Smishing-kampagne: se hvordan det gik, da vi lavede Phishing-angreb via SMS

I løbet af efteråret har vi kørt en række Smishing-kampagner og resultaterne derfra vil vi gerne dele. De er nemlig ganske interessante, hvis vi selv skal sige det.

Helt grundlæggende så er Smishing det samme som Phishing – det foregår bare via telefonen over SMS. I stedet for at angribe via email, hvor mange af os efterhånden er blevet ret skrappe til at spotte en ondsindet mail, så sker et Smishing-angreb altså via SMS.

Formålet vil typisk være at stjæle ofrenes personlige oplysinger og via dem bevæge sig dybere ind i virksomheden for evt. at udføre at Ransomware-angreb. Men mere om det senere.

Vores Smishing-angreb foregik selvfølgelig i fuldt samarbejde med de organisationer, vi udfører kampagnen for. De er med til at designe kampagnen. Hvad skal budskabet være – hvordan er fælden opbygget og så videre.

I efterårets kampagne har vi, meget belejligt, taget udgangspunkt i Covid-19 og testkit. Det er højaktuelt og mange bliver draget af det. Herunder en af de SMS’er vi har udsendt:

I SMS’en er der et link. Når medarbejderne klikker på det link åbnes et nyt vindue, hvor de bliver bedt om at indtaste deres brugeroplysninger…Gør de det er de gået i fælden.

I real-tid kunne vi og den IT-ansvarlige sidde og følge med i hvor mange – og hvem – der ikke kunne modstå fristelsen.

Resultaterne har været lidt forskellige, men i gennemsnit er 10% af medarbejderne faldet i. Det vil sige, at i en mellemstor organisation med 500 ansatte, der ender 50 medarbejdere med at aflevere deres informationer til hackerne i vores kampagne.

Og er det så mange? Da vi spurgte på LinkedIn hvor mange % vores følgere troede der ville gå i fælden, var de fleste svar noget højere. Helt op til 90%. Dét finder vi VIRKELIG interessant.

Det er ret vildt, hvis 90% af medarbejderne skulle gå i sådan en fælde. Hvis 450 medarbejdere ud af 500 afleverede deres data….Et PARADIS for hackere, hvis det var sådan! 🙂

Det er det heldigvis ikke. Men er det alligevel alvorligt at 50 medarbejdere afgiver deres informationer? Og hvad kan hackerne egentligt bruge informationerne til?

Når nu hackerne har fået 50 medarbejderes til at aflevere deres email, brugernavn og/eller password, så kan angrebet tage mange former.

1. Sælger vores informationer til andre hackere (og stater)

I den milde ende, hvis man kan sige det, kan det være, at de bare tager vores data og sælger den på the dark web. Sådan foregår det jo i høj grad i dag. De som opsnapper vores data rundt omkring, de sælger dem videre til andre hackere, der så kan begynde at angribe os eller benytte vores data til kommercielle eller sågar statslige formål.

Med vores data som indgang kan hackerne/staterne holde øje med virksomhederne og udnytte det konkurrencemæssigt. Dette er højaktuelt i Australien netop nu, hvor man mistænker Kina for at udspionere australske virksomheder og drage fordel deraf. Det kan du læse mere om her.

Som udgangspunkt kan det sagtens være, at denne form for udnyttelse af vores data ikke gør direkte ondt på os personligt, men man ved aldrig hvor ens data ender og virksomheden kan i sidste ende blive ramt økonomisk.

2. Lateral movement og Ransomware – et dybere angreb på virksomhedens systemer

Denne er straks mere alvorlig. Når hackerne angriber os, vil de 100% sidde og håbe på at nogle af de store fisk i organisationen går i fælden eller ender i garnet, om man vil. For de store fisk, de har typisk admin-rettigheder til organisationens systemer, og det er nemt at udnytte. For det er jo ikke nogen hemmelighed, at mange af os genbruges vores passwords (I know, det kunne du aldrig finde på…Vel?).

Med de rigtig login og rettigheder kan hackerne bevæge sig dybere ind i virksomhedens netværk og så er de i gang med det der hedder “lateral movement”.

Målet her vil typisk være at ende et sted, hvor man har så godt styr på virksomhedens filer, så man kan udføre et decideret ransomware-angreb – altså kræve et større økonomisk beløb for at organisationen får dekrypteret sine filer. Det kan gøre virkelig ondt (bare spørg Mærsk, Demant og alle de andre der ikke oplyser om at de er blevet angrebet…).

By the way, hos TELE IT nægter vi at køre skræmmekampagner, men det er faktuelt at flere rammes end dem vi hører om. Vi siger dog også helt åbent, at større organisationer er mere oplagte mål end mindre, men enhver virksomhed bør tage passende forholdsregler (individuelt hvad det så er).

3. Bruger medarbejderens mail til at narre andre ansatte

Du har måske hørt om CEO-fraud? Her får hackerne det til at se ud som om det er organisationens CEO, der skriver til en ansat for at overføre penge f.eks.

Når hackerne benytter medarbejdernes mail kalder man det et BEC-angreb, Business Email Compromomise-angreb.

De skriver, med dig som afsender, til en anden medarbejder, og beder vedkommende om at udføre en handling – f.eks. at overføre penge. Og som udgangspunkt har vi jo tillid til mails fra vores kolleger og hvis mailen derudover kommer fra en overordnet vil vi være tilbøjelig til at udføre den ønskede handling.

Det har været super spændende at opleve, hvordan kampagnen har udfoldet sig. Tilbage står vi med en vis overraskelse over at så mange afleverede deres informationer. Overraskende fordi flere af de organisationer som vi samarbejder med rent faktisk har lavet awareness-træning mod deres medarbejdere. De har øvet sig på at være opmærksomme – og alligevel faldt de i.

Kampagnen viser, at med det rette angreb, så er det uundgåeligt at en eller flere af medarbejderne afleveres deres data og informationer. Det vil ske i alle organisationer, det er der ingen tvivl om. Så hvad kan man gøre?

Man skal selvfølgelig gardere sig. Det er bidende nødvendigt at uddanne sine medarbejdere i en eller anden grad, det kommer vi ikke udenom. Og så skal man have det IT-sikkerhedsmæssige set-up, der kan beskytte virksomhedens mest kritiske og sårbare områder, hvis man alligevel skulle være så uheldig at nogen bryder ind i ens systemer. Det vil være vores anbefaling.

Er du interesseret i at høre mere om Smishing i din virksomhed, så er du altid velkommen. Det er super nemt at køre de her phishing- og Smishing-kampagner og det koster ikke spidsen af en jetjager, så du vil hurtigt kunne få et indblik i hvor sårbare jeres virksomhed er mod den slags angreb.