Mange, særlig kommunalt ansatte og skoleelever har fått en svindel-e-post som ser ut til å være en oppdatering av Office365. Fordi de fleste sitter på hjemmekontor, og derfor ikke er beskyttet av virksomhetens brannmur, er de mer utsatt for denne svindelen enn ellers. Hvordan arter denne svindelen seg og hvordan kan du avsløre den og andre svindel-e-poster og hva bør du gjøre om du har gått på denne svindelen?
Denne svindelen har trolig pågått en stund. Under normale omstendigheter vil en slik utsendelse stoppes i virksomhetens IT-system. Dersom en ansatt får denne svindel-e-posten når han eller hun sitter på jobb, vil de falske landingssidene han eller hun ledes til blokkeres i brannmuren. I og med at svært mange ansatte i de virksomhetene som mottar denne nå sitter på hjemmekontor, er de ikke lengre beskyttet av virksomhetens brannmur. Det betyr at de er mer utsatt for denne typen svindel enn til vanlig. Derfor er det viktig å både kjenne til denne svindelen, og å vite hvordan du skal håndtere e-posten om du mottar den.
Slik kan svindelen se ut
Slik kan phishing-e-postene se ut.
Slik kan den falske innloggingssiden det linkes til fra e-postene se ut.
Hvordan fungerer denne svindelen?
- Mottageren får en e-post som ser ut til å være et varsel om oppdatering av «Outlook Web App 2020» eller lignende.
- E-posten er sendt fra en kompromittert e-postkonto i virksomheten. Det betyr at svindlerne har sendt svindel-e-posten fra en ekte e-postkonto i samme virksomhet eller i en virksomhet tilknyttet mottagerens arbeidssted. Hvordan denne e-postkontoen er overtatt har vi ikke inngående kunnskap om. En mulighet er at svindlerne først bruker annen sosial manipulering for å overta en e-postkonto og deretter, etterhvert som denne svindelen brer seg i en virksomhet, logger seg på kontoene til de som «går på» denne svindelen for å nå frem til deres kollegaer.
- Svindel-e-posten ber om at mottageren klikker på en lenke og oppgir opplysninger i forbindelse med oppdateringen knyttet til Office365. Landingssiden du kommer til når du klikker på lenken ber som regel om brukernavn, e-post og passord. I noen tilfeller ber den om at passordet oppdateres.
-
I de eksemplene vi har sett så langt (dette kan endre seg), går lenken som mottageren blir bedt om å klikke til en side som
- ikke ligner på noen sider i Office365 eller virksomheten mottageren jobber i
- ikke har noen navn som er knyttet til Office365 eller virksomheten mottageren jobber i
Hvem får denne svindelen?
- I de tilfellene vi har kjennskap til så langt, er det kommunalt ansatte eller skoleelever som har mottatt denne svindelen.
- Vi kjenner til at NTNU også har mottatt en lignende e-post. Seksjon for digital sikkerhet ved NTNU har gått ut og advart om en phishingkampanje rettet mot NTNUs studenter og ansatte. De oppgir at målet for kampanjen ser ut til å være identitetstyveri og å få tilgang til NTNUs IT-ressurser: https://innsida.ntnu.no/start/#feed//b8301130-c738-36a9-a1d2-fb7064a4ff88
- Denne typen svindel sprer seg lett så den kan ramme alle virksomheter. Meld gjerne fra til oss på post@norsis.no om du har mottatt denne og ikke er kommunalt ansatt, skoleelev eller har mottatt kampanjen rettet mot NTNU.
Hvordan kan du finne ut om e-posten du har mottatt er en del av denne svindelkampanjen?
-
E-postene er som regel signert med «IT tjenesten» eller «systemadministrator». Det første du bør gjøre er derfor å:
- Sjekk avsenderadressen. I mange tilfeller vil avsenderadressen ikke tilhøre den som har denne rollen i virksomheten din.
- Kontakt IT-ansvarlig eller IT-avdelingen på telefon for å sjekke om e-posten er ekte og kommer fra dem. Ikke svar på e-posten du har fått om den ser ut til å komme fra riktig avsender. Det kan være svindlerne har overtatt den eller manipulert den.
-
E-posten spiller på frykt og tidsnød. Det haster at du gjør du går inn på lenken og oppgir brukernavn, e-post og passord. Hvis ikke vil kontoen din bli stengt. En god huskeregel for alle e-poster der det haster å klikke på lenker eller oppgi opplysninger på annen måte er å
- ta en pause og lese e-posten igjen
- sjekke med avsender om e-posten er ekte (på annen måte enn å svare på e-posten, ta gjerne en telefon)
- kontakte IT-avdelingen (om e-posten kommer fra andre enn dem)
- Sjekk adressen til lenken du blir bedt om å klikke på ved å holde musepekeren over lenka. I tilfellene vi har sett går denne ikke til noen side som tilhører Office365 eller virksomheten mottageren av e-posten jobber i. Dersom landingssiden ser troverdig ut, sjekk likevel med IT-avdelingen, sjefen din eller andre i virksomheten før du legger inn opplysningene dine der.
Hva skal du gjøre om du har mottatt denne og gitt fra deg informasjonen din?
- Ta kontakt med IT-avdelingen i virksomheten din så fort som mulig.
- Dersom du bruker samme passord som du har gitt fra deg andre steder, bytt passordet slik at svindlerne ikke kjenner passordet ditt til noen kontoer
Flere gode råd for å unngå å bli offer for svindel-e-post
- Søke opp innholdet i e-posten, tittelen eller temaet på vår oversikt over svindel i omløp. Dersom den kommer opp der bør du enten slette e-posten eller la den ligge uten å gjøre det den ber om: https://nettvett.no/aktuell-svindel/
- Bruk totrinnsbekreftelse for innlogging på alle brukerkontoer der det er mulig. Det gir deg et ekstra lag med beskyttelse. Hvis en svindler får tak i brukernavnet og passordet ditt, vil det likevel ikke være mulig å logge inn på kontoen din. Les mer om hvordan du gjør dette her: https://nettvett.no/2-trinns-bekreftelse/
- Bruk ulike passord på ulike brukerkontoer. Da unngår du at noen som får tak i det ene passordet ditt får tilgang til alle brukerkontoene dine (i hvertfall de som ikke har totrinnsbekreftelse).
- Sørg for å ha ulike e-postkontoer til ulik bruk. Bruk jobb-e-posten til jobbrelatert aktivitet. Ha gjerne en eller flere private e-postkontoer, en til seriøs bruk og andre til ting som konkurranser, undersøkelser og annen mer tilfeldig bruk. Da unngår du problemer når du eventuelt skifter jobb og du vil sannsynligvis begrense mengden svindel-e-post du får. Les mer om hvorfor du får svindel-e-post og hvordan du kan begrense mengden av dette: https://nettvett.no/hvorfor-far-jeg-svindel-e-post/
Videre lesning:
På nettvett.no har vi mer informasjon for deg som er interessert i hvordan du kan:
- Jobbe sikrere på hjemmekontor: nettvett.no/korona
- Avsløre sosial manipulering. Lær mer om hvilke virkemidler svindlere bruker for å lure deg: https://nettvett.no/aktuell-svindel/