CERT-IS þykir ástæða til að vara við SMS svikaskilaboðum (e. smishing) sem hafa færst í aukana á undanförnum vikum. Svindlið lýsir sér þannig að viðtakandinn fær SMS sem virðist vera frá innlendum banka eða sendingarþjónustu eins og Póstinum, DHL, FedEx eða UPS. Þegar skilaboðin líta út fyrir að koma frá banka er algengt að þau tilkynni að aðgangi viðtakanda hafi verið lokað vegna öryggisráðstafanna. Skilaboð sem herma eftir sendingaþjónustu benda yfirleitt á að nauðsynlegar upplýsingar vanti til að ljúka tollafgreiðslu eða afhendingu.
Dæmi af slíkum skilaboðum má sjá hér að neðan.
Hlekkirnir í skilaboðunum vísa á svikasíður þar sem beðið er um upplýsingar, meðal annars símanúmer og kreditkortaupplýsingar. Ef símanúmer er gefið upp, er algengt að árásaraðilinn sendi inn beiðni um innskráningu í heimabanka í gegnum rafræn skilríki. Því fær viðtakandinn beiðni í símann og ef hún er samþykkt er árásaraðilinn kominn inn í heimabankann. Í kjölfarið getur hann t.d. millifært pening, sótt um yfirdrátt, hækkað hámarksupphæð kreditkorts og notfært sér það. Einnig er vitað til að greiðslukort séu vistuð í síma eða snjall-úr til notkunar seinna, án þess endilega að svindlið uppgötvist strax.
Þegar smellt er á hlekkinn í skilaboðunum opnast svikasíða sem er eftirlíking af raunverulegri síðu. Það er oft erfitt að sjá muninn á svikasíðunni og raunverulegu síðunni en gott er að skoða hlekkinn vel. Hér að neðan má sjá tvær vefsíður af innskráningarviðmóti Arion Banka, til hægri er svikasíða og til vinstri er síða á vegum Arion banka.
Svikasíður Sendingarþjónustu
Hér má sjá dæmi um svikasíður sem líkja eftir sendingarþjónustunum Pósturinn, UPS, DHL og FedEx. Skjáskotin sýna hvernig ferlið er þegar smellt er á hlekki og leiðbeiningum á síðunum fylgt.
Ljóst er að um er að ræða vel skipulagðar og fágaðar herferðir sem lokka fólk til að samþykkja rafræn skilríki eða gefa upp kreditkortaupplýsingar.
CERT-IS vill beina því til fólks að vera á varðbergi gagnvart svindlum sem þessum og hugsa sig tvisvar um áður en leiðbeiningum frá SMS skilaboðum er fylgt.
Hollráð
-
Grandskoða vefslóðina: Vefslóðin getur verið góð vísbending hvort að um svikasíðu sé að ræða. Það er nauðsynlegt að skoða bæði lén (Domain name) og höfuðlén (TLD – Top Level Domain) vandlega og ganga úr skugga þau séu í samræmi við þjónustuna sem sendandinn segist vera.
- Við höfum til dæmis séð vefslóðirnar posturinn.app, pstrinn.com, posturenn.com og posturinn.net, sem voru allar að reyna að herma eftir alvöru síðunni posturinn.is. Fleiri dæmi um svikasíður sem við höfum séð má finna neðar í greininni.
- Sannreyna sendanda: Í vafa er gott er að hafa samband við þjónustuna beint með samskiptaleiðum sem skráðar eru á vefsíðu þeirra. Mikilvægt er að opna síðuna beint og ekki síðuna sem hlekkurinn vísar á til að finna þær upplýsingar.
-
Skoða símanúmerið: Svikaskilaboð eru oftast send frá óþekktum erlendum númerum.
- Gott er að skoða hvort þú hefur fengið skilaboð frá þessu símanúmeri áður.
-
Nota vefskönnunarþjónustu: Til eru þjónustur sem athuga hvort vefsíður séu svikasíður. Þannig má kanna hvort síður séu hættulegar án þess að opna þær beint.
- Dæmi um slíkar þjónustur: virustotal.com og urlscan.io
- Athugið að þegar svikasíða hefur verið nýlega búin til, birtast hún ekki alltaf strax sem svikasíða í slíkum vefskönnunarþjónustum. Þá er mælt með að bíða í 2-3 klukkutíma og keyra skönnunina aftur.
- Mikilvægt er þó að hafa í huga að skönnunin sem slíkar þjónustur framkvæma eru yfirleitt opnar nema annað sé tekið fram, þ.e. aðrir notendur geta séð niðurstöður skönnunarinnar.
- Leita ráða: Í vafa er gott að leita ráða hjá öðrum. Betur sjá augu en auga og aðrir gætu haft ábendingar eða reynslu sem hjálpar að greina hvort um svik sé að ræða eða ekki.
Eftirfarandi hlekkir eru dæmi af því sem við höfum séð undanfarnar vikur:
- hxxps://clearmypackage[.]com/r/FX4757
- hxxps://packdeliv[.]com/r/FX4757
- hxxps://retry[.]delivery/r/FX4757
- hxxps://fix[.]delivery/r/FX4757
- hxxps://clearance[.]delivery/?cr=US-2-106
- hxxps://port-3000-php-yellow-mouse-samarbenaddi771229.codeanyapp[.]com/ice/log.php
- hxxps://islande-postal[.]com/
- hxxps://ups-customs[.]com?track=F85896565220
- hxxps://poststurrin-is.serveirc[.]com
- hxxps://icealndpost[.]co
- hxxps://posturiinn[.]co
- hxxps://posturinn[.]org
- hxxps://logisticsdh[.]com
- hxxps://myposturinn.web[.]app/
Þetta eru sambærilegar árásir og þær sem við sáum fyrr á árinu og skrifuðum um þann 16. mars 2023. Við teljum þó mikilvægt að vara aftur við þeim þar sem aukning hefur orðið á slíkum herferðum nýlega.
CERT-IS hefur átt í góðu samstarfi við hagsmunaaðila og fjarskiptafélög um að bregðast hratt og vel við svikaherferðum og koma þannig í veg fyrir útbreiðslu og lágmarka skaða. Við fylgjumst stöðugt með tölvuöryggis ástandinu á Íslandi og hver tilkynning hjálpar okkur að fá betri yfirsýn yfir heildarmyndina. Allir geta sent okkur skjáskot af svikaskilaboðum eða vefveiðitölvupóst á [email protected] en einnig er tekið við tilkynningum um slíkt á heimasíðu CERT-IS.