Tilbake til bloggen
Trusselintelligens·11 min lesing

Phishing-SMS i 2026: anatomi av tre virkelige kampanjer

Svindel-SMS om USPS-pakker, falske bompengeregninger og refusjonsbekreftelser står nå bak mer legitimatstjeling enn e-post-phishing for mobilbrukere. Vi bryter ned hvordan tre kampanjer faktisk fungerer – lokkematen, infrastrukturen, hvorfor de fortsetter å lykkes, og hva som avslører dem.

Av Casper's Cloak Security Team

Kort oppsummert: SMS-phishing – «smishing» – passerte e-post-phishing som den viktigste vektoren for legitimatstjeling blant mobilbrukere en gang rundt 2024 og har akselerert gjennom 2025–2026. Årsakene er strukturelle: telefoner har ikke noe Safe Browsing-ekvivalent for SMS, URL-forhåndsvisninger er stort sett fraværende, lenkeforkorterne ser legitime ut, og folk trykker på telefonen med langt mindre årvåkenhet enn de klikker i en stasjonær nettleser. Tre kampanjer dominerer volumet akkurat nå. Her er nøyaktig hvordan hver enkelt fungerer.

Kampanje 1 – USPS-pakke «kan ikke leveres»-smishing

Aktiv siden 2023. Volum ifølge FTC/USPS: ~5 millioner+ amerikanske mottakere per måned på toppen. Tilskrevet av FBI og sikkerhetsforskere (Resecurity, Trend Micro) til det kinesiskspråklige «Smishing Triad»-klusteret.

Lokkematen

En SMS ankommer, typisk om morgenen eller tidlig ettermiddag, der mottakeren får beskjed om at pakken har «ufullstendig adresse» og vil returneres om vedkommende ikke bekrefter detaljer innen 24 timer. SMS-en inneholder en lenke som ser ut som USPS (varianter som usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn), men som er registrert på engangsdisposisjonsdomener timer eller dager gamle. De fleste venter på en pakke – fra Amazon, en nettbutikk, en venns gave – og timingen fungerer.

Hva klikket gir deg

En pikselkopiert USPS-kloneside ber om adressen din (for «omlevering»), og eskalerer deretter til et «omleveringsgebyr» på 1,99–3,50 dollar som krever kredittkortopplysninger. Kortskjemaet er selve premien: fullt kortnummer, CVV, utløpsdato, faktureringsadresse og mobilnummer for «leveringsvarsling». Kortet brukes eller selges innen timer. Informasjonen som samles inn – fullt navn, adresse, telefon, siste 4 sifre av kortet – brukes også til oppfølgingsangrep (falske banksamtaler, forsøk på kontoovertakelse).

Hvorfor det fungerer

  • De fleste har en pakke i transit til enhver tid – høy sannsynlighet for at mottakeren tror på premissen.
  • USPS sender normalt ikke SMS – men de fleste brukere vet ikke det, og merkevaren er universelt gjenkjennelig.
  • «Det lille gebyret» (1,99 dollar) føles for lite til å kjempe mot; folk betaler og går videre.
  • Domener roteres hvert par dager, så forsvar basert utelukkende på svartelister henger etter kampanjen.

Hva som avslører det

Domene mønsteret er svært forutsigbart: bindestrekbaserte USPS-varianter, .top / .cn / .info TLD-er, registrert gjennom kinesiskspråklige registratorer, hostet bak Cloudflare eller AS-roterende proxyer, sertifikater utstedt av Let's Encrypt eller ZeroSSL innen de siste 48 timene. En ML-klassifikator trent på disse kjennetegnene fanger opp nye domener første gang noen treffer dem – lenge før de dukker opp i PhishTank eller de store kommersielle svartelistene. Klassifikatoren er hele poenget med nettverksnivå trusseldeteksjon.

Kampanje 2 – Smishing om ubetalte bompenger (E-ZPass, SunPass, FasTrak)

Økte kraftig i 2024 da delstater gikk over til helautomatisk bompengeinnkreving. FBI IC3 utstedte en offentlig advarsel i april 2024. Treffer nå alle 50 delstater (og kanadiske brukere) med delstatsspesifikke merkevarevarianter.

