Falske e-post kampanjer


Denne veiledningen viser eksempler på falske e-poster som har hatt til hensikt å få mottakeren til å laste ned et vedlegg med ondsinnet programvare. De som står bak kan være kriminelle som er ute etter penger eller statsmakter som er ute etter informasjon. Angrepene fra statsmakter blir gjerne omtalt som veldig avanserte, men når det kommet til stykket har den som mottar e-posten muligheten til å stoppe angrepet. Selve e-posten man mottar er ikke nødvendigvis mer avansert selv om en statsmakt står bak.

E-post kampanje initiert av en statsmakt

Dette bildet viser ifølge Nasjonal sikkerhetsmyndighet (NSM) en av e-postene som ble sendt ut i den russiske hackerkampanjen november 2016. FOTO: NSM

E-posten er tilsynelatende sent fra det anerkjente universitetet Harvard i USA. Avsender ønsker at mottaker skal laste ned et vedlegg, og frister med et relevant tema: ”Why American Elections are flawed”. I tillegg har avsenderen et reelt håp om at tjenesten ”Harvard PDF Mobile Service for secure document delivery” skal virke tillitsvekkende.

Lastet man ned vedlegget ble man sannsynligvis utsatt for ondsinnet programvare som ville gitt angriperen full tilgang til datamaskinen. Nasjonal sikkerhetsmyndighet mener en russisk hackerkampanje var avsender.

E-post kampanje initiert av kriminelle

Denne e-posten ble sendt ut på et tidspunkt hvor kundene kunne forvente å motta en faktura.

Falsk faktura sendt fra post@telnor.no. Foto: NorSIS

Det er ikke vanskelig å forstå at mange trodde denne e-posten var fra Telenor. Angriperne hadde forfalsket avsender-adressen slik at det så ut som at den ble sendt fra «post@telnor.no». Denne adressen lignet nok på «post@telenor.no» til at folk ikke så forskjellen, men ulik nok til at det gikk under radaren til Telenor en kort periode. Flere klikket dessverre på lenken i e-posten for å laste ned hva de trodde var en faktura og lastet ned løsepengeviruset CryptoLocker i stedet. Hvordan dette artet seg er beskrevet nedenfor.

I den falske e-posten fra «Telenor» er det mulig å gjenkjenne at den er falsk ved å se på avsender-domenet som er «telnor.no» og ikke «telenor.no». I tillegg, om man holder musepeker over lenkene ser man at de fører til et annet domene (http://peachtreefund.com som igjen peker videre til telnor-m.com). Så kan man jo lure på hva «utsikt faktura» skal bety. Les mer om hvordan man sjekker at en lenke er trygg her: https://nettvett.no/er-lenken-trygg/

Når denne e-posten ble rapportert til Telenor fikk de raskt stengt domenet som hostet selve skadevaren. Dette gjorde at skadeomfanget ble kraftig redusert.

Det er ikke store forskjeller i hvordan de falske e-postene fra «Harvard University» og «Telenor» er utført. I begge tilfellene har angriperne med stort hell gitt seg ut for å være en kjent og respektert entitet. Det er noen skrivefeil, men ikke mange. Man blir fristet til å klikke på en lenke for å laste ned et skadelig vedlegg.

Løsepengevirus – en optimalisert brukeropplevelse steg for steg

1: Klikket man på lenken i e-posten fra «Telenor» kom man til denne siden. Forsøkte man å laste ned «faktura», lastet man ned et løsepengevirus i stedet. Foto: Telenor SOC
2: Når løsepengeviruset hadde kryptert filene dukket dette vinduet opp på skjermen. Foto: Telenor SOC
3: Til slutt fikk man en brukervennlig oppskrift på hvordan man kunne kjøpe dekryptering med bitcoins. Foto: NorSIS

Vi anbefaler

  • Sjekk avsender i e-posten, er adressen feilstavet?
  • Sjekk hvor lenken i e-posten tar deg. Ved å holde musepekeren over lenken, kommer web-adressen opp. Les mer: https://nettvett.no/phishing/
  • Ta sikkerhetskopi jevnlig av de filene som er viktig å ta vare på. Husk at alle filer på nettverket ditt og «drives» er sårbare hvis en datamaskin blir infisert med løsepengevirus. Det kan derfor være en god ide å ha en offline løsning for backup i tillegg. Les mer om løsepengevirus: https://nettvett.no/losepengevirus/
  • Betal aldri løsepenger. Løsepenger gir ingen garanti for at innholdet på datamaskinen blir tilgjengelig igjen. I tillegg holder man liv i kriminell virksomhet ved å betale. 
  • Har du blitt utsatt for datakriminalitet – anmeld forholdet: https://nettvett.no/skjema-anmeldelse-datakriminalitet

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.