måndag 15 augusti 2016

Ökning av anpassade "VD-bedrägerier" via e-post

Under sommaren har många skandinaviska verksamheter utsatts för anpassade och riktade bedrägeriförsök via e-post. Sedan april i år har antalet förfalskade betalningsuppdrag som skickas till ekonomichefer ökat och nådde den första veckan i augusti en ny rekordnivå. 

WeCloud rapporterade i april i år om en ökning av anpassade bedrägerier via e-post. 
IT-relaterade bedrägerier ökar vanligtvis under sommarmånaderna då bedragarna hoppas på att vikarier och sommarpersonal är lättare att lura. De senaste månadernas bedrägeriförsök är avancerade och väl anpassade för att lura det tilltänkta offret. Bedragarna ser ut att göra en allt mer ingående förstudie inför sina utskick. 

Flera av bedrägeriförsöken är utformade så att meddelandet ser ut att skickas från verksamhetens direktör och många gånger skickas det falska meddelandet till ekonomiansvarig eller annan person med befogenhet att utföra banköverföringar från verksamhetens konton.




Mottagaren ombeds utföra en brådskande banköverföring på uppdrag av verksamhetens verkställande direktör. Bedrägeriet sker ofta i flera steg och inleds med en förfrågan om vilka uppgifter som behövs för att utföra betalningen. För att lura mottagaren och ge det förfalskade meddelandet en brådskande karaktär avslutas de ofta med "Skickat från min iPhone".

Unika och anpassade bedrägerier
Bedrägeri-meddelandena är unikt utformade för varje mottagare och innehåller affärstermer vilket gör det svårt att skapa antispam-regler som identifierar innehållet. För att motverka förfalskad e-post från den egna domänen bör man upprätta ett SPF-record för sitt domännamn. Ett SPF-record talar om för omvärlden vilka IP-nummer som har rätt att använda domännamnet som avsändaradress.
Läs mer om hur du konfigurerar ett SPF-record här.

Många bedragare kringgår dock SPF-kontrollen genom att maskera den riktiga avsändaradressen istället för att förfalska den. WeCloud utvärderar i nuläget en egenutvecklad funktion som utökar SPF-kontrollen så att den även omfattar den adress som visas som avsändare i de flesta e-postklienter. Funktionen är tänkt att komplettera den vanliga SPF-kontrollen och 
planeras att släppas i nästa version av WeCloud EmailSecurity.

Polisanmäl alltid!
Om din verksamhet utsatts för bedrägerier via e-post bör du polisanmäla händelsen. Du gör enklast en polisanmälan genom att ringa 114 14. Polisen vill minska mörkertalet och har vid kontakt med WeCloud varit mycket tydliga med att de önskar att polisanmälan alltid sker vid misstanke om bedrägeri via e-post. 


Många gånger slutar spåren av bedragarna vid en utländsk server och polisens befogenheter att begära ut information blir då begränsad. Polisen är dock väl medvetna om de s.k. "VD-bedrägerierna" och har förhoppningar om att inom kort kunna ställa flera bedragare inför rätta.


Läs också: Smarta bedrägeriförsök via e-post

www.wecloud.se
info@wecloud.se




fredag 12 augusti 2016

Ännu en ny våg av falsk e-post från Postnord sprider ransomware

Ännu en gång utnyttjas Postnord's namn för att sprida ransomware. Denna gång är e-postmeddelandet skrivet på engelska och ber mottagaren att klicka på en länk för att hämta hem en fraktsedel med information om försändelsen.

I flera omgångar har falska e-postmeddelanden som anger Postnord som avsändare använts för att sprida skadlig kod. Under natten till fredagen uppmärksammade WeClouds system en ny våg av utskick, denna gången skrivna på Engelska.

Den nya vågen av förfalskade e-postmeddelanden från Postnord är i sig själva ofarliga och innehåller ingen skadlig kod. I meddelandet återfinns däremot en länk som användaren uppmanas klicka på. Länkens destination varierar kraftigt och många av de webbsidor som används för att sprida den skadliga koden har redan stängts ned och användaren får ett felmeddelande istället för en infekterad dator om de klickar på länken.



