Januari 2021: Ökning av bedrägliga mejl som utnyttjar Covid-19

Under veckan har CERT-SE har sett tecken på att bedrägliga mejl (phishing) åter ökar i omfattning. Även denna gång utnyttjas den rådande pandemin och människors informationsbehov för att förmå mottagarna att dela med sig av sina kontouppgifter. Vi återpublicerar därför en artikel som ursprungligen publicerades i april 2020, som kompletterats med ytterligare aktuell information. Råden och exemplena från våren 2020 är dem samma som i den ursprungliga artikeln. I den här artikeln riktar vi oss till vanliga användare med råd och försiktigthetsåtgärderna mot denna typ av bedrägerier.

Även i den rådande krissituationen med pandemin COVID-19 gäller samma förbyggande åtgärder mot bedrägliga mejl och och sms (sk. phishing-kampanjer), som i vanliga fall. Däremot kan krisläget bidra till att göra oss extra sårbara när informationsbehovet om Coronaviruset är stort. Det kan få människor att oaktsamt öppna mejl och klicka på länkar.

Ett exempel som förekommer nu är ett mail som uppges komma från Rådgivningscenter om att de har uppdaterat sitt meddelandesystem som bland annat innehåller information om Covid-19. Mottagaren uppmanas klicka på en länk och ange sin aktiveringsinformation för att behålla sitt konto. Länken leder till en sida där användaren uppmanas ange inloggningsuppgifter till sitt mejlkonto. När bedragarna kommit över inloggningsuppgifter kan de själva logga in på mejlkontot via Outlook Web Access. Det övertagna mejlkontot kan därefter användas av bedragarna för att skicka nya meddelanden till andra användare inom samma företag eller till exempel dess affärspartner. Avsändaren är då legitim och betrodd av mottagarna. Sådana mejl kan innehålla nya nätfisken eller begäran om utbetalningar av pengar (så kallade VD-bedrägerier), inköp av varor, förfalskade fakturor etc. Det kan inte uteslutas att även information stjäls från, eller via, övertagna mejlkonton. Om kontot ser tillräckligt intressant ut ändrar de inställningarna för kontot så att inkommande mejl, eller en kopia av mejlen, eftersänds till bedragarnas egna mejlkonto. Inställningar för eftersändning syns inte i administrationsgränssnittet för kontot varför användaren inte känner till att så sker. [4]

I många fall är även användarnamnet och lösenordet för mailkontot det samma som används för inloggning mot det lokala nätverket, och även för fjärrinloggning (VPN). Detta ger ytterligare en dimension i angreppet då antagonisten kan få tillgång till samma interna resurser som det kapade användarnamnet har behörighet till. [4]

Exempel från april 2020

Ett exempel på bedrägliga mejl som florerade under våren 2020 är ett där Polisen ser ut att vara avsändaren. Mejlet är lurigt utformat med en suddig bild som ser ut som en bifogad fil. Mottagaren kan alltså luras att klicka på bilden för att läsa det förmodade brevet, men får troligen istället en dator infekterad med skadlig kod. Konsekvensen av ett lyckat angrepp kan exempelvis bli ett dataintrång, informationsläckage eller att användarens e-postkonto används för att skicka flera bedrägerimejl.

Det australiensiska cybersäkerhetscentret ACSC rapporterade om exempel där mottagaren luras att öppna och interagera med bedrägliga mejl eller sms innehållande budskap som “Coronavirus: New Confirmed Cases in your City”. En annan version var budskap om att det fanns uppdaterad information gällande corona-symptom via en bifogad länk. Länkarna gick till webbplatser som infekterade besökarnas datorer med skadlig kod. Mejl som innehöll bifogade dokument med skadligt innehåll, utformade för att se ut som en rapport från Världshälsoorganisationen WHO, uppmärksammades också [1].

Råd

Dessa bedrägerier är ibland mycket svåra att avslöja, men här följer några råd om vad du som användare kan titta efter för att avslöja ett bedrägligt mejl eller sms [1,2]:

• Oväntat meddelande eller avsändare? Redan innan du öppnar ett mejl eller sms, fundera och gör en bedömning om det är rimligt att den avsändaren kontaktar dig i det ärendet. Det kan till exempel vara både överraskande och orimligt att högsta chefen för en organisationen ber dig göra en utlandstransaktion om hen aldrig tidigare kontaktat dig direkt.
• Läs meddelandet noggrant och sök efter detaljer som verkar konstigt i t ex. spårningsnummer, namn, namn på bilagor, avsändaren, ämnesraden eller URLen.
• Via datorn kan du kontrollera den inbäddade URL genom att hålla muspekaren över länken, utan att klicka.
• Det skadar inte att göra en sökning på internet på avsändarens address för att se ifall andra har rapporterat in att de skulle vara skadligt.
• Kontakta avsändarorganisationen via deras officiella kanaler och kontaktvägar för att verifiera meddelandet. Använd inte eventuella kontaktuppgifter i det mottagna meddelandet. Dessa tillhör troligen bedragaren.
• Lämna inte ut personliga uppgifter eller kontoinformation till overifierade källor. Inga ansedda organisationer kontaktar dig via e-post eller telefon för att be dig lämna ut eller uppdatera sådana uppgifter.
• Aktivera tvåfaktorautentisering på dina grundläggande tjänster såsom e-post, bank, sociala medie-konton för att på så sätt alltid kräva extra verifiering att rätt person använder tjänsten (kan göras via kod som skicka till din mobil eller ditt fingeravtryck).
• Rapportera till din organisations it-säkerhetsfunktion eller CERT-SE om du blivit utsatt för denna typ av bedrägeriförsök och mottagit meddelanden även om du inte har interagerat med dem. It-relaterade brott ska även polisanmälas [3].

Uppdatering 2020-04-02

Polisen skriver på sin webbplats om ovan nämnda falska e-postmeddelande. Se: https://polisen.se/aktuellt/nyheter/2020/april/falsk-e-post-med-polisen-som-avsandare/

Källor:

[1] https://www.cyber.gov.au/threats/threat-update-covid-19-malicious-cyber-activity

[2] https://www.cert.se/2019/09/guide-om-hur-du-skyddar-dig-mot-microsoft-office-365-phishing-fran-ncsc-fi

[3] https://polisen.se/utsatt-for-brott/olika-typer-av-brott/it-relaterade-brott/

[4] https://www.cert.se/2018/06/vag-av-natfiske-mot-e-postkonton-i-office-365