CSIS

Smishing bølge forsøger at fiske NemID koder og passwords

06/06/2021 19:23:21

Her til aften er der igangsat en ganske betydelig Smishing kampagne, hvor snedige SMS beskeder skal lokke vilkårlige modtagere til at klikke på et link.

Den uønskede SMS spoofes, så den ser ud til at den kommer fra NemID, og med følgende indhold:

Dit NemID er blevet spærret, på grund af mistænkelig aktivitet. Hvis det ikke var dig, kontakt: nemidhjaelp.com.

Hvis modtageren kan lokkes til at klikke på det pågældende link, så vil den skadelige webside lokke brugeren til at logge ind med NemID, og i baggrunden, mens det sker, lave Man in the Middle (MiTM) i realtid i forsøget på at opfange NemID nøglekoder/engangskoder.

Så når brugernavn og password sendes via "login.php", så laves der MiTM, hvor en person i midten anvender de indtastede NemID data til at logge på NemID og derved får en engangskode. I mellemtiden mødes ofret med en venteskærm:

Kommunikationen kører via:
https://nemidhjaelp.com/core/actions.php?action=heartbeat&currentpage=login HTTP/1.1

Når "manden i midten" har logget på NemID og valideret at login er korrekt, vil NemID opkræve den sædvanlige engangskode, som han så beder brugeren om at indtaste fra NemID nøglekortet på nemidhjaelp.com. Og der klapper fælden.

Websiden kan kun tilgås hvis man ankommer med en browser-agent der matcher et mobilt device/smartphone. Der er endvidere en stribe andre checks og begrænsninger der skal besværliggøre analyse af den ondsindede side og indhold.

SIE Europe pDNS data
Det er ikke første gang at den pågældende server (104.244.74.248) er blevet anvendt i forbindelse med Smishing mod Danmark. Ved brug af SIE Europe pDNS kan vi bl.a. lokalisere følgende andre domæner, som også tydeligt afslører, at Danske Bank denne weekend også er blevet misbrugt af samme bande i Smishing forsøg:

danskebank-lock.com
danskebank-gendanne.com
kontrolleredanskebank.com
danskebank-blok.com
validate-payeeconfirmation-online65.com
secure-paypal-customer-support.com
security-reports.com
chasesecuritysupport.com
security-hsbclogin.info
paypal-security-services.com

Et eksempel på phishing der misbruger Danske Bank findes herunder:

Hvad er Smishing?
Smishing er en sammentrækning af SMS (Short Message Services) og Phishing. Teknikken fungerer på samme måde som phishing, hvor ofre lokkes til at opgive brugernavne og passwords på forfalskede websider.

Tak til Henrik Kramselund for heads up:
https://twitter.com/kramse/status/1401578753822765062

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!