Kortversionen: SMS-nätfiske — "smishing" — gick om e-postnätfiske som den primära vektorn för stöld av inloggningsuppgifter för mobilanvändare någon gång runt 2024 och har accelererat under 2025–2026. Skälen är strukturella: telefoner kör inte något Safe Browsing-motsvarighet för SMS, URL-förhandsvisningar saknas till stor del, länkförkortare ser legitima ut och folk trycker på telefoner med betydligt mindre noggrannhet än när de klickar i en webbläsare på datorn. Tre kampanjer dominerar volymen just nu. Här är exakt hur var och en fungerar.
Kampanj 1 — USPS-paket "oleveransbart" smishing
Aktiv sedan 2023. Volym enligt FTC/USPS-rapportering: ~5 miljoner+ amerikanska mottagare per månad vid peak. Tillskriven av FBI och säkerhetsforskare (Resecurity, Trend Micro) till den kinesiskspråkiga klustret "Smishing Triad".
Betet
Ett SMS anländer, typiskt på morgonen eller tidig eftermiddag, och hävdar att mottagarens paket har en "ofullständig adress" och kommer att returneras om de inte bekräftar uppgifterna inom 24 timmar. Meddelandet innehåller en länk som ser ut som USPS (varianter som usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn) men är registrerad på engångsdomäner som är timmar eller dagar gamla. De flesta väntar på ett paket — från Amazon, en nätbutik, en väns present — och tajmingen konverterar.
Vad du får när du klickar
En pixelperfekt USPS-kloningssida ber om din adress (för att "omleverera"), och eskalerar sedan till en "omleveransavgift" på 1,99–3,50 USD som kräver kreditkortsuppgifter. Kortformuläret är priset: fullständigt kortnummer, CVV, utgångsdatum, faktureringsadress, mobilnummer för "leverans-SMS-bekräftelse." Kortet används sedan eller säljs inom timmar. Den insamlade informationen — fullständigt namn, adress, telefon, kortets sista 4 siffror — används också för uppföljningsattacker (falska banksamtal, kontövertagningsförsök).
Varför det fungerar
- De flesta har ett paket under transport vid varje given tidpunkt — hög sannolikhet att mottagaren tror på premissen.
- USPS skickar normalt inte SMS — men de flesta användare vet inte det, och varumärket är allmänt känt.
- Den "lilla avgiften" (1,99 USD) känns för liten för att strida om; folk betalar och går vidare.
- Domäner roteras var några dagar, så enbart blocklista-baserade försvar hamnar på efterkälken.
Vad som avslöjar det
Domänmönstret är mycket förutsägbart: bindestreckssatta USPS-varianter, .top / .cn / .info-toppdomäner, registrerade via kinesiskspråkiga registrarer, hostad bakom Cloudflare eller AS-roterande proxyservrar, certifikat utfärdade av Let's Encrypt eller ZeroSSL inom de senaste 48 timmarna. En ML-klassificerare tränad på dessa funktioner fångar nya domäner första gången någon når dem — långt innan de dyker upp i PhishTank eller de stora kommersiella blocklistorna. Klassificeraren är hela poängen med hotdetektering på nätverksnivå.
Kampanj 2 — Smishing om obetalda vägtullar (E-ZPass, SunPass, FasTrak)
Sköt i höjden 2024 när delstater gick över till helt elektronisk vägtullshantering. FBI IC3 utfärdade ett offentligt råd i april 2024. Drabbar nu alla 50 delstater (och kanadensiska användare) med delstatsspecifika varumärkesvarianter.
Betet
"[Delstats-DOT eller vägtullsmyndighet]: Du har ett obetalt vägtullssaldo på 4,27 USD. Betala före [datum] för att undvika förseningsavgift. Betala här: ezpass-payments[.]com." Beloppet är litet. Varumärkesnamnet matchar delstaten ("E-ZPass" i nordöst, "FasTrak" i Kalifornien, "SunPass" i Florida, "TxTag" i Texas, "I-Pass" i Illinois). Länken ser ut som den riktiga vägtullswebbplatsen vid en snabb blick. Mottagare i delstater med enbart elektronisk vägtullshantering — det är de flesta nu — har troligtvis använt en vägtullsväg nyligen.
