IRT-bloggen – Sida 77 – IRT vid Umeå universitet informerar om aktuella IT-säkerhetsfrågor

En vän i nöd – en ny form av phishing

14:24, 19 juni, 2013/1 Kommentar/i Info /av Maria Edblom Tauson

Det börjar allt mer dyka upp en ny form av användning av kapade konton. Det som vi förut sett är att spammarna vill använda kapade konton för att ösa ut mer spam. De nya phishing-människorna vill ha kontanter överförda till sig direkt.

Tillvägagångssättet är att man:

Får tillgång till en användare konto genom att skicka ut ett phishing-mejl
Loggar in på den kapade användarens konto och skriver ett mejl där man målar upp en sorglig historia om att användaren är på resa och har blivit helt utelåst från alla sina pengar, så man måste bara får låna lite av sina bekanta för att kunna ta sig hem.
Skickar detta mailet till alla i kontaktlistan och jag misstänker också till en utökad krets om det är lätt att göra en koppling till en organisation. Mejlet ser ju på alla sätt korrekt ut då alla uppgifter i rubrikrader och annat stämmer.
Väntar på att snälla bekanta till den intet ont anande användaren ska föra över pengar till phishing-människorna.

Jag inkluderar ett avpersonifierat mejl som skickats ut från just ett sådant kapat konto. Svenskan är inte perfekt, men tillräckligt bra för att man ska kunna luras att tro att det är korrekt. Det som borde väcka misstankar är att mejlet uppenbarligen passerat någon form av översättningstjänst – Västra Unionen(Western Union) – men helt uppenbart är det inte. Och som sagt: Handlar det om en kär vän i nöd är kanske inte meningsuppbyggnad och stavning det första man tänker på.

========================================================

From: Anna Andersson
Sent: den 19 juni 2013 06:23
Subject: Hej!

Jag hoppas att detta når dig i tid, jag gjorde en resa till London, Storbritannien och min handväska blev stulen med mitt internationella pass och mina kreditkort inuti. Ambassaden är villiga att hjälpa mig att ta ett flyg utan mitt pass, jag behöver bara betala för biljetten och hotellräkningarna. Till min förfäran kan jag inte få tillgång till mina fonder utan mitt kreditkort och kontakt med min bank, men de behöver mer tid för att kunna ge mig ett nytt kort. I den här olyckliga situationen tänkte jag fråga om ett avlöningsdagslån som jag kan betala tillbaka så fort som du kommer tillbaka. Jag behöver verkligen vara med på nästa flyg. jag behöver 1450 pund Berätta om Jag kan hjälpa mig genom Västra Unionen(Western Union) eftersom det är det bästa alternativet jag har.
De gav mig ett temporärt pass vid ambassaden så det är inget problem, om du har pengar kan du skicka dem via den västra unionens kontor och inom 20 minuter borde de vara framme. Jag kan skicka detaljerna för hur fonderna kan skickas till mig.
Jag ser fram emot ditt svar.
Vänliga hälsningar,
—

Anna Andersson
Umeågatan 28
901 88 Umeå

Phishing: Vänligen Verifiera

11:20, 17 juni, 2013/i Info /av Maria Edblom Tauson

Ett av de phishing-mail som kommit i helgen syns sist i detta inlägg. Att hela Sverige skulle enas om men enda inloggning för ”säkra” mejl, känns väl bara det rätt misstänksamt.

Jag fick en fråga om varför det har kommit så många olika phishing-mejl den senaste tiden. Svaret är enkelt: SEMESTER!!! Även phishing-folket är fullt medvetna om vilka semestertider som gäller i Sverige. Det är en tid då allt färre finns på kontoret, man kanske inte läser epost lika kritiskt granskande, man är oerhört mån om att eposten verkligen fungerar och det finns inga kollegor i närheten att fråga om råd då man blir misstänksam. Vi ser precis samma mönster vad det gäller phishing-mail i samband med julledigheten.

