Managed Detection & Response
Always On – we ensure our customers’ resilience, 24x7x365
Read moreCyber Threat Intelligence
Word-class data, analysis and insights on threat actors and the evolving threat landscape.
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedEmergency Response Retainers
Get a fast response from world-class experts and rapidly reinstate business continuity.
Read moreConsulting
Highly specialized services to identify and remediate complex risks and threats.
AD Health Check Compromise Assessment Emergency Response Penetration TestingWhat’s New?
Emergency Response
Read moreManaged Detection and Response (MDR)
Read moreBrand Protection
Anti-PhishingCyber Threat Intelligence
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedCyber Threat Intelligence
Threat MonitorsManaged Detection and Response (MDR)
Read moreEmergency Response Retainers
Read moreConsulting
Emergency ResponseManaged Detection and Response (MDR)
Read moreCyber Threat Intelligence (CTI)
Threat MonitorsEmergency Response
Read moreManaged Detection and Response (MDR)
Read moreBrand Protection
Anti-PhishingCyber Threat Intelligence
Threat Insights Threat Intelligence Feeds Threat Monitors Cyber Defence FeedCyber Threat Intelligence
Threat MonitorsManaged Detection and Response (MDR)
Read moreEmergency Response Retainers
Read moreConsulting
Emergency ResponseManaged Detection and Response (MDR)
Read moreCyber Threat Intelligence (CTI)
Threat Monitors06/06/2021 19:23:21
Her til aften er der igangsat en ganske betydelig Smishing kampagne, hvor snedige SMS beskeder skal lokke vilkårlige modtagere til at klikke på et link.
Den uønskede SMS spoofes, så den ser ud til at den kommer fra NemID, og med følgende indhold:
Dit NemID er blevet spærret, på grund af mistænkelig aktivitet. Hvis det ikke var dig, kontakt: nemidhjaelp.com.
Hvis modtageren kan lokkes til at klikke på det pågældende link, så vil den skadelige webside lokke brugeren til at logge ind med NemID, og i baggrunden, mens det sker, lave Man in the Middle (MiTM) i realtid i forsøget på at opfange NemID nøglekoder/engangskoder.
Så når brugernavn og password sendes via "login.php", så laves der MiTM, hvor en person i midten anvender de indtastede NemID data til at logge på NemID og derved får en engangskode. I mellemtiden mødes ofret med en venteskærm:
Kommunikationen kører via:
https://nemidhjaelp.com/core/actions.php?action=heartbeat¤tpage=login HTTP/1.1
Når "manden i midten" har logget på NemID og valideret at login er korrekt, vil NemID opkræve den sædvanlige engangskode, som han så beder brugeren om at indtaste fra NemID nøglekortet på nemidhjaelp.com. Og der klapper fælden.
Websiden kan kun tilgås hvis man ankommer med en browser-agent der matcher et mobilt device/smartphone. Der er endvidere en stribe andre checks og begrænsninger der skal besværliggøre analyse af den ondsindede side og indhold.
SIE Europe pDNS data
Det er ikke første gang at den pågældende server (104.244.74.248) er blevet anvendt i forbindelse med Smishing mod Danmark. Ved brug af SIE Europe pDNS kan vi bl.a. lokalisere følgende andre domæner, som også tydeligt afslører, at Danske Bank denne weekend også er blevet misbrugt af samme bande i Smishing forsøg:
danskebank-lock.com
danskebank-gendanne.com
kontrolleredanskebank.com
danskebank-blok.com
validate-payeeconfirmation-online65.com
secure-paypal-customer-support.com
security-reports.com
chasesecuritysupport.com
security-hsbclogin.info
paypal-security-services.com
Et eksempel på phishing der misbruger Danske Bank findes herunder:
Hvad er Smishing?
Smishing er en sammentrækning af SMS (Short Message Services) og Phishing. Teknikken fungerer på samme måde som phishing, hvor ofre lokkes til at opgive brugernavne og passwords på forfalskede websider.
Tak til Henrik Kramselund for heads up:
https://twitter.com/kramse/status/1401578753822765062
Stay informed.
Get our Cyber Bytes!