Sådan blev Sisses telefon ‘hacket’
BAGGRUND: Gennem MobilePay blev personlige oplysninger på smartphonen forsøgt opsnappet, men hvordan sker det?
(Foto: Gerd Altmann)
– ”Min mobil er blevet hacket efter jeg modtog en besked fra Postnord,” lød en del af et Facebook-opslag som Sisse Petersen skrev tilbage i april.
Det startede med en SMS fra Postnord om en pakke, der var klar til afhentning. Linket i SMS-beskeden blev aktiveret ved at Sisse trykkede på det, men hun tastede ikke nogle oplysninger ind på siden der kom frem.
Da hun efterfølgende åbnede MobilePay anmodede ”Danske Bank” om at indtaste CPR-nummer og mobilnummer for at ”bekræfte hendes identitet”. Spørgsmålet er, hvordan det overhovedet kan ske blot ved at klikke på et link?
– PODCAST: Fakta og myter om svindelopkald
Sådan blev MobilePay overtaget
I eksemplet er der tale om malware af typen ”MazerBot”. Aktiveringen skete, da hun trykkede på linket i SMS-beskeden.
Et lille ondsindet program, der kan opsnappe informationer som kortoplysninger, CPR-nummer, NemID osv., lagde sig usynligt ind på telefonen. For at narre brugeren lægger MazerBot et layover henover MobilePay, der aktiverer en falsk version når ejeren vil åbne applikationen.
Der er IKKE tale om, at MobilePay er blevet hacket. Derimod er det telefonens sikkerhedssystem der er kompromitteret.
Et skøn lyder på, at der er udsendt 30.000 af denne slags SMS-beskeder i Danmark. 200 personer har angiveligt fået den ind på deres telefon.
– GUIDE: Sådan beskytter du dit Apple ID mod hackere
Rammer kun Android
Den såkaldte ”MazerBot” rammer i eksemplet kun Android, hvor brugeren faktisk er medskyldig. Ellers kan det ikke lade sig gøre, at udføre det listige trick.
MazerBot installerer sig uden Google Play Store, men dette kan ikke ske, hvis man ikke selv godkender det, såfremt telefonen er sat til standardindstillingerne under sikkerhedsdelen i Android.
Hvis man har aktiveret ”Ukendte kilder” i ”Sikkerhed” vil MazerBot derimod godt kunne installere sig ved klik på et link, oplyser fraudafdelingen i Danske Bank til MereMobil.dk.
Derfor kan vi kun opfordre til, at man også på smartphonen ikke klikke på sådanne links.
– BAGGRUND: Er du bange for overvågning af mobilen?
Er det virkelig Microsoft der ringer?
Mere til historien
Hvis du vil læse mere om MazerBOT har sikkerhedsfirmaet CSIS lavet en glimrende beskrivelse.