Pågående nätfiskekampanj - kommuner är drabbade

nätfiske

CERT-SE uppmanar till särskild vaksamhet gällande bedrägerimejl efter att ha mottagit information om en omfattande nätfiskekampanj som har drabbat kommuner där stor mängd e-post skickats ut på kort tid. Omfattningen av denna kampanj är inte helt kartlagd, arbete pågår med att analysera händelsen.Vi uppmanar drabbade att höra av sig med information, loggdata m.m. Skicka information till cert[at]cert.se.

Uppdatering 2020-02-05

CERT-SE har under utredning identifierat följande URL:er (IOC:er) som används aktivt just nu. chulyonfr[.]creatorlink[.]netmicrosft[.]creatorlink[.]netverifiyingoutlookowa[.]creatorlink[.]nettytyut[.]creatorlink[.]netdsfgdgjklkiulij[.]creatorlink[.]netmaintenanceserverope[.]creatorlink[.]netmaintenancenetwork[.]creatorlink[.]netowaaoptionsmyacco028[.]creatorlink[.]net

Gemensamt för alla är att de ligger under domänen creatorlink.net. Exempel på hur nätfiskesidan kan se ut

Detta är ett exempel på hur en nätfiskesida under denna kampanj kan se ut.

Rekommendationer

CERT-SE rekommenderar att, om möjligt, blockera de URL:er som innehåller en nätfiskesida (se ovan). Om verksamheten inte har behov av att komma åt en undersida på creatorlink.net kan den vara en idé att, tills kampanjen gått över, blockera hela domänen.Läs även CERT-SE:s tidigare publicerade rekommendationer för att skydda sig mot nätfiske. Ta gärna del av dessa [1, 2, 3].

Källor

[1] https://www.cert.se/2019/11/ny-vag-av-angrepp-mot-e-postkonton-i-office-365-och-exchange

[2] https://www.cert.se/2019/09/guide-om-hur-du-skyddar-dig-mot-microsoft-office-365-phishing-fran-ncsc-fi

[3] https://www.cert.se/2018/12/cert-se-uppmanar-drabbade-av-natfiske-att-hora-av-sig