– Hva er dette? skrev Nettavisens journalist da hun fikk en merkelig melding fra et ukjent, norsk nummer.
– Hvem er du? fikk hun til svar.
Slik lød en lettere merkelig SMS-samtale mellom en av Nettavisens journalister og Rune Fredriksen søndag. Fredriksen hadde da blitt utsatt for det ekspertene kaller for «Smishing» – svindlere hadde sendt ut en lang rekke SMS-er der visningsnummeret tilhørte en intetanende Rune. Dette for å gi legitimitet til SMSen, gjennom at det kommer fra et norsk nummer.
Det var ikke bare Nettavisens journalist som fikk melding – 99 andre tilfeldige numre ble også mottakere.
I meldingen sto det:
«Godkjenn betalingen din til Elkjøp Norge på 3002,33 Kroner
med kode: F7A3
Kjenner du ikke til denne betalingen?
Sikre betalingskortet ditt her:» med en lenke til en nettside.
Sjekk lengre ned i saken hva som skjer hvis du går inn på nettsiden.
– Det var mange som ringte og sendte SMS på søndag, som lurte på hva i alle dager jeg drev med – drev og krevde inn penger fra de, sier Fredriksen til Nettavisen med en liten latter.
– Men det er jo ikke bra dette, sier han i en litt mer alvorlig tone.
De fleste personene som hadde fått melding forsto kjapt at det ikke var Rune som egentlig sto bak meldingene.
– Men det er ubehagelig uansett, legger han til.
Han er kjapp med å identifisere og slette slike svindelmeldinger selv, forteller han til Nettavisen.
Hva skjedde?
Ordet «smishing» er sammensatt av SMS og phishing.
– Den vanligste metoden er at bakmennene benytter tilgjengelige SMS-tjenester på nettet som hvem som helst med litt teknisk kompetanse kan misbruke til å lage falske meldinger. Bakmennene kan selv bestemme innholdet i SMS-en – både avsendernummer/avsendernavn og meldingstekst, sier sikkerhetsrådgiver i Telenor, Thorbjørn Busch, til Nettavisen.
Metoden som er brukt her avviker litt fra tradisjonell smishing, forteller han.
– I denne saken er SMS-ene sendt fra Mine-Sider hos Talkmore. For å logge seg på Mine sider trenger man brukernavn og passord. Hvem som har sendt meldingene vites ikke, legger han til.
Det som sannsynligvis har skjedd i dette tilfellet er at brukernavn og passord har kommet på avveie.
Les også: Behandler klage mot Telenor: - Dette kan ende med mekling
Intensjonen bak slike SMS-er er å få mottakeren til å handle irrasjonelt, og trykke på den vedlagte lenken, forteller Busch.
– Bakmennene bruker sosial manipulasjon til å lure ofrene. I dette tilfelle spilles det på frykt og tidspress hos mottakeren av SMS-en. Mottakeren foreldes til å tro at noen har benyttet kortinformasjonen til mottakeren, og man gis et kort tidsvindu på å stoppe misbruket. Dette er selvfølgelig bare løgn, men lett å la seg lure av!
Han har selv testet lenken, og gått svindelen i sømmene.
Slik svindles du
Når du trykker på lenken i SMS-en kommer du inn på denne siden, som imiterer en bankID-side:
Etter at svindlerne har personnummeret ditt er telefonnummeret det neste de vil ha:
Deretter skal de ha navn på banken din:
Så kortinformasjon:
Deretter får du melding om at alt er i orden, noe det på ingen måte er. Ironisk nok merket «Sikkerhet»:
Enkelte svindlere følger med i sanntid. I det neste steget bes du om å oppgi bankID-opplysningene dine.
– Idet du taster inn engangskoden fra BankID på den falske nettsiden, kan svindlerne lese av denne. Siden de også har fødselsdatoen din, kan de raskt logge inn i for eksempel den ekte nettbanken din før koden blir for gammel, sier Busch.
