måndag 25 april 2016

Smarta bedrägeriförsök via e-post

De senaste månaderna har WeCloud noterat en dramatisk ökning av anpassade och riktade bedrägerier och bedrägeriförsök via e-post i Sverige. Förfalskade avsändare får e-post att se ut att komma från den egna organisationen och uppmanar personer på nyckelpositioner att göra banköverföringar eller lämna ut hemlig data.

WeCloud har under de senaste månaderna noterat många fall av anpassade och riktade bedrägerier via e-post. De nya bedrägeriförsöken är mer avancerade och anpassade än tidigare upptäckta e-postbedrägerier. 

Under många år har förfalskad e-post adresserats till Svenska mottagare, både privatpersoner och verksamheter. I de flesta fall har det handlat om dåliga phishing-försök, där t.ex. iTunes eller Spotify uppges vara avsändaren. Phishing-mailen har hänvisat mottagaren till en webbsida där inloggningsuppgifter och kreditkortsdetaljer efterfrågats. På relativt kort tid har de förfalskade meddelandena kunant fångas upp av olika spamfilter.

Den senaste tidens bedrägeriförsök via e-post är mer avancerad och välplanerade. WeCloud har bland annat noterat hur bedragarna registrerar domännamn som är snarlika mottagarens egna domännamn, t.ex. ändras bokstaven "O" till siffran "0", eller så byts bokstaven "lilla l" ut mot siffran "1".
Vanliga varianter för att lura ögat:

  • r+n ersätter m
  • n ersätter m
  • m ersätter n
  • q ersätter g
  • g ersätter q
  • l ersätter i
  • i ersätter l
  • 0 ersätter o



Vissa av attackerna utnyttjar svagheterna i SMTP-protokollet och anger en avsändaradress i e-postmeddelandet och en annan adress dit eventuella svar skickas. Denna typ av angrepp kan detekteras av vissa e-postsäkerhetslösningar, i vissa fall kan mottagarens e-postservern konfigureras så att den blockerar e-post där den riktiga avsändaradressen inte stämmer överens med den adress som visas som avsändare i e-postklienten.

I de mera avancerade attackerna skickas bedragarna e-post från t.ex. "vd@d0main.com" till "ekonomi@domain.com" med uppmaningar om att utföra en banköverföring eller att kontakta en viss person för vidare instruktioner. Mottagaren är noga utvald och sitter ofta på en viktig position med rättigheter att utföra ekonomiska transaktioner, t.ex. ekonomiansvarig. De förfalskade meddelandena är välformulerade och skrivna på korrekt svenska.




Det förfalskade e-postmeddelandet följs upp av ett telefonsamtal från den påstådde företrädaren "Lars Magnusson" som ber ekonomiansvarige Lena att överföra ett belopp till ett specifikt konto.

I andra bedrägeriförsök hänvisar man mottagaren av det förfalskade meddelandet till ett telefonnummer till "det egna företags advokat" där nya instruktioner lämnas om hur pengar ska överföras.

Om bedragaren använder ett snarlikt domännamn som verksamhetens egna är det mycket svårt att stoppa det förfalska e-postmeddelandet. Eftersom innehållet i meddelandena är anpassat för varje specifikt företag och använder sig av korrekt svenska kan spamfilter och virusskanning sällan identifiera meddelandet som "skräp". Om det egna domännamnet innehåller bokstäver eller siffror som kan förväxlas rekommenderas att de möjliga förfalskade varianterna manuellt svartlistas i verksamhetens e-postfiltrering.

För att minska risken att ditt egna domännamn används i denna typ av bedrägeriförsök bör ett SPF-record upprättas som talar om för omvärlden vilka IP-nummer som har rätt att skicka e-post i domänens namn, samt använda en e-postfiltrering som kontrollerar och blockerar e-postmeddelanden som skickats från IP-adresser som inte finns angivna i avsändarens SPF-record.

WeCloud erbjuder lösningar för krypterad e-post där avsändaren på ett säkert sätt kan verifieras. Med WeClouds Email Encryption kan verksamheten välja att skicka alla uppgifter om banktransaktioner eller andra känsliga uppgifter i krypterat format med bekräftade mottagare och avsändare. Läs mer om WeClouds smidiga krypteringstjänst för e-post här.

Läs också:



www.wecloud.se
info@wecloud.se