onsdag 27 januari 2016

Postnord-bluffen tar ny fart

Under veckan har Postnord-bluffen tagit ny fart och nya varianter av Postnord-spam skickas ut i stora volymer. WeCloud har utvecklat en rad nya signaturer för att blockera de pågående utskicken i sitt e-postfilter. De förfalskade e-postmeddelandena är i sig ofarliga men innehåller länkar till hackade webbsidor som kan infektera datorn om mottagaren klickar på länken.

WeCloud uppmärksammade redan under måndagen en ny våg av förfalskad e-post från Postnord. E-postmeddelandet ser ut att komma från Postnord, men uppger olika avsändare i olika utskick. Länken i de falska meddelandena varierar, men leder i de flesta fall till en hackad webbserver där skadlig kod väntar på att hämtas ned till mottagarens dator.


Den nya vågen av Postnord-spam anger "Paketet inte har levererats" i ämnesraden.

En stor del av Postnord-bluffen skickas ut från IP-adresser som tillhör legitima stora Internetleverantörer och därav har väldigt få avsändare hamnat på de publika svartlistor som används av många spamfilter. 

Texten i den förfalskade e-posten ligger mycket nära affärssvenska och blir därav svår att klassificera som spam. WeClouds tekniker har bl.a. special-designat nya spam-signaturer baserat på de röda trådar man kunnat identifiera genom att granska ett stort antal exempel från den pågående attacken. 



Den danska versionen anger "PostNord - Forsendelse Meddelelse" i ämnesraden

WeCloud's tekniker vill inte i detalj avslöja de nya parametrarna som nu används för att blockera Postnord-attacken eftersom angriparna hela tiden hittar nya metoder för att kringgå filtren. WeCloud delar dock med sig av sina nya spamsignaturer till den globala antispam-databasen Cloudmark som används av många andra spamfilter. 

Vanligtvis brukar ett begränsat antal länkar användas i ett spamutskick, men i fallet med Postnord-bluffen har det varit svårt att använda länkarna som ett signalement eftersom de varierat kraftigt. "Det handlar om en ovanligt stor mängd hackade webbservrar, varje nytt utskick länkar till nya hackade sidor", säger Jon Lahtinen, CTO på WeCloud AB. 

Har du mottagit Postnord-förfalskningar efter klockan 14:00 idag?
Om du använder WeCloud EmailSecurity men ändå har mottagit Postnord-förfalskningar efter klockan 14:00 idag är WeCloud intresserade av att få exempel på dessa mail. Även du som inte använder WeCloud EmailSecurity kan bidra tilla tt stoppa de nya Postnordspammen. Skicka gärna exempel på dessa mail som en bifogad fil i .eml-format till postnordbluff@wecloud.se och ange "postnordbluff" i ämnesraden.

Läs gärna mer om tidigare Postnord-attacker här: