Mobilepay smishing og omfattende dataindsamling

2023-12-14

IT-kriminelle har anvendt endnu en kendt kommerciel "SMS as a Service" platform til at udsende korte SMS beskeder til vilkårlige danske mobilnumre. Målet er, at høste data fra uforsigtige borgere, som skal misbruges til at stjæle penge.

I de uønskede SMS beskeder anvendes et link til en URL-forkorter for at sløre, hvor modtageren af SMS'en flyttes hen, hvis der klikkes på linket. Se SMS herunder:

Hvis modtageren klikker på SMS'en, så flyttes trafiken til (saniteret)
https://mobilepay.crabdance[.]com/mobilepay/

Da de it-kriminelle ved, at al trafik, der for dem er interessant, kommer via en smartphone, laves der et browser-agent check. Simpelt og bruges i 95 procent af alle smishing forsøg.

Hvis du besøger websiden med en almindelig browser på en PC eller Mac, så afvises forbindelsen.

Den første side du møder vil fiske MitID:

Uanset, så laves der herfra MiTM (Man in the Middle) igennem et kommercielt smishing kit.

Det næste trin indsamler CPR nummer (der laves ikke check):

Når CPR nummer er indsamlet, så opkræves en sværm af personlige oplysninger. Se herunder:

Da de it-krimielle antager, og med rette, da deres kampagne er rettet mod mobiltelefoner, vil de gerne, at du bekræfter, at det mobilnummer som du har opgivet er ægte og aktivt:

Hvis du ikke taster en valid kode, hænger du fast. I dette tilfælde anvender jeg et trick, hvor jeg kan omgå det, for at se hvad der sker, og det ender med:

Og med gyldig kode:

Fra det øjeblik bekræftes det, at data er indsamlet, og banditterne videredirigerer dig til Mobilepay's officielle webside: https://www.mobilepay.dk. Game over!

Jeg har testet dette flere gange, og kan kun sige, at de høstede data tjener til at lave opkald til ofre efterfølgende. Det er det vi kalder Vishing. Vi har alle set TV udsendelserne, hvor ældre mennesker er blevet rippet deres opsparing. Det her er at tage den et skridt videre.  De høstede data kan bruges både direkte og indirekte eller sælges videre.

Pas på
De er ikke dumme og med de rette oplysninger i hånden, er det umuligt at bestemme, om et efterfølgende opkald kommer fra en af svindlerne, da de har alle de oplysninger som ofret er blevet fuppet til at opgive, eller om man skal smide røret på.

Fra smishing til vishing.