Lokkematen

«[Statlig veimyndighet]: Du har et ubetalt bompengebeløp på 4,27 dollar. Betal innen [dato] for å unngå forsinkelsesgebyr. Betal her: ezpass-payments[.]com.» Beløpet er lite. Merkevarenavnet samsvarer med delstaten («E-ZPass» i nordøst, «FasTrak» i California, «SunPass» i Florida, «TxTag» i Texas, «I-Pass» i Illinois). Lenken ligner det ekte bompengestedet ved første øyekast. Innbyggere i delstater med kun elektronisk bompengeinnkreving – mesteparten av landet nå – har plausibelt brukt en bomvei nylig.

Hva klikket gir deg

En kopi av den aktuelle delstatens bompengeportals betalingsside, tilpasset per delstat. Skjemaet ber om fullt navn, adresse, telefon, registreringsnummer (for å «slå opp overtredelsen»), og leder deretter til en betalingsskjerm som krever kredittkortopplysninger for det trivielle beløpet. Som med USPS er kortdataene premien, men denne kampanjen henter også registreringsnummerdata – nyttig for oppfølgingssvindel (falsk DMV-impersonasjon, svindel med kjøretøyregistrering, forsikringssvindel).

Hvorfor det fungerer

  • Bompengemyndigheter kontakter faktisk av og til sjåfører via SMS eller post – premissen er plausibel.
  • De fleste brukere vet ikke nøyaktig hva de skylder i bompenger og antar at små beløp er reelle.
  • Trusselen om «forsinkelsesgebyr» eller «DMV-sperring» presser til betaling uten verifisering.
  • Delstatsspesifikk merkevaremimikri betyr at innbyggerne i hvert område ser sitt kjente merkenavn.

Hva som avslører det

Bompenge-svindeldomener følger en tett signatur: merkenavn + payments/pay/billing i vertsnavnet, .com / .net / .top TLD-er, ~24–72 timers registreringsalder, sertifikater fra det samme lille antallet gratis CA-er, felles ASN-klynger (Cloudflare, Namecheap, hostingleverandører kjent for lemfeldige misbrukspolicyer). Selv med rotasjon fanger en ML-klassifikator som scorer på registreringsalder + vertsnavn-til-merkevare-likhet opp hele kampanjefamilien – inkludert domener observert for første gang på din spesifikke enhet.

Kampanje 3 – Refusjonsbekreftelsestekster (Apple, Amazon, Netflix, Walmart)

Aktiv gjennom 2024–2026, med sesongmessige volumtopper rundt skatterefusjonstidspunktet (feb.–apr. i USA) og Black Friday / Cyber Monday.

Lokkematen

«Apple ID: Et gebyr på 239,99 dollar for [iCloud Storage / Apple Music annual / osv.] ble godkjent i dag. Hvis du ikke autoriserte dette, kanseller her: [lenke].» Noen ganger Amazon («Et gebyr på 499,94 dollar for [produkt]…»). Premissen er en betaling mottakeren ikke har gjort – trusselen er finansiell. Nysgjerrighet + alarm driver klikket. Noen varianter er snudd på hodet: «Din refusjon på 237,45 dollar er klar. Bekreft bankkontoen din for å motta den.» Samme krok, omvendt innramming.

Hva klikket gir deg

En nærmest perfekt kopi av merkevarens innloggingsside for konto. Legitimasjonen som høstes her er farligere enn kredittkortpremiene fra kampanje 1 og 2: en Apple ID- eller Amazon-innlogging åpner døren for kontoovertakelse – full kjøpshistorikk, lagrede betalingsmåter, gavekortssaldoer, App Store-kjøp, muligheten til å lese sensitive e-poster og tilgang til andre tjenester som bruker samme e-post for SSO-gjenoppretting. Mange varianter eskalerer videre: etter legitimasjonsoppsamlingen leder en falsk supportchat eller tilbakeringning «fra Apple» offeret gjennom å lese SMS 2FA-koder høyt, og dermed beseire andrefaktorbeskyttelse.

Hvorfor det fungerer

  • Ekte fakturerings-SMS fra Apple/Amazon eksisterer, så premissen er plausibel.
  • Beløpet er spesifikt innstilt på å være høyt nok til å skape alarm, men ikke umulig stort.
  • Kontoovertakelse er mer verdifullt for angriperen enn ett enkelt kredittkorttreff – en «vellykket» legitimasjonsoppsamling gir grunnlag for uker med oppfølgingssvindel.
  • Mål som engasjerer seg med legitimasjonssiden er demonstrert konverterende – refusjonssvindel-operatører retter oppfølgingsinnsatsen dit, inkludert supportsamtaleseksaleringen.

