Smishing, altså SMS-svindel, blir stadig farligere. Slik kan du beskytte deg

Det skjer over 2000 daglige cyberangrep i Norge, og antallet stiger hvert år. Det er kanskje prisen for å leve i et samfunn der digitaliseringen er høy og sikkerheten ikke alltid er tilfredsstillende.

Mange av oss kjenner allerede til phishing, og har kanskje lært oss å være forsiktige når det gjelder å klikke på lenker i eposter fra mistenkelige avsendere.

Den vektoren som imidlertid vokser raskest er smishing, altså SMS-svindel. Det vil si tekstmeldinger som inneholder skadelige lenker eller filer.

Få reguleringer i Norge

Smishing er spesielt utbredt i nordiske land, og det er tydelige grunner for det: Blant annet få reguleringer når det gjelder hvem som kan sende ut tekstmeldinger, som gjør det lett å forfalske avsender, og utgi seg for å være et offentlig organ, for eksempel. I Norge finnes det få effektive beskyttelsessystemer som omfatter SMS-svindel. Til sammenligning har Finland et offentlig avsenderregister som bedrifter og organisasjoner må være en del av. 

Videre er selve formatet lett å misbruke. Tekstmeldinger fremstår som mer personlige, mer umiddelbare, enn eposter. Det er fort gjort å besvare en falsk tekstmelding, eller klikke på en lenke, og dermed bli lurt. Det er heller ikke så enkelt å sjekke legitimiteten til avsenderen eller lenken i en SMS, som det er i en epost. Her bruker de kriminelle sosial manipulering i stor grad.

Det er altså gode grunner for at angriperne velger Norge. Det er et gjennomdigitalisert samfunn, med høy utbredelse av digitale enheter, og høy grad av tillit til offentlige organer.

Den perfekte stormen

Alle disse aspektene skaper en slags perfekt storm som legger opp til svindel, og resultatet er at rundt 800.000 nordmenn kunne i fjor rapportere at de er blitt utsatt for økonomisk kriminalitet, på tvers av forskjellige angrepsmetoder, også inkludert phishing og vishing (falske telefonsamtaler).

Phishing, for eksempel, har økt med 77 prosent i 2024, i forhold til tidligere år. Mange av ofrene er yngre (18-29 år) og bosatt i urbane sentre som Oslo (28 prosent).

Når det gjelder smishing, blokkeres det nå opptil 45.000 falske tekstmeldinger daglig bare hos Telenor.

Data viser at spesielt smishing er effektivt. Angrepene resulterer gjerne i 20-30 prosent klikkrate, og kan nå opptil 50 prosent ved veldig spesifikke angrep. Til sammenligning er klikkraten på tradisjonell epost-phishing nærmere 12 prosent.

Konkrete trusler

Det foreligger flere eksempler på smishing og lignende angrep som har vært omfattende og veldig kostbare for samfunnet. I 2023 brukte en organisert gruppe en såkalt IMSI-fanger som lurte mobilmaster til å sende flere hundre tusen falske SMS-meldinger til nærliggende telefoner. Meldingene utgav seg for å komme fra banker som DNB og Bank Norwegian, samt DHL. De inneholdt lenker som ledet til nettsteder som stjal informasjon, og flere hundre personer ble lurt av disse lenkene.

Et annet sofistikert angrep i 2024 gikk ut på å sende ut SMS-meldinger som utgav seg for å komme fra blant annet Statens vegvesen og AutoPASS. Meldingene påstod at mottakerne hadde ubetalte bompenge-fakturaer, og innehold phishing-lenker som stjal bankinformasjon.

Smishing og beslektede angrep er altså ikke bare problematiske for privatpersoner, men går utover samfunnet som helhet. I 2023 har cyberangrep kostet det norske samfunn 928 millioner kroner.

Kommer til å vokse i tiden fremover

Det advares nå mot stadig mer sofistikerte angrepsmetoder. En kombinasjon av tekstmelding og en påfølgende telefonsamtale, for eksempel. Takket være avansert spoofing er det lett å etterligne avsendere, og kunstig intelligens samt deepfake-stemmer gjør det svært enkelt å lure folk.

De kriminelle er også stadig flinkere til å bruke nordiske språk, med korrekt grammatikk og rettskriving. Hybridangrep, kjent som TOAD (Telephone-Oriented Attack Delivery), er svært effektive da de kombinerer digital og stemmebasert manipulering.

Slik blir du sikrere

Det finnes heldigvis måter å forsvare seg på. Bedre sikkerhet på arbeidsplassen er en god start: Mange i norske bedrifter bruker den samme telefonen privat og på jobb, noe som gjør det utfordrende å ivareta sikkerhet. Der er det viktig for bedriftene å innføre strengere sikkerhetskrav. Det å investere i teknologier som kan avsløre og beskytte fra trusler er også essensielt.

Noe av det viktigste er imidlertid kunnskap. Bevisste brukere som kjenner til sikkerhetsproblematikk, som vet hvordan man skal unngå å bli svindlet, kan ofte beskytte bedriften bedre enn de mest påkostede sikkerhetssystemene.

Nimblr tilbyr kurs basert på ekte situasjoner, ekte menneskelig oppførsel, og som bygger på ekte trusler. Ikke minst omfatter kurspakkene troverdige, simulerte angrep, som gjør det mulig å teste ut kunnskapene i praksis.