måndag 25 april 2016

Smarta bedrägeriförsök via e-post

De senaste månaderna har WeCloud noterat en dramatisk ökning av anpassade och riktade bedrägerier och bedrägeriförsök via e-post i Sverige. Förfalskade avsändare får e-post att se ut att komma från den egna organisationen och uppmanar personer på nyckelpositioner att göra banköverföringar eller lämna ut hemlig data.

WeCloud har under de senaste månaderna noterat många fall av anpassade och riktade bedrägerier via e-post. De nya bedrägeriförsöken är mer avancerade och anpassade än tidigare upptäckta e-postbedrägerier. 

Under många år har förfalskad e-post adresserats till Svenska mottagare, både privatpersoner och verksamheter. I de flesta fall har det handlat om dåliga phishing-försök, där t.ex. iTunes eller Spotify uppges vara avsändaren. Phishing-mailen har hänvisat mottagaren till en webbsida där inloggningsuppgifter och kreditkortsdetaljer efterfrågats. På relativt kort tid har de förfalskade meddelandena kunant fångas upp av olika spamfilter.

Den senaste tidens bedrägeriförsök via e-post är mer avancerad och välplanerade. WeCloud har bland annat noterat hur bedragarna registrerar domännamn som är snarlika mottagarens egna domännamn, t.ex. ändras bokstaven "O" till siffran "0", eller så byts bokstaven "lilla l" ut mot siffran "1".
Vanliga varianter för att lura ögat:

  • r+n ersätter m
  • n ersätter m
  • m ersätter n
  • q ersätter g
  • g ersätter q
  • l ersätter i
  • i ersätter l
  • 0 ersätter o



Vissa av attackerna utnyttjar svagheterna i SMTP-protokollet och anger en avsändaradress i e-postmeddelandet och en annan adress dit eventuella svar skickas. Denna typ av angrepp kan detekteras av vissa e-postsäkerhetslösningar, i vissa fall kan mottagarens e-postservern konfigureras så att den blockerar e-post där den riktiga avsändaradressen inte stämmer överens med den adress som visas som avsändare i e-postklienten.

I de mera avancerade attackerna skickas bedragarna e-post från t.ex. "vd@d0main.com" till "ekonomi@domain.com" med uppmaningar om att utföra en banköverföring eller att kontakta en viss person för vidare instruktioner. Mottagaren är noga utvald och sitter ofta på en viktig position med rättigheter att utföra ekonomiska transaktioner, t.ex. ekonomiansvarig. De förfalskade meddelandena är välformulerade och skrivna på korrekt svenska.




Det förfalskade e-postmeddelandet följs upp av ett telefonsamtal från den påstådde företrädaren "Lars Magnusson" som ber ekonomiansvarige Lena att överföra ett belopp till ett specifikt konto.

I andra bedrägeriförsök hänvisar man mottagaren av det förfalskade meddelandet till ett telefonnummer till "det egna företags advokat" där nya instruktioner lämnas om hur pengar ska överföras.

Om bedragaren använder ett snarlikt domännamn som verksamhetens egna är det mycket svårt att stoppa det förfalska e-postmeddelandet. Eftersom innehållet i meddelandena är anpassat för varje specifikt företag och använder sig av korrekt svenska kan spamfilter och virusskanning sällan identifiera meddelandet som "skräp". Om det egna domännamnet innehåller bokstäver eller siffror som kan förväxlas rekommenderas att de möjliga förfalskade varianterna manuellt svartlistas i verksamhetens e-postfiltrering.

För att minska risken att ditt egna domännamn används i denna typ av bedrägeriförsök bör ett SPF-record upprättas som talar om för omvärlden vilka IP-nummer som har rätt att skicka e-post i domänens namn, samt använda en e-postfiltrering som kontrollerar och blockerar e-postmeddelanden som skickats från IP-adresser som inte finns angivna i avsändarens SPF-record.

WeCloud erbjuder lösningar för krypterad e-post där avsändaren på ett säkert sätt kan verifieras. Med WeClouds Email Encryption kan verksamheten välja att skicka alla uppgifter om banktransaktioner eller andra känsliga uppgifter i krypterat format med bekräftade mottagare och avsändare. Läs mer om WeClouds smidiga krypteringstjänst för e-post här.

Läs också:



www.wecloud.se
info@wecloud.se

onsdag 13 april 2016

Zscaler ger proaktivt skydd mot nya säkerhetshål

Zscaler har proaktivt utvecklat skydd för attacker mot de 3 sårbarheter som presenterades i Adobe's security bulletins samt 13 sårbarheter som presenterades i Microsoft Microsoft security bulletins i april. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.





WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.


