lördag 30 juli 2011

Svenska företag skickar ut phishing-mail

De senaste veckorna har stora mängder phising-mail skickats ut till Svenska e-postmottagare med syfte att lura till sig kontokortsnummer och pin-koder. Mailen är skrivna på Svenska och utger sig för att vara skickade från VISA. 

Vid en närmre granskning har WeClouds tekniker noterat att en stor del av mailen är skickade från Svenska företags servrar. Företagen som äger servrarna har varit ovetandes om att deras servrar utnyttjats för att skicka ut phisning-mail. 




Troligtvis har en eller flera användare med rättighet att skicka ut mail från verksamhetens server infekterats av skadlig kod som i hemlighet hämtat instruktioner från en botnet-central och skickat iväg mail med en falsk-avsändaradress. Genom att analysera mailens header-information kan avsändaren spåras tillbaka till ett IP-nummer som i sin tur avslöjar ägaren till nätverket.

-Det handlar om avancerade virus-koder och kontroll-kommandon som är mycket svåra att upptäcka med traditionella Antivirusprogram. Vi har sett att dessa bedrägerimail skickats ut både från små och stora verksamheter, även från verksamheter som uteslutande arbetar med IT och hosting, säger Jon Lahtinen som är chefstekniker på WeCloud.

Jon tippsar om några enkla åtgärder för att begränsa och undvika skadlig kod som i hemlighet utnyttjar verksamhetens nätverk för att skicka ut bedrägerimail:


  • Tillåt endast e-postservern att skicka ut e-post genom brandväggen, på så vis förhindrar du att e-post skickas direkt från infekterade datorer på verksamhetens nätverk.
  • Stäng in och ut-gående portar i brandväggen för att begränsa de applikationer som får hämta och skicka information till och från verksamhetens nätverk.

  • Logga och kontrollera med jämna mellanrum den utgående e-posten för upptäcka eventuella mail som inte är legitima.
  • Skanna även utgående mailtrafik med spam och virus-filter.
  • Aktivera en webbsäkerhetslösning så att innehållet i http-trafiken (surftrafiken) virus-skannas och blockeras om den innehåller botnet-kommandon. Http-protokollet är det vanligaste protokollet för både virusinfektion och illegal botnet-kommunikation.
Problemet har även uppmärksammats av Computer Sweden, läs mer på WeCloud i Computer Sweden


WeCloud erbjuder säkerhetslösningar för att säkra både e-post och webbtrafiken som en tjänst i molnet, helt utan hårdvara eller mjukvara hos kunden.


WeCloud AB
info@wecloud.se