-Det handlar hela tiden om en kamp mot klockan. De första tio minuterna kan länken vara helt ofarlig, därefter publiceras den skadliga koden, och beroende på vem som hanterar den infekterade webbservern kan den skadliga koden ligga aktiv ända tills den upptäcks av ägaren till servern, säger Rikard Zetterberg, VD på WeCloud.

Inga av de länkar som undersökts av WeClouds tekniker har blockerats av traditionella webbfilter. Innehållet på sidorna är så pass nytt att länkarna ännu inte hunnit klassificeras som skadliga. För att snabbt kunna identifiera ny skadlig kod på webben krävs en inspektion av innehållet som hämtas från webbsidan. 

Om du mottagit ett e-e-postmeddelande som liknar det på bilden ovan bör du radera det och undvika att klicka på länken. 
WeClouds e-postsäkerhetslösning blockerar de flesta varianter av den nya vågen av förfalskad e-post från Postnord.
-För att minimera risken att infekteras med skadlig kod som sprids på det här sättet behövs en kombination av antivirus, webbsäkerhet och spamfilter. Genom att helt enkelt förbjuda exekverbara filer som hämtas från webben kan säkerheten höjas ordentligt, säger Rikard.

WeCloud erbjuder ett av marknadens starkaste endpoint-skydd mot ransomware och cryptolocker. Webroot SecureAnywhere har utvecklat en unik teknologi för att kunna identifiera och isolera ransomware-beteenden. Lösningen är molnbaserad och ersätter traditionella antivirusprogram. 

Läs också:


WeCloud tillhandahåller flexibla molnbaserade säkerhetslösningar som inte är beroende av lokala uppgraderingar och ändlösa signatur-uppdateringar. Våra lösningar skyddar din data och dina användare oavsett var de är uppkopplade.

www.wecloud.se

info@wecloud.se

Vad händer om Webroot missar ett virus?

De flesta antivirusprogram strävar efter att detektera och stoppa 100% av alla virus - ett uppdrag som är dömt att misslyckas. Med hjälp av unik teknologi kan Webroot SecureAnywhere skydda dina system även mot de virus som initialt är okända.

Mängden nya virus fortsätter öka och det blir allt svårare att skydda sig mot de nya hoten. WeClouds molnbaserade antivirus Webroot SecureAnywhere matchar filer och processer på datorn mot molnets databas, som innehåller mer än än 250 terabyte information om beteenden och filer. På så vis kan alla kända godartade filer indexeras, alla kända virus blockeras, och kvar blir ett fåtal "okända" filer.

Vi har en "plan-B" för de virus vi inte kan identifiera
Okända filer körs i "monitor mode" tills de har bedömts som ”godartade”. Alla förändringar som orsakas av okända filer övervakas och loggas. Denna metod tillåter att filer, som i efterhand klassas som skadliga, kan rensas bort samtidigt som de förändringar som orsakats av filen kan återställas.

Vad händer i praktiken om Webroot SecureAnywhere missar ett virus?
I filmen nedan gör vi det som ingen annan antivirustillverkare vill prata om. Vi infekterar ett system med ett virus som vi ännu inte känner till. Filmen är 6 minuter och förklarar hur Webroots unika skydd fungerar i praktiken.





SecureAnywhere™ Endpoint Protection är ett banbrytande och modernt malware-skydd. Genom att kombinera innovativ matchning av fil-mönster och beteende-analys med kraften i cloud computing kan SecureAnywhere stoppa både kända hot och förhindra okända zero-day-attacker mer effektivt än något annat antivirus-system.

www.wecloud.se
info@wecloud.se

torsdag 11 augusti 2016

Så utnyttjas OS i Rio för att sprida ransomware

Under några veckor samlas tusentals idrottsmän och fans från hela världen i Rio de Janeiro för ett av världens mest populära idrottsevenemang; de olympiska spelen. Samtidigt lockar OS också cyberbrottslingar och bedragare som utnyttjar OS-relaterade nyheter, händelser, resultat och online-videosändningar. 

