Denne uken har det vært omtalt flere saker i mediene med falske e-poster som har hatt til hensikt å få mottakeren til å laste ned et vedlegg med ondsinnet programvare. De som står bak kan være kriminelle som er ute etter penger eller statsmakter som er ute etter informasjon. Angrepene fra statsmakter blir gjerne omtalt som veldig avanserte, men når det kommet til stykket har den som mottar e-posten muligheten til å stoppe angrepet. Selve e-posten man mottar er ikke nødvendigvis mer avansert selv om en statsmakt står bak.
E-post kampanje initiert av statsmakter
I VG på tirsdag kunne vi lese: ”Slik så Hackerangrepet mot Arbeiderpartiet ut.”
E-posten er tilsynelatende sent fra det anerkjente universitetet Harvard i USA. Avsender ønsker at mottaker skal laste ned et vedlegg, og frister med et relevant tema: ”Why American Elections are flawed”. I tillegg har avsenderen et reelt håp om at tjenesten ”Harvard PDF Mobile Service for secure document delivery” skal virke tillitsvekkende.
Lastet man ned vedlegget ble man sannsynligvis utsatt for ondsinnet programvare som ville gitt angriperen adgang til filer og passord på datamaskinen. Nasjonal sikkerhetsmyndighet mener en russisk hackerkampanje var avsender.
E-post kampanje initiert av kriminelle
Denne uken ble mange av Telenor sine kunder utsatt for et utspekulert angrep via e-post. Denne e-posten ble sendt ut på et tidspunkt hvor kundene kunne forvente å motta en faktura.
Det er ikke vanskelig å forstå at mange trodde denne e-posten var fra Telenor. Angriperne hadde forfalsket avsender-adressen slik at det så ut som den ble sendt fra “post@telnor.no”. Denne adressen lignet nok på “post@telenor.no” til at man ikke så forskjellen, men ulik nok til at det gikk under radaren til Telenor en kort periode. Flere klikket dessverre på lenken i e-posten for å laste ned hva de trodde var en faktura og lastet ned løsepengeviruset CryptoLocker i stedet. Hvordan dette artet seg er beskrevet mer i detalj på nettvett: https://nettvett.no/falske-e-post-kampanjer/.
I den falske e-posten fra “Telenor” er det mulig å gjenkjenne at den er falsk ved å se på avsender-domenet som er “telnor.no” og ikke “telenor.no”. I tillegg, om man holder musepeker over lenkene ser man at de fører til et annet domene. Så kan man jo lure på hva “utsikt faktura” skal bety…
Når denne e-posten ble rapportert til Telenor fikk de raskt stengt domenet som hostet selve skadevaren. Dette gjorde at skadeomfanget ble kraftig redusert.
Det er ikke store forskjeller i hvordan de falske e-postene fra “Harvard University” og “Telenor” er utført. I begge tilfellene har angriperne med stort hell gitt seg ut for å være en kjent og respektert entitet. Det er noen skrivefeil, men ikke mange. Man blir fristet til å klikke på en lenke for å laste ned et skadelig vedlegg.
Vi anbefaler:
- Sjekk avsender i e-posent, er adressen feilstavet?
- Sjekk hvor lenken i e-posten tar deg. Ved å holde musepekeren over lenken, kommer web-adressen opp: https://nettvett.no/phishing/
- Ta sikkerhetskopi jevnlig av de filene som er viktig å ta vare på. Husk at alle filer på nettverket og ditt og “drives” er sårbare hvis en datamaskin blir infisert med løsepengevirus. Det kan derfor være en god ide å ha en offline backup i tillegg. Med god løsning for backup, unngår man å måtte betale for å få tilbake filene om man skulle bli offer for løsepengevirus. Betaler man løsepenger holder man liv i kriminell virksomhet: https://nettvett.no/losepengevirus/
- Har du blitt utsatt for datakriminalitet – anmeld forholdet: https://nettvett.no/skjema-anmeldelse-datakriminalitet
Kilder:
Telenor SOC: https://www.facebook.com/TelenorSOC/?hc_ref=SEARCH&fref=nf