Spoofad e-postadress användes i nätfiskekampanj

spoofing SPF DMARC nätfiske

Säkerställ att åtgärder som bidrar till att stoppa skräppost och bedrägerimejl är aktiverat. Black Week är enligt tradition en period som utnyttjas för olika bedrägerier inom e-handel och av nätfiskeaktörer. Allmänheten uppmanas vara uppmärksamma på bedrägliga mejl. Här kan vi som förvaltar domäner göra ett säkerhetsarbete så att skräppost inte sprids med till synes legitima avsändare genom spoofade e-postadresser.

Gårdagens händelse

På onsdagseftermiddagen den 23 november upptäckte CERT-SE att mejladressen rapport@it-incident.se blivit spoofad. Det upptäcktes genom att en större mängd e-postmeddelnade på kort tid inkommit till rapport@it-incident.se. Dessa var studsar efter att mottagares skräppostfilter blockerat meddelandena. E-postmeddelandena som inkom var från en nätfiskekampanj som använder rapport@it-incident.se som falsk dvs. spoofad avsändare. Mejladressen har använts i en nätfiskekampanj för “Post sweed”s räkning. Mottagaren får ett mejl om att en försändelse väntar på instruktioner. I mejlet finns en klickbar länk.Här är exempel meddelandet:HallåVi informerar dig om att din försändelseâ"- 54960131540 väntar fortfarande på instruktioner från dig.Du måste betala extra fraktkostnad för att skicka ditt paket så snart som möjligt.När vi har mottagit din extra fraktkostnad kommer vi att kontakta dig för att ordna leverans.Starta leverans [https://........[.]com]Vi mailar dig igen när vi är redo att skicka..Dina varor finns i vårt lager. .________________________________§Posten- - 2022

Åtgärder

Den initiala utredningen av händelsen visade att domänen it-incident.se inte hade SPF (Sender Policy Framework) påslaget, vilket var en miss från CERT-SE:s sida. Detta åtgärdades omgående. Därefter har en översyn gjorts av alla domäner som verksamheten hanterar.CERT-SE har även i vanlig ordning kontaktat den ISP som är host för den webbsida som används i nätfiskekampanjen, för att denna ska tas ner.Vidare kommer polisanmälan upprättas.

Rekommendationer

CERT-SE rekommenderar att se över sina domäner med tillhörande e-postadresser och säkerställa att SPF är aktiverat och specifikt titta på domäner som inte ska skicka några mejl [1].CERT-SE rekommenderar vidare att införa DMARC - först i monitor mode, i syfte att få rapporter om hur ens domän utnyttjas - därefter bedöma om blockering kan behöva införas. CERT-EU släppte en rapport om DMARC 2017 där DMARC förklaras, hur det kan användas för att stoppa skräppost och bedrägerimejl [2].Ytterligare råd är att ta del av rapporten “Cybersäkerhet i Sverige - rekommenderade säkerhetsåtgärder” [3], Vägledning - Säkerhetsåtgärder i informationssystem [4] samt se över cyberhygien och hur man kan skydda sig som användare [5,6].

Mer information

Källor:

[1] https://www.gov.uk/guidance/protect-domains-that-dont-send-email

[2] https://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf

[3] https://www.msb.se/siteassets/dokument/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/nationellt-center-for-cybersakerhet/rapport-cybersakerhet-i-sverige-2020—rekommenderade-sakerhetsatgarder.pdf

[4] https://rib.msb.se/filer/pdf/30128.pdf

[5] https://www.cert.se/2022/02/dags-att-se-over-cyberhygienen-i-verksamheten

[6] https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-natfiske/