Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till enheten för incidenthantering till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 31 januari.

Publicerad - spoofing, SPF, DMARC, nätfiske

Spoofad e-postadress användes i nätfiskekampanj

Säkerställ att åtgärder som bidrar till att stoppa skräppost och bedrägerimejl är aktiverat.

Black Week är enligt tradition en period som utnyttjas för olika bedrägerier inom e-handel och av nätfiskeaktörer. Allmänheten uppmanas vara uppmärksamma på bedrägliga mejl. Här kan vi som förvaltar domäner göra ett säkerhetsarbete så att skräppost inte sprids med till synes legitima avsändare genom spoofade e-postadresser.

Gårdagens händelse

På onsdagseftermiddagen den 23 november upptäckte CERT-SE att mejladressen rapport@it-incident.se blivit spoofad. Det upptäcktes genom att en större mängd e-postmeddelnade på kort tid inkommit till rapport@it-incident.se. Dessa var studsar efter att mottagares skräppostfilter blockerat meddelandena. E-postmeddelandena som inkom var från en nätfiskekampanj som använder rapport@it-incident.se som falsk dvs. spoofad avsändare.

Mejladressen har använts i en nätfiskekampanj för "Post sweed"s räkning. Mottagaren får ett mejl om att en försändelse väntar på instruktioner. I mejlet finns en klickbar länk.

Här är exempel meddelandet:

Hallå

Vi informerar dig om att din försändelseâ"- 54960131540 väntar fortfarande på instruktioner från dig.

Du måste betala extra fraktkostnad för att skicka ditt paket så snart som möjligt.

När vi har mottagit din extra fraktkostnad kommer vi att kontakta dig för att ordna leverans.

Starta leverans [https://........[.]com]


Vi mailar dig igen när vi är redo att skicka..
Dina varor finns i vårt lager. .

________________________________

§Posten- - 2022

Åtgärder

Den initiala utredningen av händelsen visade att domänen it-incident.se inte hade SPF (Sender Policy Framework) påslaget, vilket var en miss från CERT-SE:s sida. Detta åtgärdades omgående. Därefter har en översyn gjorts av alla domäner som verksamheten hanterar.

CERT-SE har även i vanlig ordning kontaktat den ISP som är host för den webbsida som används i nätfiskekampanjen, för att denna ska tas ner.

Vidare kommer polisanmälan upprättas.

Rekommendationer

CERT-SE rekommenderar att se över sina domäner med tillhörande e-postadresser och säkerställa att SPF är aktiverat och specifikt titta på domäner som inte ska skicka några mejl [1].

CERT-SE rekommenderar vidare att införa DMARC - först i monitor mode, i syfte att få rapporter om hur ens domän utnyttjas - därefter bedöma om blockering kan behöva införas. CERT-EU släppte en rapport om DMARC 2017 där DMARC förklaras, hur det kan användas för att stoppa skräppost och bedrägerimejl [2].

Ytterligare råd är att ta del av rapporten "Cybersäkerhet i Sverige - rekommenderade säkerhetsåtgärder" [3], Vägledning - Säkerhetsåtgärder i informationssystem [4] samt se över cyberhygien och hur man kan skydda sig som användare [5,6].

Mer information

  • SPF står för Sender Policy Framework och är ett protokoll utformat för att begränsa vem som kan använda en organisations domän som avsändare på ett e-postmeddelande. SPF blockerar spammare och andra angripare från att skicka e-post som verkar vara från en legitim organisation. SMTP (Simple Mail Transfer Protocol) sätter inga begränsningar för källadressen för e-postmeddelanden, så SPF definierar en process för domänägarna för att identifiera vilka IP-adresser som är behöriga att vidarebefordra e-post för deras domäner.

  • rapport@it-incident.se är en e-postadress som används för statliga myndigheters it-incidentrapportering, som ett alternativ att skicka in slutrapporten om den inte omfattas av sekretess. E-postadressen är endast en mottagaradress och används inte för utskick.

  • DMARC står för "Domain-based Message Authentication, Reporting & Conformance" och är en teknisk specifikation som beskriver hur e-postsystem ska hantera mottagna meddelanden. Den bygger på två andra befintliga mekanismer, Sender Policy Framework (SPF) och Domain Keys Identified Mail (DKIM) för e-post validering och autentisering av avsändare. Rapporten beskriver hur DMARC fungerar och hur det kan implementeras.

Källor:

[1] https://www.gov.uk/guidance/protect-domains-that-dont-send-email

[2] https://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf

[3] https://www.msb.se/siteassets/dokument/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/nationellt-center-for-cybersakerhet/rapport-cybersakerhet-i-sverige-2020---rekommenderade-sakerhetsatgarder.pdf

[4] https://rib.msb.se/filer/pdf/30128.pdf

[5] https://www.cert.se/2022/02/dags-att-se-over-cyberhygienen-i-verksamheten

[6] https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-natfiske/