Ny smishing kampagne rettet mod MobilePay brugere
Ved brug af SIE-Europe pDNS (https://www.sie-europe.net/) telemetry er der opsamlet et domæne som kan knyttes direkte til en smishing kampagne rettet mod danske Mobilepay kunder.
Denne smishing kampagne (SMS beskeder der sendes til vilkårlige mobilnumre) gør brug af følgende domæne, som skal lokke brugere ind på en falsk Mobilepay webside, som er oprettet med formålet at franarre naive brugere penge (saniteret):
opdateroplysninger[.]com
Oprettelsestidspunkt: 2025-09-03T22:55:01+00:00
Domænet er gemt bag Cloudflare og har tidligere været deaktiveret pga misbrug, men er så blevet opkøbt og oprettet på ny af it-svindere.Der anvendes et kommercielt phishing kit til at distribuere indhold og høste data og SMS beskeder udsendes via bulk-services.
Hvis brugeren kan lokkes til at klikke på et af de to links (Privat/Erhverv) flyttes man
ind på en loginside for MitID. Der laves ikke validering af det
indtastede MitID brugernavn, så i næste fase går man igennem en
omfattende høst af data, som skal misbruges i den videre svindel.
Herunder gennemgår jeg dataindsamlingen trin for trin:
Næste trin er at fiske CPR nummer fra ofret igennem følgende formular:
Herefter er det brugbart for svindlerne at vide hvor man gør sin bankforretning. På en dropdown menu får man her mulighed for at vælge den bank man bruger og listen dækker alle store og mindre banker i Danmark:
Også netop telefonnummer og navn samt adresse er anvendeligt fremadrettet i den svindel som vil ske, når alle disse oplysninger, lander i hænderne på svindlerne:
Det sidste trin i denne dataindsamling består i at fiske kreditkort data fra ofret. De mange insamlede data sendes via en serverside PHP gateway websiden: send.php. Det fremgår herunder:
Danske svindlere på jagt efter ofre
Denne smishing kampagne udføres af personer der bor her i Danmark og som via bl.a. Telegram køber sig ind i Crime as a Service som også inkluderer et fuld funktionelt phishing kit med et stort antal skabeloner rettet mod ma½nge forskellige lande og forskellige banker.
SIE-Europe pDNS sensor netværk er med til at opsnappe nye svindel domæner i realtid, hvorved man potentielt med denne viden, ville kunne være i stand til at forhindre at ofre kan besøge disse svindel sider igennem DNS blokering.
Den nuværende DNS blokering er for ringe
I Danmark har flere internet udbydere oprettet webfiltre som skal forhindre dette og de tilbydes enten som en gratis opt-in eller som en service man skal betale for. Test af disse, som jeg har gennemført over de seneste 3 måneder, afslører desværre, at disse svindel domæner optages alt for langsomt og derved kun giver minimal beskyttelse for kunderne.
Svindlernes vindue, som er deres chance for at høste data, ligger fra udsendelsen af de mange SMS'er og få timer frem, indtil svindlen opdages. Det er det vindue der skal lukkes med en huirtigere og mere effektiv blokering.