Vad är SMS Spoofing?

Förfalskning av SMS innebär att man ändrar avsändarinformation i bedrägligt syfte, t.ex. telefonnummer och kontaktnamn. Ett falskt sms kan inte besvaras eller blockeras. Spoofing bygger helt och hållet på imitation.

Du får ett sms från en person som du tror att du känner, men något verkar inte stämma vid närmare granskning. Namnet och mobilnumret är inte identiska med dem som finns i personens kontaktlistor, utan de är bara lika.

Attackerna mot cybersäkerhet ökar snabbt. Phishing och liknande bedrägerier som spoofing var den vanligaste typen av cyberbrottslighet som rapporterades till USA. Internet Crime Complaint Center 2021, och påverkade nästan 324 000 personer.

Intressant? Kanske, ja. Hur spännande det än låter, är denna förmåga onekligen skadlig när den används på fel sätt.

Hur fungerar SMS-spoofing?

Du kanske tror att SMS-spoofing är ett problem från 2000-talet, men du kanske blir förvånad när du får veta att det tros ha sitt ursprung i flera decennier. En egyptisk befälhavare vid namn Sultan Baybars intog framgångsrikt det mäktiga Krak des Chevaliers år 1271 genom att ge de belägrade riddarna ett förfalskat brev från sin befälhavare och beordra dem att underkasta sig. Till slut gav riddarna upp och upptäckte att brevet var falskt.

SMS-spoofing fungerar genom att dölja den riktiga avsändarens telefonnummer i ett SMS-meddelande så att det ser ut att komma från en annan enhet. Detta kan göras på två sätt:

  • Du kan skicka ett SMS-meddelande från offrets telefon till någon som du vill kommunicera med. På så sätt luras mottagaren att tro att meddelandet kommer från någon du känner, till exempel en vän eller kollega.
  • Du kan skicka ett SMS-meddelande från en annan persons telefonnummer till en person som du vill kommunicera med. På så sätt kan du lura mottagaren att tro att meddelandet kommer från någon annan, till exempel en vän eller kollega.

Smishing och SMS Spoofing: Vad är skillnaden?

SMS-spoofing och smishing är två typer av bedrägerier som använder textmeddelanden för att få känslig information från intet ont anande offer. Båda bygger på social ingenjörskonst men skiljer sig åt i hur de riktar sig till dig.

Spoofing av SMS

SMS-förfalskning sker när en hackare skickar ett SMS-meddelande från ett oigenkännligt nummer. Meddelandet kan se ut att komma från någon du känner eller från ett företag eller en organisation som du litar på. Syftet med dessa attacker är att lura dig att svara eller klicka på en länk som laddar ner skadlig kod till din telefon eller dator.

Smishing

Smishing liknar sms-förfalskning, men hackare skickar falska e-postmeddelanden med skadliga länkar inbäddade i dem i stället för att använda textmeddelanden. Om du klickar på länken försöker den antingen installera skadlig kod på din enhet eller tar dig till en falsk webbplats där du ombeds att lämna personuppgifter som kreditkortsnummer och personnummer.

Vad är en SMS-spoofing-attackvektor?

Angreppsvektorer för sms-förfalskning låtsas vara meddelanden från en pålitlig källa för att lura mobiltelefonanvändare att lämna ut sin personliga information. Ett e-postmeddelande med en länk eller en körbar fil används vanligtvis för att sprida denna attack. Så snart knappen trycks ned kan angriparen få tillgång till offrets meddelanden och skicka dem för offrets räkning.

För att offren lätt ska kunna lämna, skicka eller avslöja konfidentiell information är det nödvändigt att få dem att tro att de talar med en betrodd vän eller familjemedlem. Denna teknik kan utge sig för att vara flera personer samtidigt, beroende på antalet samtidiga mottagare och spoofing-attackvektorn.

Typer av SMS-spoofing

Det finns många olika typer av SMS-spoofing, bland annat:

Falska avsändar-ID:n

Den vanligaste typen av spoofing är att ersätta det riktiga avsändar-ID:t med ett annat nummer eller namn. På så sätt kan bedragare uppträda som någon annan - t.ex. din bank eller ditt kreditkortsföretag - och lura dig att lämna ut personlig information eller ladda ner skadlig programvara. De kan också förfalska nummerpresentation genom att ringa falska samtal utöver textmeddelanden.