Vad du får när du klickar
En klon av relevant delstats vägtullsmyndighets betalningsportal, anpassad per delstat. Formuläret ber om fullständigt namn, adress, telefon, registreringsskylt (för att "slå upp överträdelsen"), och leder sedan till en betalningsskärm som ber om kreditkortsuppgifter för det triviala beloppet. Precis som med USPS är kortdata priset, men den här kampanjen fångar också registreringsskyltdata — användbar för uppföljningsbedrägerier (falsk DMV-imitation, fordonsregistreringsbedrägeri, upplägg för försäkringsbedrägeri).
Varför det fungerar
- Vägtullsmyndigheter kontaktar ibland förare via SMS eller post — premissen är trovärdig.
- De flesta användare vet inte exakt vad de är skyldiga i vägtullar och antar att små avgifter är äkta.
- Hotet om "förseningsavgifter" eller "DMV-spärrar" driver betalning utan verifiering.
- Delstatsspecifik varumärkesmimik innebär att varje regions invånare ser sitt välbekanta varumärkesnamn.
Vad som avslöjar det
Vägtullsbedrägerdomäner följer en tydlig signatur: varumärke + payments/pay/billing i värdnamnet, .com / .net / .top-toppdomäner, ~24–72 timmars registreringsålder, certifikat från samma handfull gratis CA:er, gemensamma ASN-kluster (Cloudflare, Namecheap, värdleverantörer kända för tillåtande missbrukspolicyer). Även med rotation fångar en ML-klassificerare som poängsätter baserat på registreringsålder + likheten mellan värdnamn och varumärke hela kampanjfamiljen — inklusive domäner som observeras för första gången på just din enhet.
Kampanj 3 — Återbetalningsbekräftelsemeddelanden (Apple, Amazon, Netflix, Walmart)
Aktiv under hela 2024–2026, med säsongsbetonade volymtoppar runt skatteåterbetalningstiden (feb–apr i USA) och Black Friday / Cyber Monday.
Betet
"Apple ID: En avgift på 239,99 USD för [iCloud Storage / Apple Music annual / etc.] godkändes idag. Om du inte auktoriserade detta, avbryt här: [länk]." Ibland Amazon ("En avgift på 499,94 USD för [produkt]…"). Premissen är en avgift som mottagaren inte gjort — hotet är ekonomiskt. Nyfikenhet + alarm driver klicket. Vissa varianter är uppochnedvända: "Din återbetalning på 237,45 USD är klar. Bekräfta ditt bankkonto för att ta emot den." Samma krok, omvänd inramning.
Vad du får när du klickar
En nästan perfekt klon av varumärkets inloggningssida för kontot. De inloggningsuppgifter som skördas här är farligare än kreditkortspriserna från kampanj 1 och 2: ett Apple-ID eller Amazon-inlogg öppnar dörren till kontövertagande — fullständig köphistorik, sparade betalningsmetoder, presentkortssaldon, App Store-köp, möjligheten att läsa känsliga e-postmeddelanden och tillgång till andra tjänster som använder samma e-postadress för SSO-återställning. Många varianter eskalerar ytterligare: efter insamlingen av inloggningsuppgifter leder en falsk supportchatt eller ett återuppringningssamtal "från Apple" offret genom att läsa upp SMS 2FA-koder högt, vilket besegrar tvåfaktorssskyddet.
Varför det fungerar
- Äkta faktureringsmeddelanden från Apple/Amazon finns, så premissen är trovärdig.
- Beloppet är specifikt justerat för att vara tillräckligt högt för att väcka oro men inte omöjligt stort.
- Kontövertagande är mer värdefullt för angriparen än ett enstaka kreditkortshugg — ett "framgångsrikt" insamlande av inloggningsuppgifter ger upphov till veckors uppföljningsbedrägerier.
- Mål som engagerar sig med sidan för inloggningsuppgifter konverterar bevisbart — återbetalningsbedrägerioperationer fokuserar uppföljningsenergi där, inklusive supportsamtaleskalationen.
