Vi har flera gånger rapporterat om problemet med falska reklam-SMS som lurar in mottagaren i dyra abonnemang. De senaste veckorna har angriparna använt en extra innovativ bluffmetod som tack vare hög relevans är lätt att falla för. De skickar ut ett falskt SMS från avsändaren Paketinfo där det står att ett paket har fastnat och att mottagaren måste betala 49 kronor för att paketet ska skickas vidare från distributionsterminalen.
Med tanke på hur många som handlar på nätet är det sannolikt att flera SMS-mottagare faktiskt väntar på ett paket och därför finner det rimligt att få en sådan leveransavisering.
Varning! Tänk på att bedragare kan välja vilket namn som ska stå som SMS-avsändare. Det sker aldrig någon kontroll på avsändarnamnet i SMS-sammanhang.
I SMS:et finns en länk som leder till en klonad version av Postnords webbplats (jämför bilden med postnord.se). Mitt på sidan finns en falsk sökruta där SMS-mottagaren kan söka efter sin påstådda försändelse.
Med ”falsk sökruta” menas att den egentligen inte fyller någon funktion. Det går att skriva vad som helst i den. När någon trycker på knappen visas också alltid samma meddelande (i webbsidans källkod ser vi att det i själva verket är ett statiskt meddelande som är dolt tills någon har tryckt på knappen).
När offret klickar på knappen för att betala öppnas en helt annan sida med ett nytt formulär. Det formuläret ser vid en snabb anblick ut att vara ett betalningsformulär för distributionsavgiften, men i själva verket är det 49 kronor för en tredagarsprovperiod på en bluffhälsotjänst. Om den drabbade inte säger upp tjänsten i tid startas ett abonnemang för 70 euro i månaden (cirka 750 kronor).
Tips! Bluffsidan gör en stor grej av att de har ett hänglås i adressfältet. Som vi förklarade i videon Det missförstådda hänglåset indikerar hänglåset enbart att anslutningen till sidan är säker. Hänglåset har inget att göra med huruvida sidan i sig är säker.
Döljer viktig information i mobilvyn
Den som visar betalsidan i datorns webbläsare kan ganska snabbt se att det rör sig om en helt annan produkt än en distributionsavgift. På mobilen är det dock långt ifrån fallet. Klicka här för att se hur sidan ser ut i mobilen (länken öppnar en ofarlig bild). Lägg märke till att informationen om provperiod saknas och att ingen information om abonnemanget syns förrän efter formuläret. Bedragarna har till och med lagt in den onödiga bilden om hänglåset för att ytterligare puffa ned den finstilta informationen.
Detta är en smart metod som bedragarna använder för att lägga sig i den berömda juridiska gråzonen. De vet att besökarna kommer från en mobil eftersom de klickade på länken som kom i ett SMS. Det vet också att någon som utreder eventuella anmälningar sitter vid en dator och då är det mycket tydligare att det rör sig om ett bluffabonnemang.
Genom att dela upp bedrägeriet på två aktörer (som eventuellt är i maskopi med varandra) blir det ännu svårare att utreda vem som har gjort vad. Aktören som skickar ut bluff-SMS:en är inte (nödvändigtvis) den som tar betalt för bluffabonnemanget. SMS-skickaren får däremot betalt för varje förmedlad ”kund”, vilket framgår av webbadressen som innehåller ett så kallat affiliate-ID.
Rekommendation
Tänk på att aldrig klicka på länkar som kommer i SMS. SMS är ett ännu osäkrare kommunikationssätt än e-post. Om du får en leveransavisering via SMS bör du istället manuellt besöka speditörens webbplats (t.ex. Postnord eller DHL) och söka efter försändelse-ID:t som står i SMS:et. Tänk också på att bluffmakare kan utnyttja mobilens förhållandevis lilla skärm för att dölja information. Vi lär få se fler exempel på detta i framtiden.
Läs mer och diskutera
- Detta ämne diskuteras i Sweclockers forum och hos Teknikveckan.
- Bloggen “Skadlig kod” skrev i fjol om en mycket snarlik bluffmetod. Faktumet att bluffmakarna fortsätter att skicka ut SMS är tyvärr en indikation på att det lönar sig.
- Vi har tidigare rapporterat om liknande bluffar i bland annat Elgigantens och SF-bios namn.
En sak som jag anmärkte på när jag undersökte webbplatsen var faktumet att den bad om att få skicka push-notiser. Jag har nu fått bekräftat att bluffmakarna använder det begärda tillståndet för att skicka reklamnotiser för bland annat nätcasinon (“Insättning godkänd – få hela din bonus här”).