På WeCloud övervakar vi ständigt hur cyberbrottslingar utnyttjar nyhetshändelser och events. Under den senaste tiden har flera otäcka attacker som syftar till att infektera användarens dator och nätverk med ransomware och fjärrstyrningsprogram.


Nyligen upptäcktes en OS-relaterad webbsida där det populära JavaScript-biblioteket jquery.js infekterats med en kod som styrde användaren vidare till en host med en infekterad SWF-fil. När filen körs på offrets system hämtas den skadliga koden, krypterad med ett enkelt XOR chiffer. Den skadliga koden bestod i detta fall av den ökända masken Quakbot som, förutom att sprida sig till tillgängliga nätverksenheter, öppnar upp systemet för fjärråtkomst och stjäl information från offrets dator. 



Den skadliga koden installerar sig som en service med namnet "Remote Procedure Call (RPC) Service" för att gömma sig och undgå att upptäckas.

I en annan attack utnyttjades det Sydafrikanska Gymnasticförbundets webbsida för att genom en redirector i ett flashobjekt sprida ransomware-varianten CryptoXXX. Innan offrets filer krypteras försöker CryptoXXX ta bort eventuella shadowcopies som skulle kunna användas för att återskapa förlorade filer.




I bästa fall frågar Windows om användarens tillåtelse innan ett kommandot som raderar Shadowcopes exekveras. Detta är en tydlig varningssignal om att systemet är infekterat med ransomware.

WeCloud utvecklar och distribuerar lösningar för webbsäkerhet, mobil säkerhet, antispam, antivirus och övervakning i molnet. Med WeClouds globala säkerhetsplattform utökas kundens säkerhet utan investeringar i hård- eller mjukvara.

www.wecloud.se

info@wecloud.se

torsdag 16 juni 2016

Otydliga varning för makrobaserad malware

Som WeCloud tidigare rapporterat har Microsoft infört nya funktioner för att bekämpa makrobaserad malware, men nu höjs röster som hävdar att varningsmeddelandena i Microsoft Office inte är tillräckligt tydliga.

Makron används för att automatisera repetitiva uppgifter, men har under de senaste åren utnyttjas i stor skala för att distribuera ransomware. Microsoft har utfärdat flera varningar om makrobaserad malware och sedan länge blockerat automatisk körning av makron, och erbjuder även policys för att styra vad ett makro får göra i de senaste Office-versionerna för att minska riskerna för oönskade makron.

Makrobaserade virus som spreds med Office-filer försvann nästan helt för mer än ett decennium sedan, men har de senaste året kommit tillbaka i stor skala. Microsoft kan vara delvis ansvarig för dess uppsving på grund av den näst intill uppmuntrande formuleringen i de nya säkerhetsvarningar som dyker upp om en användare öppnar filer som innehåller makron.




I tidigare versioner av Office informerades användaren om riskerna för att skadlig kod kunde gömma sig i makron, i det nya Office 2016 nämns inga detaljer om malware, bara en möjlighet för användaren att aktivera makrot.

Will Dorman, en sårbarhetsanalytiker på Carnegie Mellon University Computer Emergency Response Team (CERT / CC) säger att Microsofts dåliga säkerhetsvarningar efter Office 97 har uppmuntrat angripare att utnyttja den.

"Standardbeteendet i Microsoft Office har tidigare tillåtit skadliga makron, men de senaste versionerna av Microsoft Office gör det mycket lättare för användaren att fatta fel beslut", skriver Dorman i sin analys av makrobaserad malware.


Läs mer:



www.wecloud.se
info@wecloud.se




fredag 10 juni 2016

Nya funktioner i WeCloud Email Security

Under maj introducerades flera nya funktioner i WeCloud Email Security. Bland annat används en unik dynamisk svartlista som bygger på historisk data från tidigare skickad e-post mot domäner som skyddas av WeCloud Email Security.



WeCloud Email Security är en komplett lösning för säkerhet, validering och hantering av e-post som fungerar på alla plattformar. I slutet av maj introducerades flera nya funktioner i tjänsten som ytterligare höjer säkerheten och underlättar administrationen.

