for å lure oss. Vi har allerede sett eksempler på svindelforsøk, slik som falske kart over spredningen av viruset. I artikkelen spår Francois at vi fremover vil se nettsider og phishing e-poster som sier noe slikt som; «COVID-19 testene dine har ankommet» og «Endelig har ditt gratis COVID-19 testsenter åpnet, klikk her for å bestille».

Les mer: Slik utnytter koronakrisen til å utføre cyberangrep

Phishing-forsøk på mobil har økt med slående 85% fra år til år, de siste fem årene, ifølge sikkerhetsgiganten Loockout. Det er all grunn til å tro at angriperne utnytter denne svindelmetoden i aller høyeste grad under koronakrisen også.

Hva er mobile phishing?

“Phishing” er et begrep som brukes for å beskrive digital “fisking” etter sensitiv informasjon på nettet, og det finnes flere forskjellige metoder man kan bruke for å få tak i denne informasjonen. Den mest kjente metoden er e-postsvindel på desktop. De siste årene har phishing på mobil eksplodert. Mobiler åpner nye kanaler for svindelforsøk og utgjør den største trusselen innen cybersikkerhet noensinne. 

Angriperne flytter over til mobil fordi dette er en mer lønnsom plattform å drive svindelforsøk på. Grunnen er at det er vanskeligere å identifisere phishing på mobil, samt vanskeligere å blokkere seg mot det. 

For det første introduserer mobile enheter en rekke nye innganger for angripere. Tradisjonelt sett har angripere brukt e-post som inngang til angrep på desktop, men på mobil må man også ta hensyn til sosiale apper, meldingsapper, personlige e-postkontoer og SMS. 

For det andre skjuler mobilens brukergrensesnitt og form potensielle indikatorer for angrep. For eksempel er det svært vanskelig å forhåndsvise en lenke på mobil. Der en person vanligvis vil holde musepekeren over en lenke for å se hvor den fører på desktop, tilbyr ikke mobil den samme muligheten for forhåndsvisning. 

Mobile enheter brukes også både til personlig bruk og på jobb. Dette betyr at selv om virksomheter har sørget for at deres e-postklienter har phishing-beskyttelse, kan angriperne unytte at en bruker er logget inn på begge kontoene ved å angripe på den personlige kontoen. 

“56% av Lookout sine brukere har mottatt og klikket på en phishing URL på mobil”

Er ditt selskap forberedt dersom dere blir utsatt for et cyberangrep? Last ned vår guide for å lære alt du bør vite om informasjonssikkerhet.

Guide: Alt du bør vite om informasjonssikkerhet

Vanlige metoder for phishing på mobil

Det finnes en mengde metoder som kan brukes for phishing på mobile enheter og det utvikles stadig nye. Her er de mest vanlige, ifølge Lookout

  • Personlig e-post: Dette er de fleste svindlerne sin favoritt metode. Mens de fleste personlige e-postklientene har noe beskyttelse mot phishing, så er angriperne kjent med metoder for å komme seg rundt disse teknologiene og lure ansatte til å gi fra seg sine sensitive data. 
  • Meldingsplattformer: Svindelgrupper slik, som Dark Caracal, har brukt meldingsplattformer som WhatsApp, Facebook, Messenger og Instagram til å lure brukere til å laste ned “spyware” (spionprogramvare) slik som Pallas. 
  • SMS: Dette er typisk meldinger som sier for eksempel “Jeg fant nettopp dette bildet av deg. Sjekk det ut”. Meningen med de er at man skal lure folk til å laste ned malware, og da spesielt surveillanceware (overvåkning). 
  • Skadelige annonsenettverk: Apper bruker URLer i deres backens for å kommunisere med andre tjenester, for eksempel nettverk. Hvis en app har tilgang til en skadelig URL kan det resultere i at personen opplever en skadelig reklamekampanje. 

Kjennetegn på mobilsvindel

1. Hvordan identifisere falske lenker på mobiltelefonen din

Hackerne bruker mange av de samme metodene for å hacke en mobil som de gjør på desktop. Sjekk ut denne filmen for å lære hvordan du kan sjekke om en lenke er falsk eller ikke. 

Å sjekke hver eneste lenke på mobilen din kan være ganske kjedelig og ta mye tid. Man trenger ikke sjekke alle lenker, men dersom du er i tvil på om en lenke er trygg eller ikke, så er det virkelig verdt det å ta en ekstra sjekk. 

2. Sjekk avsenderadressen på e-posten 

De fleste appene for e-poster i dag viser ikke avsenderadressen før du åpner selve e-posten og da kan det være for sent. Siden vi ofte bruker mobilen til å lese e-post er det viktig å lære hvordan man sjekker avsenderadressen på mobil. Ta en titt på denne videoen for å se hvordan: 

Husk også at avsenderadressen kan manipuleres. Vær derfor på vakt mot å sende personlig eller økonomisk informasjon via e-post, selv om avsenderen ser ut til å være en person eller organisasjon du stoler på. 

3. Slik sjekker du om du har kommet til et phishing-nettsted

Noen ganger er vi litt for raske på avtrekkeren og mistenker ikke noe før vi allerede har trykket på lenken. Og når det kommer til mobilen din, har hackerne et par ekstra trekk i ermet. Sjekk ut denne filmen: 

“Vishing” – muntlig phishing

Når teknologien utvikles, utvikles også de metodene svindlerne bruker. Vishing står for “voice phishing” og det handler om når svindlere bruker stemmen sin for å samle inn sensitiv eller personlig informasjon fra personer som de ringer til. Dessverre kan vi ikke lenger stole på en stemme vi kjenner igjen. Det på grunn av eksempler som i mars 2019 da svindlere brukte kunstig intelligens for å forfalske stemmen til en administrerende direktør i et stort energiselskap. Svindlerne fikk energiselskapet til å overføre 220.000 USD til sine egne kontoer (wsj.com). 

Denne saken er også et eksempel på sosial manipulasjon, fordi svindleren ringte en kollega av administrerende direktør (som kjenner stemmen hans) og i tillegg omtalte overføringen som “hastende” og at de trengte en løsningen innen én time. Følelsen av hastverk er et ekstremt vanlig verktøy for sosial manipulasjon, som vi vil komme tilbake til senere. 

Dersom vi trenger et raskt svar på en problemstilling ringer vi ofte hverandre. Siden telefonsamtaler ofte er assosiert med en følelse av at noe haster, er det ikke alltid slik at protokoller følges til punkt og prikke. I stedet har vi en tendens til å stole på den som ringer. 

Se vishing i aksjon her: 

Vil du lære mer om informasjonssikkerhet? Last ned vår guide:

Alt du bør vite om informasjonssikkerhet

1