Les også: Avsatt minister med sterk appell til Norge og Telenor: - Vi stolte på dere
– Dette er mulig fordi bakmennene sitter parat, i sanntid, og følger med på alt du skriver på den falske nettsiden – som de kontrollerer. Straks de er inne i nettbanken, setter de gjerne i gang en overføring av penger ut av kontoen din, legger han til.
– Men siden slike overføringer gjerne krever en egen godkjenning via BankID, kan de la deg tro at «innloggingen» din feilet, eller at du blir bedt om å gjennomføre flere BankID-bekreftelser. Når du da forsøker å «logge inn» på nytt med en ny BankID-kode, har du i realiteten gitt svindlerne koden de trenger for å godkjenne overføringen ut av kontoen, sier Busch.
Les også: Ny svindel brer om seg: Dette må du aldri gjøre i SMS
Om du besøker lenken nå vil du bli møtt av dette varselet, dersom du er Telenor-kunde:
Nye tider
– At svindlerne nå tar i bruk svindel i sanntid, skjer som en konsekvens av at mange nettsider og tjenester har fått bedre sikkerhetstiltak, blant annet ved at du må godkjenne en transaksjon med BankID eller en kode, et passord eller en SMS, forteller Busch.
– Det holder dermed ikke lenger bare med «gammeldags» phishing, der svindlerne sendte ut tusenvis av falske e-poster på jakt etter brukernavn, passord eller kontoopplysninger (selv om disse massebedrageriene vil fortsette i stort omfang også fremover), legger han til.
Les også: Solgte mobilselskap til milliardær på «dirty list». Norge får brutal kritikk
– Nå må ikke svindlerne bare involvere seg selv mye mer aktivt i svindelen – de må i langt større grad også involvere deg i prosessen, sier Busch.
Ingen er trygge
Nummer-misbruket som Rune ble utsatt for kan skje hvem som helst, ifølge Telenors sikkerhetsrådgiver.
– Ja, det er ingen som er skånet fra å få nummeret sitt misbrukt til spoofing via SMS, sier Busch til Nettavisen.
Les også: Marthe (52) ble forsøkt svindlet for 40.000 kroner. Nå advarer svindeljeger mot ny metode
Det finnes likevel enkelte sperrer:
– Vi forsøker å hindre utsendelse av SMS der det er mulig. Talkmore har en sperre på maks 100 SMS i løpet av en dag for å redusere misbruk. I denne saken har grensen blitt nådd, opplyser sikkerhetsrådgiveren.
– Når vi mottar opplysninger eller detekterer phishing-kampanjer via SMS eller e-post, legger vi URL-en inn i et filter som heter Nettvern. Dette gjør at Telenorkunder ikke kan ta seg inn på de skadelige sidene. Trykker du på lenken, vil du få opp et varsel om at siden er blokkert, sier han.
Kjente merkenavn
Ofte blir kjente merkevarenavn misbrukt til å skape troverdighet hos mottakeren.
– Det er mange som har et kundeforhold til Elkjøp, og mange er også tilknyttet deres kundeklubb «Elkjøps kundeklubb». Derfor vil en SMS fra Elkjøp virke troverdig, sier Busch.
Ikke bare står kjeder som Elkjøp og DNB ofte som avsender. I mange tilfeller legger også meldingene seg i samme SMS-tråd som tidligere, ekte, henvendelser.
– Noe som bare bidrar til å styrke den falske tilliten til avsenderen, sier Busch.
Les også: Mímir Kristjánsson slår alarm om digitale klasseskiller – vil avskaffe gebyrer for papirfaktura
Elkjøps kommunikasjonssjef, Madeleine Schøyen Bergly, forteller til Nettavisen at de kjenner til hendelsen:
– Vi har i dag fått flere henvendelser om denne varianten du deler her, samt falske meldinger og poster på Facebook. Vi ønsker igjen å be folk være obs, og slette mistenkelige meldinger med en gang, sier hun.
– Vi syns selvsagt det er frustrerende og lite hyggelig at det blir sendt ut denne type svindler, og bruker vår merkevare for å gjøre det. Det viktigste vi gjør nå, er å informere i våre kanaler slik at ingen biter på disse utsendelsene, legger hun til.