Severity: Critical
Affected Software

  • Adobe Flash Player Desktop Runtime 21.0.0.197 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.333 and earlier
  • Adobe Flash Player for Google Chrome 21.0.0.197 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 21.0.0.197 and earlier
  • Adobe Flash Player for Internet Explorer 11 21.0.0.197 and earlier
  • Adobe Flash Player for Linux 11.2.202.577 and earlier
  • AIR Desktop Runtime 21.0.0.176 and earlier
  • AIR SDK 21.0.0.176 and earlier
  • AIR SDK & Compiler 21.0.0.176 and earlier
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-1018 – Flash Player Buffer Overflow / Underflow Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-1019 – Flash Player Type Confusion Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
Description: Adobe has released security updates for Adobe Flash Player.  These updates address critical vulnerabilities that could potentially allow an attacker to take control of the affected system.
MS16-037 –  Cumulative Security Update for Internet Explorer


Severity: Critical
Affected Software

  • Internet Explorer 9-11
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0159 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
            CVE-2016-0164 – Internet Explorer Memory Corruption Vulnerability
            Security Subscription Required: Advanced Internet Security
Description: This security update resolves vulnerabilities in Internet Explorer. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. An attacker who successfully exploited the vulnerabilities could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
MS16-038 – Cumulative Security Update for Microsoft Edge


Severity: Critical
Affected Software

  • Microsoft Edge
Security Subscription Required: Advanced Internet Security
CVE-2016-0156 – Microsoft Edge Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security
CVE-2016-0157 – Microsoft Edge Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security
CVE-2016-0158 – Microsoft Edge Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Internet Security
CVE-2016-0161 – Microsoft Edge Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Internet Security
Description: This security update resolves vulnerabilities in Microsoft Edge. The vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Microsoft Edge. An attacker who successfully exploited the vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
MS16-039 – Security Update for Microsoft Graphics Component


Severity: Critical
Affected Software

  • Windows Vista SP2
  • Windows Server 2008 SP2
  • Windows 7 SP1
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0165 – Win32k Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0167 – Win32k Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
Description: This security update resolves vulnerabilities in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business, and Microsoft Lync. The most severe of the vulnerabilities could allow remote code execution if a user opens a specially crafted document or visits a webpage that contains specially crafted embedded fonts.
MS16-040 – Security Update for Microsoft XML Core Service


Severity: Critical
Affected Software    

  • Windows Vista SP2
  • Windows Server 2008 SP2
  • Windows 7 SP1
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
Security Subscription Required: Advanced Internet Security
         
Description: This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user clicks a specially crafted link that could allow an attacker to run malicious code remotely to take control of the user’s system. However, in all cases an attacker would have no way to force a user to click a specially crafted link. An attacker would have to convince a user to click the link, typically by way of an enticement in an email or Instant Messenger message.
MS16-048 – Security Update for CSRSS


Severity: Important
Affected Software

  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
Security Subscription Required: Advanced Behavioral Analysis
Description: This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow security feature bypass if an attacker logs on to a target system and runs a specially crafted application.
www.wecloud.se




APSB16-10Security updates available for Flash Player
CVE-2016-1017 – Flash Player Use-After-Free Vulnerability
            CVE-2016-0154 – Microsoft Browser Memory Corruption Vulnerability
CVE-2016-0155 – Microsoft Edge Memory Corruption Vulnerability
CVE-2016-0143 – Win32k Elevation of Privilege Vulnerability
CVE-2016-0147 – MSXML Remote Code Execution Vulnerability
CVE-2016-0151 – Windows CSRSS Security Feature Bypass Vulnerability

info@wecloud.se

www.wecloud.se

tisdag 12 april 2016

Webroot integrerad med Autotask

Den nya Webroot SecureAnywhere-Integrationen mot Autotask tillåter MSPs att distribuera Webroots mjukvara, övervaka och managera Webroot direkt från Autotask Endpoint Management (AEM) gränssnitt. 

Med Autotask-integrationen aktiverad och en Webroot Management Security Policy konfigurerad kan du:

  • Distribuera Webroot SecureAnywhere till Windows och Mac-enheter


  • Avinstallera Webroot från dina endpoints
  • Övervaka dina endpoints och bli uppmärksammad enligt de kriterier som är konfigurerade i Webroot
  • Kör Webroot-specifika kommandon på dina endpoints från enhetslistan
  • Rapportera om aktuell status för samtliga Webroot-installationer



Seminarium förra veckan

Tack till dig som deltog på vårat seminarium "Ransomware - nej, tack!" i förra veckan! Det var kul att så många kunde komma och vi hoppas att du fick med dig intressant information och några nya idéer. 

Vi har upprättat en minisida där du finner bilder från Stockholm, Göteborg och Malmö, samt de presentationer som användes under seminariet.


På webbsidan hittar du även:

  •         Zscalers Internet Gateway-test som, utan installation, testar hur väl din nuvarande Internet Gateway skyddar dig från skadligheter i http/https-trafiken.
  •         Kostadsfri test av Webroot SecureAnywhere, Next-generation Antivirus i molnet, som kan under en test kan samexistera med nuvarande antiviruslösning
  •         Länkar & tips som nämndes under seminariet

 Välkommen att höra av dig till oss om du saknar något!