Vad som avslöjar det
Återbetalningsbedrägeridomäner tenderar att se ut som apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com — kortlivade, varumärkesförfalskande, registrerade via registrarer kända för att vara vänliga mot missbruk. Klassificerarsignalen är i princip densamma som för de andra kampanjerna: likhet mellan värdnamn och varumärke (Levenshtein-distanspoängsättning mot "apple.com", "amazon.com", "netflix.com"), registreringsålder, certifikatleverantör, värdinfrastruktur. Fångar kampanjen vid första observationen, oavsett vilken specifik varumärkesvariant som används.
Gemensamma mönster i alla tre
Alla tre kampanjerna delar strukturella egenskaper som gör dem detekterbara som en klass:
- Nyligen registrerade domäner — vanligtvis mindre än en vecka gamla, ofta mindre än 24 timmar.
- Värdnamnsimitation av ett känt varumärke — mätbart via strängavståndspoängsättning mot en lista med kända varumärken.
- Gratis certifikat från Let's Encrypt eller ZeroSSL — legitima webbplatser använder också dessa, men kombinationen av "ny domän + gratis cert + varumärkesimiterande värdnamn" är mycket förutsägbar.
- Hosting hos ett litet antal missbrukstolerant leverantörer — Cloudflare-frontade, med ursprungsservrar i jurisdiktioner kända för långsam nedtagning.
- Sidmallar som matchar kända nätfiskekit — domänspecifika UI-resurser återanvänds i kampanjer.
- URL-struktur — långa sökvägar med slumpmässiga token, frekvent användning av frågesträngsomdirigering.
Vad som inte fångar dem
- iOS Safe Browsing körs bara i Safari. Nätfiskelänken som trycks på i Meddelanden-appen öppnas i en webbvy som inte får samma skydd.
- SMS-filtrering på operatörsnivå blockerar en del volym men roterar sällan — kampanjer anpassar avsändarnumret och filtret ligger permanent efter.
- "Klicka bara inte på misstänkta länkar" — bra råd som misslyckas mot den lilla minoritet meddelanden där användaren faktiskt väntar ett paket, en återbetalning eller en vägtullsräkning. Volym är strategin.
- Rena blocklistor (PhishTank, OpenPhish, etc.) — dessa är reaktiva. När en domän har rapporterats och lagts till har den funnits aktiv i timmar till dagar; kampanjoperatörer roterar innan listorna hinner ikapp.
Vad som faktiskt fångar dem
Hotdetektering på nätverksnivå som kör en ML-klassificerare på destinationsdomänen vid tidpunkten för DNS-upplösning. Klassificeraren behöver inte den specifika URL:en rapporteras någonstans först — den poängsätter på strukturella egenskaper ovan (registreringsålder, varumärkeslikhet, certifikatleverantör, värd-ASN, URL-form) och vägrar att lösa upp domäner över riskgränsen. Det är hela arkitekturen hos Caspers hotskyddslager (förklaras i detalj här), och det är det enda som på ett meningsfullt sätt stänger luckan för dessa tre kampanjer.
En mer subtil fördel: Caspers klassificerare rapporterar falska positiva (en användare markerade ett block som fel) tillbaka till omskolning. De tre kampanjerna ovan är nu välklassificerade, men operatörerna bakom dem fortsätter att rotera taktik — nya toppdomäner, nya registrarer, nya värdmönster. En kontinuerligt lärande modell anpassar sig snabbare än någon statisk blocklista kan.
Slutsats
Smishing vinner just nu eftersom SMS är den kanal som mobilanvändare minst misstänker, skydden inbyggda i operativsystemet täcker bara en webbläsare, och de dominerande kampanjerna roterar domäner snabbare än reaktiva blocklistor uppdateras. Hävstångspunkten är på DNS-nivå — varje klickad länk gör en DNS-förfrågan innan webbläsaren öppnar den, och den förfrågan är den renaste platsen att ingripa. Om du inte tar med dig något annat från det här inlägget: tryck aldrig på en betalningslänk från ett SMS. Öppna appen själv. De få sekunder det kostar dig är hela försvaret.