När terminen sedan startar igen, så brukar det komma en del virus-mejl eftersom phishing-folket då hoppas på att folk slår på icke uppdaterade datorer, som man hinner infektera.

Så var vaksam och kontakta hellre oss på IRT en gång för mycket än en gång för lite.

============================================================

Datum: 15 juni 2013 12:31:43 CEST
Ämne: Vänligen Verifiera <Account problem>

Din brevlåda har överskridit det lagringsutrymme som anges av administratören och du kommer inte att kunna ta emot nya meddelanden förrän du återaktiverar den. Att validera -> Kopiera eller klicka här

Phishing: Viktigt

12:57, 14 juni, 2013/i Info /av Maria Edblom Tauson

Har skrivit och bett webs.com att ta bort URL:en – de brukar vara rätt snabba på det. Har också kontaktat avsändarens domän, då det troligen handlar om ett hackat konto.
Men det är ingen ände på alla dessa phishing-försök. Tyvärr lyckas de emellanåt få tag i användarnamn och lösenord och så länge det fungerar, så kommer de att fortsätta.

Jag tog en skärmdump i alla fall av sajten som finns sist i inlägget. Den ser inte speciellt seriös ut, så jag hoppas ingen går på den.

================================================================================================

From: Sven-Erik Jönsson [mailto:sven-erik.jonsson@zzz.se]
Subject: Viktigt<Bekräfta ditt konto>

Din brevlåda har överskridit det lagringsutrymme som anges av administratören och du kommer inte att kunna ta emot nya meddelanden förrän du återaktiverar den.

Att validera -> Kopiera eller klicka här http://sewebmailsecurezzz.webs.com/

Phishing: 1 Nytt meddelande:

07:50, 13 juni, 2013/i Info /av Maria Edblom Tauson

Detta phishing-mail kom igår och var riktat direkt till en viss institution. Jag rapporterade även denna och sajt-ägaren gjorde ett riktigt coolt grepp och lade ut en specialdesignad bild.

=====================================================================

Från: Umeå universitet -webmail Services <apane@zzz.edu>

Ämne: 1 Nytt meddelande:

Datum: 12 juni 2013 20:18:50 CEST

Du har en ny viktig post Meddelande,
Du HAR sv ny Viktig post Meddelande.

Tryck här för att View Message

Umeå universitet -webmail Services

Phishing: Emergency Verifiering

07:36, 13 juni, 2013/i Info /av Maria Edblom Tauson

Godmorgon! Dagens första phishing-meddelande! Denna fick jag i min mailbox i morse, kollade sajten, mailade de som ansvarar för den och när jag sedan skulle återvända för att ta en skärmdump av den var den redan borta från nätet! Snabbt jobbat av de som äger gratis-sajten och ett tydligt bevis på hur bra det är att vi får dessa phishing-mail till oss så snart ni ser dem i era brevlådor. En del phishing-mail får jag också i min egen mailbox, men majoriteten skickas slumpmässigt till anställda på UmU och av någon anledning verkar de oftare hamna någon annanstans än på ITS.

Vi svarar inte alltid personligen på alla kopior av phishing-mail som kommer till IRT eftersom det är rätt många, men ni ska veta att alla läses och att vi agerar på vart och ett på lämpligt sätt.

==========================================================================================

Från: Umeå universitet <talar.zzzzz@my.csun.edu>
Ämne: Emergency Verifiering
Datum: 12 juni 2013 23:57:44 CEST

Kära Umeå universitet Webmail abonnent,
Vi meddelar dig härmed att ditt e-postkonto har överskridit sin
lagring gräns. Du kommer inte att kunna skicka och ta emot post och ditt
e-postkonto kommer att raderas från vår server. För att undvika detta problem,
du rekommenderas att kontrollera ditt e-postkonto genom att klicka på länken
nedan.
http://zzzconfrm.php5.cz/

Tack.
Umeå universitet Webmail ledningsgrupp.