Smishing-kampagne: se hvordan det gik, da vi lavede Phishing-angreb via SMS

I KONNEKTT har vi kørt en række Smishing-kampagner og resultaterne derfra vil vi gerne dele. De er nemlig ganske interessante, og hjælper med at give et indblik.

Helt grundlæggende så er Smishing det samme som Phishing – det foregår bare via telefonen over SMS. I stedet for at angribe via email, som vi efterhånden kender rigtigt godt, så sker et Smishing-angreb altså via SMS på mobilen.

Hackernes formål vil typisk være at forsøge at berige sig med mere data til at kunne bevæge sig dybere ind i virksomheden for evt. at udføre at Ransomware-angreb eller lign..

Vores Smishing-angreb bliver gennemført i fuldt samarbejde med de organisationer, vi udfører kampagnen for. De er med til at designe kampagnen. Hvad skal budskabet være – hvordan er fælden opbygget og så videre.

I de gennemførte kampagner vælges der ofte højaktuelle emner, som pakkeleverancer, påmindelser, tilbud, hvor mange bliver draget af det.

Resultaterne har været forskellige, men i gennemsnit er 10% af medarbejderne faldet i. Det vil sige, at i en mellemstor organisation med 500 ansatte, der ender 50 medarbejdere i en situation hvor de udviser risikovillighed og i værste tilfælde ender med at aflevere deres vigtige informationer til angriberne.

Når hackerne har fået en medarbejder til eksempelvis at aflevere sin e-mail, brugernavn og/eller password, så kan angrebet tage mange former derfra:

1. Sælger vores informationer til andre hackere

Det er almindeligt kendt at en risikovillig profile i en virksomhed udgør en værdi, og i større mængder kan data sælges videre på the dark web.

2. Lateral movement og Ransomware – et dybere angreb på virksomhedens systemer

Denne variant er mere alvorlig. Når hackerne angriber os, vil de have fokus rettet på i organisationen går i fælden eller ender i garnet, om man vil. For de store fisk, de har typisk admin-rettigheder til organisationens systemer, og det er nemt at udnytte. For det er jo ikke nogen hemmelighed, at mange af os genbruges vores passwords (I know, det kunne du aldrig finde på…Vel?).

Med de rigtig login og rettigheder kan hackerne bevæge sig dybere ind i virksomhedens netværk og så er de i gang med det der hedder “lateral movement”.

Målet her vil typisk være at ende et sted, hvor man har så godt styr på virksomhedens filer, så man kan udføre et decideret ransomware-angreb – altså kræve et større økonomisk beløb for at organisationen får dekrypteret sine filer. Det kan gøre virkelig ondt (bare spørg Mærsk, Demant og alle de andre der ikke oplyser om at de er blevet angrebet…).

3. Bruger medarbejderens mail til at narre andre ansatte

Du har måske hørt om CEO-fraud? Her får hackerne det til at se ud som om det er organisationens CEO, der skriver til en ansat for at overføre penge f.eks.

Når hackerne benytter medarbejdernes mail kalder man det et BEC-angreb, Business Email Compromomise-angreb.

De skriver, med dig som afsender, til en anden medarbejder, og beder vedkommende om at udføre en handling – f.eks. at overføre penge. Og som udgangspunkt har vi jo tillid til mails fra vores kolleger og hvis mailen derudover kommer fra en overordnet vil vi være tilbøjelig til at udføre den ønskede handling.

Det har været super spændende at opleve, hvordan kampagnen har udfoldet sig. Tilbage står vi med en vis overraskelse over at så mange afleverede deres informationer. Overraskende fordi flere af de organisationer som vi samarbejder med rent faktisk har lavet awareness-træning mod deres medarbejdere. De har øvet sig på at være opmærksomme – og alligevel faldt de i.

Kampagnen viser, at med det rette angreb, så er det uundgåeligt at en eller flere af medarbejderne afleveres deres data og informationer. Det vil ske i alle organisationer, det er der ingen tvivl om. Så hvad kan man gøre?

Man skal selvfølgelig gardere sig. Det er bidende nødvendigt at uddanne sine medarbejdere i en eller anden grad, det kommer vi ikke udenom. Og så skal man have det IT-sikkerhedsmæssige set-up, der kan beskytte virksomhedens mest kritiske og sårbare områder, hvis man alligevel skulle være så uheldig at nogen bryder ind i ens systemer. Det vil være vores anbefaling.

Er du interesseret i at høre mere om Smishing i din virksomhed, så er du altid velkommen. Det er super nemt at køre de her phishing- og Smishing-kampagner og det koster ikke spidsen af en jetjager, så du vil hurtigt kunne få et indblik i hvor sårbare jeres virksomhed er mod den slags angreb.