Adminkarantän
En ny karantänzon införs. Tillgången till adminkarantän är begränsad till användare med administratörsrättigheter och användas för att spara potentiellt skadlig e-post, e-post som innehåller bilagor som spärrats enligt kundens egna policy. Denna separata karantän hanterar även e-post som innehåller skadlig kod som stoppas av WeClouds utökade malwareskanning.

Karantän för policyblockerade bilagor
E-postmeddelanden med bifogade filtyper som förbjudits av kundens policy finns nu tillgängliga för förhandsgranskning och/eller frisläppning i adminkarantänen.

Dynamisk RBL "SVIBL"
För att adressera det ökande antalet e-postmeddelanden med malware har WeCloud utvecklat en dynamisk RBL som baseras på tidigare mottagna e-postmeddelanden från specifika IP-nummer. Ett IP-nummer som skickat fler skadliga e-postmeddelanden än legitima e-postmeddelanden till WeClouds kunder blockeras under 7 dagar. Data samlas in och uppdateras var 10:e minut. Redan under de första veckorna har den nya RBL-listan blockerat mer än 15 miljoner skadliga e-postmeddelanden.

Utökat språkstöd för QMS och notifikationer
QMS-rapporter och notifikationer till slutanvändare kan nu konfigureras för att presenteras på flera språk. För närvarande finns stöd för engelska, svenska och danska.

Förbättrad Malware Analyzer (Beräknad G. A. juli 2016)
E-post som innehåller misstänkta filer eller som matchar mönster hålls i en separat karantän under 24 timmar. Under denna tid genomsöks bilagorna regelbundet med en mängd antivirusprogram. Om e-postmeddelandet efter 24 timmar anses vara ofarligt av alla Antivirus-motorer kommer meddelandet automatiskt att frisläppas till mottagaren. Om det vid någon tidpunkt under de 24 timmarna detekteras som skadligt av någon av Antivirus-motorerna blockeras meddelandet som ett virus. E-postmeddelanden som satts i karantän av WeCloud Enhanced Malware Analyzer kan när som helst förhandsgranskas och frisläppas från Adminkarantänen. Standardinställningen för denna funktion är "inte aktiverad".

www.wecloud.se
info@wecloud.se


onsdag 8 juni 2016

Toppbetyg till Zscaler för virusskanning

Zscaler, som i realtid skannar innehållet i surftrafiken för att identifiera oönskat innehåll och skadlig kod, har utvärderats av AV-Test och fått mycket starka omdömen. Genom att skanna verksamhetens surftrafik med en molnbaserad lösning kan säkerhetsriskerna minimeras både innanför och utanför kontorsmiljön.




En övervägande del av den skadliga kod som idag plågar många verksamheter distribueras via HTTP(S)-protokollen. WeCloud, som sedan 2010, distribuerat Zscaler's Internet Secure Gateway, erbjuder en realtids-kontroll av Internettrafik som omfattar både användare på kontoret och på resande fot. Lösningen är integrerad med WeCloud's egenutvecklade tjänst för Email Security.

AV-TEST Institute är en ledande oberoende leverantör inom IT-säkerhet och anti-virusforskning. I en ny rapport ger man Zscaler Internet Secure Gateway omdömet "near perfect" och visar hur lösningen identifierat nära 100% av all skadlig kod som användes vid testen.

-WeCloud har distribuerat Zscaler i mer än 6 år och det är en av våra mest framgångsrika lösningar. På WeCloud hjälper vi kunden att implementera lösningen på bästa sätt för att kunna erbjuda största möjliga nytta, säger Rikard Zetterberg, VD på WeCloud AB.

Testerna inkluderade statiska och dynamiska URL-filtreringsfunktioner, teknik för att identifiera social engineering och phishing, detektering av skadlig kod och sandbox-detektering av körbara filer (även känd som "prevalent malware"), samt graden av s.k. "falska positiva" som avser mängden felaktigt identifierad skadlig kod och sårbarheter. Hela rapporten kan laddas hem här.

www.wecloud.se
info@wecloud.se