Phishing-sms värsta hotet mot företagens mobiler – en tickande bomb

I takt med att vi kan göra allt mer med våra telefoner har också riskerna kring dem vuxit. Idag bär vi överallt runt på en enhet som har flera kameror, mikrofoner, GPS-mottagare och ständig uppkoppling. Hackare är därför mer intresserade av att rikta sina attacker mot dessa enheter och mängden angrepp ökar.

Phishing är ofta det första steget på den mobila attackkedjan. Det är relativt lätt att få en person att klicka på en länk, som i sin tur öppnar en skadlig webbsida eller startar en nedladdning. Ur ett kostnadsperspektiv är den billigaste typen av phishingattack fortfarande mejlbaserad, och därför har de flesta företag redan säkrat upp sina pc med brandväggar, gateways och spamfilter. Denna infrastruktur stoppar såklart phishingattacker på mobila enheter också – så länge hackaren mejlar användarens jobbadress och/eller telefonen är kopplad till företagets nätverk. Men stämmer det med realiteten? På samma mobila enhet synkas i de flesta fall användarens privata e-postkonto också. Dessutom är telefoner uppkopplade via mobilnätet den största del av tiden.

Därtill fungerar phishing annorlunda och är mer problematiskt på en mobil enhet. I och med alla appar vi använder på telefonerna finns utöver mejlkonton fler vägar in. Vanligast är sms, chattappar som Facebook Messenger och Whatsapp, samt den mycket läskiga inbyggda reklamen i gratisappar som faktiskt klickar på länkar åt oss.

En phishingattack mot en mobil enhet resulterar vanligast i någon av följande två alternativ:

1. Personen får sina inloggningsuppgifter stulna.

Generellt händer detta för att phishinglänken leder till en kopia av en känd sida, till exempel en fejkad version av Facebook, Google Drive eller annan tjänst där användaren är van att behöva logga in. Eftersom det är vanligt att personer använder samma inloggningsuppgifter till många tjänster, både privata och jobbrelaterade, utgör detta en stor risk för både individen och arbetsgivaren.

2. Personens telefon får spionprogram installerat.

Lite beroende på operativsystem kan antingen mjukvara installeras tyst i bakgrunden på telefonen, eller via att personen faktiskt själv installerar en app som den tror är den ”riktiga” versionen. Vanliga exempel är pdf-läsare eller plugin för andra tjänster, kort sagt mjukvaror som gemene man känner igen från att använda en pc. Via spionprogram kan en hackare se (och höra!) allt. Det som sker på skärmen, via telefonens front- eller bakkamera samt då alltså lyssna via mikrofonen. Ett exempel på en sådan typ av attack är ViperRAT, där hackare via social engineering låtsas vara kvinnor som sedan får personen de chattat med att installera en app där de kan prata mer ostört.

Det finns också en mängdaspekt att ta hänsyn till när det kommer till phishing på mobila enheter. Enligt IBM är risken hela tre gånger så stor att en mobilanvändare ska klicka på en skadlig länk som i mobilen än i en dator. Och det är inte så konstigt. På grund av hårdvarans mindre skärm är operativsystemet anpassat. Bara i webbläsaren finns risker i form av trunkade URL:er (för att hela inte får plats på den mindre skärmen), att hela adressfältet med URL:en försvinner för att mer av skärmen ska kunna nyttjas, och avslutningsvis det faktum att det på en mobil inte går att vila med muspekaren över en förkortad URL för att de vad hela är innan man klickar.

För att förstå den riktigt stora risken med phishing är spywareattacken Pegasus som upptäcktes 2016 det kanske bästa exemplet. Här jobbade den israeliska hackargruppen NSO Group med hjälp av phishing-sms, där de skickade meddelanden med länkar som om de klickades på, jailbreakade hela telefonen. Kapningen skedde helt tyst och användaren förstod aldrig att det hade hänt, och de kunde därefter ohindrat lyssna på samtal, läsa sms och stjäla inloggningsuppgifter. Och kanske viktigast: detta skedde på IOS, trots att de flesta anser att Apples operativsystem är säkrare än Googles Android och att man som användare är trygg där.

Phishing i kombination med smarta telefoner där traditionell säkerhetsinfrastruktur inte gäller är en tickande bomb. Vi bär runt på en enhet med mer åtkomst till både företagsdata och detaljer om våra liv än någonsin, och med hårdvara perfekt utformad för spionage. Svenska företag så som Ica, Postnord och Ikea tvingas ständigt gå ut med information om bluffkampanjer som nyttjar deras varumärke. Och vi som användare, vi klickar mer än någonsin.