Smishingvind blåser över Europa – hur skyddar vi oss?

Publicerad 2021-05-11 | Författare Christoffer Widjeback

FluBot infekterar Android-användare runt om i Europa. Infektionen sker genom en skadlig app maskerad som spårningsapp för bland annat FedEX, DHL med flera. Skadliga appar för Android-telefoner i sig är inget nytt fenomen och sättet som FluBot agerar på är direkt skadligt. Men det är inte bara den skadliga koden som är anmärkningsvärd. Det vi tycker saknas, eller framför allt får lite fokus i rapporteringen, är själva leveransmetoden SMS. Så hur bör man som verksamhet hantera angrepp som levereras via SMS?

De senaste veckorna har rapporteringen om FluBot florerat i europeiska medier, ofta refererat till UK National Cyber Security Centre’s (NCSC) guide för hur man som användare tar bort den skadliga appen. FluBot är en skadlig app som efter att den har installerats på Android-telefonen eskalerar sina rättigheter och kan sedan stjäla känslig information såsom bankdetaljer, inloggningsuppgifter lagrade på enheten, läcka personlig data samt även skicka SMS vidare till personer i kontaktlistan vilket möjliggör FluBot att spridas vidare precis som influensan – ”the flu”.

Appen är maskerad som en paketleverantörs spårningsapp och kontexten som appen levereras genom utgår ifrån att mottagaren har ett outlöst paket som mottagaren uppmanas att spåra via en länk. Leveransen sker via SMS i en så kallad smishing-attack, och det är just denna leveransmetod vi vill belysa effekten av.

Varför är smishing framgångsrikt?

”Smishing” är den SMS-baserade motsvarigheten till e-postens ”phishing”. Det är en angreppsmetod mot telefoner via SMS med syfte att på olika sätt komma åt data. Den tekniska uppbyggnaden av SMS gör det möjligt att enkelt utge sig för att vara någon annan än den faktiska avsändaren, och det ökar meddelandets trovärdighet hos mottagaren – och därmed risken för angriparen att nå sitt mål. Detta är den största sårbarheten med protokollet, dessutom är det krångligt att bevaka inkommande SMS-trafik. Därtill är SMS begränsade till endast 160 tecken inkluderat bifogade länkar, vilket ger avsändaren utrymmet att endast fatta sig kort. Avsändaren behöver alltså inte engagera sig i att anpassa ett meddelande som passar in i mottagarens miljö och kultur. Mottagaren förväntar sig troligen inget annat än kortfattad information dessutom.

”Känd” avsändare och ett kortfattat meddelande som sannolikt sorterats in i en redan pågående dialog i SMS-appen. Dessa parametrar hjälper till att förstärka trovärdigheten och därmed effekten av smishing-angreppet.

Smishing vs. phishing

Effekten av smishing-angrepp är generellt sett högre än för phishing. I Promobilitys egna mätningar kan vi se att click-rate i ett simulerat phishing-angrepp är mellan 3-5% på verksamhetsnivå för mogna och medvetna verksamheter. Motsvarande smishing-angrepp mäter ca 30-40% i click rate. Alltså kan användaren vara upp till tio gånger mer riskbenägen vid en smishing-attack.

Hur skall verksamheten skydda sig?

Det finns inte ett piller som löser hela huvudvärken. En kombination av tekniska lösningar och användarmedvetenhet är de två viktigaste komponenterna för att förstärka skyddet mot smishing-angrepp. De tekniska lösningarna skall verka främst för att upptäcka angrepp och kunna förstå vad som har hänt. Därtill kunna motverka och förhindra att skada uppstår. Men den bästa medicinen är att sörja för att klick på skadliga länkar inte uppstår, och därmed reducera risken för att angrepp faktiskt lyckas. En riskmedveten användare som inte klickar på skadliga länkar, laddar ner skadliga appar eller läcker företagsdata ger bra avkastning i säkerhetsarbetet.

Utbildning och mätning är A och O

Att löpande utbilda användarna i riskmedvetenhet är ett processorienterat, strategiskt och långsiktigt arbete som aldrig tar slut. Utbildningsresan bör börja i en kartläggning av sitt nuläge, där en mätning av verksamhetens benägenhet att klicka på skadliga länkar genomförs. Därefter utbildas verksamheten löpande genom exempelvis nano-learning, klassrumsutbildning och informationskampanjer. Mätningen repeteras sedan löpande för att kontrollera att utbildningen ger önskad effekt.

Läs mer om hur Promobility kan hjälpa er verksamhet att testa riskmedvetenhet vid en smishing-attack.

Offer för FluBot?

Om din enhet har blivit infekterad av FluBot på din Android-enhet skall du omedelbart hantera detta för att undvika fler risker. Gör följande:

Koppla bort enheten från alla nät (både Wi-fi och mobilnät)
Fabriksåterställ enheten
Återställ inte enheten från backup
Ladda ned dina appar igen från Google Play
Säkerställ att du endast laddar ner uppdaterade, godkända och säkra appar

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.