Hva som avslører det

Refusjonssvindeldomener tenderer til å se ut som apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com – kortlivede, merkevarespoofende, registrert gjennom kjent-misbrukvennlige registratorer. Klassifikatorsignalet er i hovedsak det samme som de andre kampanjene: vertsnavn-til-merkevare-likhet (Levenshtein-distansescoring mot «apple.com», «amazon.com», «netflix.com»), registreringsalder, sertifikatleverandør, hostinginfrastruktur. Fanger kampanjen ved første observasjon, uavhengig av hvilken spesifikk merkevarvariant som er i spill.

Felles mønstre på tvers av alle tre

Alle tre kampanjene deler strukturelle trekk som gjør dem detekterbare som en klasse:

  • Nylig registrerte domener – vanligvis mindre enn en uke gamle, ofte mindre enn 24 timer.
  • Vertsnavn-mimikri av et kjent merkenavn – målbart via strengdistansescoring mot en liste over kjente merkevarer.
  • Gratissertifikater fra Let's Encrypt eller ZeroSSL – legitime nettsteder bruker også disse, men kombinasjonen av «nytt domene + gratissert + merkevarespoofende vertsnavn» er svært prediktiv.
  • Hosting hos et lite sett med misbrukstolerante leverandører – Cloudflare-frontet, med opprinnelsesservere i jurisdiksjoner kjent for langsom fjerning.
  • Sidemaler som samsvarer med kjente phishing-kits – domenespesifikke UI-ressurser gjenbrukes på tvers av kampanjer.
  • URL-struktur – lange stier med tilfeldig utseende tokens, hyppig bruk av spørringstrengs-omdirigeringer.

Hva som ikke fanger dem

  • iOS Safe Browsing kjører bare i Safari. Phishing-lenken som trykkes fra Meldinger-appen åpnes i en webvisning som ikke får samme beskyttelse.
  • Operatørbasert SMS-filtrering blokkerer noe volum men roteres sjelden – kampanjene justerer avsendernummeret og filteret henger permanent etter.
  • «Bare ikke klikk på mistenkelige lenker» – gode råd som svikter mot det lille mindretallet av meldinger der brukeren faktisk venter en pakke, en refusjon eller en bompengeregning. Volum er strategien.
  • Rene svartelister (PhishTank, OpenPhish, osv.) – disse er reaktive. Innen et domene er rapportert og lagt til, har det vært aktivt i timer til dager; kampanjeoperatørene roterer før listene rekker å hente inn igjen.

Hva som faktisk fanger dem

Nettverksnivå trusseldeteksjon som kjører en ML-klassifikator på destinasjonsdomenet ved tidspunktet for DNS-oppslag. Klassifikatoren trenger ikke at den spesifikke URL-en er rapportert noe sted på forhånd – den scorer på de strukturelle kjennetegnene ovenfor (registreringsalder, merkevaremimikri, sertifikatleverandør, hosting-ASN, URL-form) og nekter å løse opp domener over risikoterskelene. Det er hele arkitekturen til Caspers trusseldeteksjonslag (forklart i detalj her), og det er det eneste som faktisk lukker hullet for disse tre kampanjene.

En subtilere fordel: Caspers klassifikator rapporterer falske positive (en bruker markerte en blokkering som feil) tilbake til omlæring. De tre kampanjene ovenfor er nå godt klassifisert, men operatørene bak dem fortsetter å rotere taktikk – nye TLD-er, nye registratorer, nye hostingmønstre. En modell som kontinuerlig lærer tilpasser seg raskere enn noen statisk svarteliste kan.

Konklusjon

Smishing vinner akkurat nå fordi SMS er kanalen mobilbrukere er minst mistenksomme overfor, beskyttelsene innebygd i operativsystemet bare dekker én nettleser, og de dominerende kampanjene roterer domener raskere enn reaktive svartelister oppdateres. Innflytelsespunktet er på DNS-laget – hver klikket lenke utfører et DNS-oppslag før nettleseren åpner det, og det oppslaget er det reneste stedet å gripe inn. Hvis du ikke tar med deg noe annet fra dette innlegget: trykk aldri på en betalingslenke fra en SMS. Åpne appen selv. De få sekundene det koster deg er hele forsvaret.

Vurdert av Casper's Cloak Security Team · Sist oppdatert

Avdekk neste phishing-lenke før du trykker på den

Casper's Cloak kjører nøyaktig den typen nettverksnivå trusseldeteksjonslag beskrevet ovenfor – på tvers av alle apper på iPhone, Mac og Android. Nylig sette phishing-domener flagges raskt av ML-laget.