Ny angrepsbølge fra svindlere: Metodene beskrives som «spektakulære»

Programvaren som er i omløp er så sofistikert at den ikke kan være laget på «gutterommet», sier Telenor. Selskapet blokkerer nå 10 000 SMS-er i timen.

Eksempel på slik melding.

En SMS med en lenke til et virus er ikke unikt, men måten akkurat dette programmet er skrevet på får Telenor til å reagere.

Foto: Skjermdump

Er du litt interessert i datasikkerhet, har du helt sikkert fått med deg fenomenet «Flubot».

Flubot er enkelt sagt et kamuflert virus som ender opp på telefonen din.

I fjor dukket det opp i ulike varianter. For eksempel pakkesporing som tilsynelatende var sendt fra DHL. Eller beskjed om en talemelding som bare kan lyttes til via et nettsted.

Thorbjørn Busch, Telenor

Thorbjørn Busch i Telenor.

Foto: Telenor

Til felles har meldingene at du blir bedt om å trykke på en lenke, som leder til en nettside hvor et virus lastes ned.

Søndag begynte det nok en gang å ulme i serverne hos Telenor, forteller sikkerhetsrådgiver Thorbjørn Busch hos selskapet.

Mye tyder på at vi nå er i startfasen på en ny angrepsbølge med Flubot-virus. Det som på mange måter blir den fjerde bølgen, sier han.

Akkurat nå blokkerer selskapet rundt 10 000 meldinger i timen, mot normale 30 000 i døgnet.

Det som er spesielt denne gangen, er at applikasjonen legger seg som en skjult programvare på telefonen din.

– Du ender med å gi hackerne fullstendig tilgang.

Spektakulært arsenal

Hackerne bruker det som fra Facebook er kjent som «Er dette deg?»-teknikken.

  • «Denne videoen handler om deg. Vi ønsker a snakke med deg»
  • «En video med deg ble anbefalt til meg av en venn»
  • «Sjekk ut denne videoen med noen som ser ut som deg»

... er noen eksempler på innhold i svindel-SMS-ene.

– Det er et forholdsvis spektakulært arsenal av meldinger og innhold i meldingene som nå spres, der svindlerne spiller på nysgjerrighet eller frykt, sier sikkerhetsrådgiveren.

Trykker du på lenken ender opp på en side der du får beskjed om å installere Adobe Flash for å kunne se denne påståtte videoen av deg.

– Problemet er bare at Flash ble lagt ned i 2020, forteller Busch.

Slik ser en SMS av dette slaget ut.

Slik ser en SMS av dette slaget ut.

Foto: Skjermdump

Og denne videoen av deg, den finnes selvsagt ikke.

Virus i forkledning

Flash er altså i realiteten Flubot-viruset i forkledning.

Blir bedt om å installere Flash Player.
Foto: Skjermdump

Det svindlerne ønsker er å få tilgang til det du gjør på din mobil, slik at de for eksempel kan hente ut kredittkortopplysninger eller annen privat informasjon de kan utnytte til å svindle deg eller andre. Informasjon som kan bli solgt videre på det mørke nettet.

Viruset ber deg om en rekke tilganger under installeringen. Får den dette, har svindlerne i praksis samme tilgang til mobilens funksjoner og data som deg.

Dermed kan viruset spre seg videre, ved at mobilen din i det stille sender ut tusenvis av SMS-er med nye svindelmeldinger med deg som avsender.

Det er Android-brukere som må passe på. Viruset biter heldigvis ikke på iPhone.

Men selv om iPhone-brukere ikke er utsatt for akkurat denne programvaren, blir også de utsatt for stadig mer sofistikerte «phishing»- og «spoofing»-forsøk. Der en blir lurt til å gi fra seg opplysninger til det som oppfattes som en seriøs avsender.

2. desember i år opplevde Telenor å blokkere intet mindre enn 3,3 millioner svindel-SMSer innen ett og samme døgn.

Vet ikke hvem som står bak

Programvaren er med andre ord programmert til to ting: Stjele informasjon fra telefon din, og sende SMS-er videre.

Opp mot 8000 SMSer innenfor en relativt kort tidsperiode, har man sett det kan bli sendt ut. Går disse til utenlandske nummer, kan det fort bli dyrt.

Per nå vet man ikke hvem som står bak.

– Men dette er veldig avansert og sofistikert programvare som det må være noen med ressurser, kompetanse og vilje som har laget.

Det er ikke rent lite programmet ber om tilgang til.

Det er ikke rent lite programmet ber om tilgang til.

Foto: Skjermdump

– Det er et godt etterretningsverktøy å samle informasjon bare på kontaktlister og så videre, om man treffer på riktige personer. Det er formidabelt med informasjon en potensielt kan samle inn.

– Kan det være en statlig aktør som står bak?

Det vet vi ikke, men vi kan ikke utelukke det. Det er i alle fall ikke noen som har laget programvaren på gutterommet sitt.

Ser et mønster

Spesielt er også at Telenor ser et mønster med tanke aktivitet. Altså når de arbeider.

Vi mistenker at det er folk som har dette som vanlig jobber, å samle inn informasjon. Vi ser at aktiviteten avsluttes klokken 12 om natta, og så starter det opp igjen rundt klokken sju. Og så går det for full maskin klokken åtte.

I jula har bakmennene tilsynelatende hatt juleferie. Som resten av oss. Det har vært lite aktivitet i romjula.

Så er det «kick-off» igjen rett over nyåret. Det sier noe om at de som jobber med dette har satt det i system.

Aktiviteten startet opp for fullt 1. januar, og vi forventer dessverre at den bare vil ta seg opp fremover, sier Busch.