Oönskade massmeddelanden (UBM)

UBM:s är oönskade meddelanden som ser ut att komma från någon du känner men som kommer från en okänd källa. Dessa meddelanden kan innehålla länkar till skadliga webbplatser, nätfiskeattacker och andra bedrägerier som syftar till att stjäla personlig information från mobila enheter.

Trakasserier

Denna typ av SMS-spoofing innebär vanligtvis att hotfulla eller olämpliga meddelanden skickas till andra personer. Den används ofta av förföljare, mobbare och cybermobbare som vill skrämma sina offer. Vissa trakasserare använder den här metoden för att försöka pressa ut pengar från sina offer genom att hota dem med konsekvenser om de inte betalar.

Falska penningöverföringar

Det kan till exempel handla om att skicka ett e-postmeddelande där det påstås att du har vunnit ett pris för att du ska överföra pengar till ett konto så att de kan gå till välgörenhet. Eller så kan det vara en mer ondskefull typ av bedrägeri där hackare försöker stjäla dina personuppgifter genom att påstå att du har vunnit ett pris men sedan be om dina bankuppgifter så att de kan sätta in pengarna på ditt konto.

Företagsspionage

Vid denna attack skickar en hackare ett SMS till din mobiltelefon med en länk till en skadlig webbplats. När du klickar på länken omdirigeras du till en annan webbplats och stjäl dina personuppgifter och inloggningsuppgifter, som angriparen kan använda för att komma åt företagets resurser eller stjäla pengar från dig.

SMS-spoofing: Vilka är de legitima användningsområdena?

De legitima användningsområdena för sms-förfalskning är bland annat massmeddelanden, officiella meddelanden och identitetsskydd.

Tjänster för massutskick av meddelanden

SMS-spoofing kan skicka massmeddelanden till flera mottagare samtidigt. Detta är särskilt användbart för företag som vill nå ut till sina kunder på ett kostnadseffektivt sätt.

Officiella meddelanden

Myndigheter använder också sms-förfalskning för att skicka viktiga meddelanden, t.ex. om skattedatum eller varningar om naturkatastrofer. När du skickar dessa meddelanden måste de komma från en officiell källa så att folk vet att de är legitima och inte bedrägerier.

Skydd av identiteten

Företag som Equifax använder denna teknik för att skydda sina kunders identiteter. Anta att någon försöker ringa eller skicka e-post till dig och låtsas vara från Equifax med ett återkallningsnummer. I så fall kan du enkelt kontrollera om det är sant eller inte genom att ringa numret på din telefon i stället för att lämna in personlig information via telefon eller Internet.

Vad ska användare göra för att skydda sig mot SMS-spoofing?

  • Var försiktig med oönskade meddelanden som du får på din mobila enhet och öppna inte länkar i dessa meddelanden. Om du öppnar en länk, se till att du besöker den webbplats som den påstås komma från genom att skriva in webbadressen i din webbläsare.
  • Svara inte på sms där du uppmanas att lämna ut personlig information, t.ex. kontonummer eller lösenord. Om du får ett sådant meddelande ska du radera det omedelbart utan att svara.
  • Kontakta din mobiltjänstleverantör om du får ett SMS-meddelande som kräver pengar eller personlig information.

Sammanfattning

Ingen är helt säker mot spoofing. Du bör alltid anmäla bedragare som trakasserar dig eller använder ditt nummer för att manipulera ett falskt nummer till din operatör och till polisen så att de kan ta reda på varifrån meddelandena kommer. Genom att göra detta kan man undvika sms-förfalskning i framtiden. För att se till att du inte får fler SMS från bedragaren kan du använda SMS-blockerare som du kan ladda ner.

Dessutom är det nödvändigt att vara medveten om och skydda sig mot andra spoofingrisker, inklusive spoofing av e-post och direkta domänspoofingangrepp som kan skada ditt rykte. Kolla in vår omfattande guide till säkerhet vid e-postspoofing för att skydda dig mot framtida attacker.