Falske e-poster


E-post er en vanlig og nødvendig del av den digitale hverdagen. Dessverre kan e-poster enkelt forfalskes til å fremstå som noe annet enn de er, og det utnytter svindlere og kriminelle daglig. I denne veiledningen forklarer vi hvordan du kan avsløre en falsk e-post, og hvordan du kan håndtere den.

Tre måter svindlere kan forfalske avsender av en e-post:

  • Ved å bruke falskt kontonavn – opprette en vilkårlig e-postadresse og sette visningsnavnet til personen eller virksomheten de vil utgi seg for å være. For eksempel kan hvem som helst opprette en gratis e-postkonto hos en leverandør som tilbyr det, og sette visningsnavnet til “Skatteetaten”.
  • Forfalske selve avsenderadressen, så den fremstår som e-postadressen til personen/virksomheten de vil utgi seg for å være. Å få det til å se ut som en e-post kommer fra post@skatteetaten.no eller erna.solberg@regjeringen.no er enkelt for de med litt teknisk kunnskap.
  • Opprette et luredomene – et domene lik virksomhetens ekte domene (f.eks. post@norsis.biz istedenfor post@norsis.no), og sende e-post fra dette domenet.

Om du mistenker at avsenderen av en e-post kan være forfalsket, er det lureste ofte å ta kontakt med vedkommende over en annen kanal enn e-post, for eksempel ved å ringe, og spørre om han/hun faktisk har sendt den e-posten.

Viktige e-postfelter

Disse feltene i e-poster inneholder informasjon om sendere og mottakere, og kan være nyttige å ha kjennskap til når man skal avsløre falske e-poster.

  • Fra (From): E-postadressen (og noen ganger kontonavn) til avsenderen. Er ment å fortelle hvor e-posten kommer fra, men er ikke alltid pålitelig.
  • Til (To): Hvem e-posten er ment for – mottakeren.
  • Svar-til (Reply-to): Denne er ikke alltid satt. Om den er det, vil automatisk denne adressen bli brukt når man skal svare på en e-post. Om den ikke er satt, vil svar bli adressert til Fra-adressen som standard.

Falskt kontonavn

Dette er en relativt enkel metode som ikke krever noen form for teknisk kompetanse. Hvem som helst kan opprette en e-postkonto hos f.eks. Gmail, Hotmail/Outlook eller Yahoo, og oppgi et vilkårlig navn. I eksempelet under forsøker e-postadressen ru7ijmnapp@mail.com å utgi seg for å være NorSIS ved å sette navnet til e-postkontoen til Norsk senter for informasjons. NorSIS:

falsk

Sjekk alltid avsenderens e-postadresse i tillegg til navnet.

falsk

Om du vil se selve avsenderadressen, må du som regel åpne e-posten.

For å unngå å bli lurt, sørg for at du alltid dobbeltsjekker avsenderadressen.

Falsk avsenderadresse

En av utfordringene med e-post er at avsenderens adresse i Fra-feltet ikke er pålitelig. Alle med litt teknisk kunnskap om e-post kan nemlig sende en e-post med helt vilkårlig Fra-adresse. Å få det til å se ut som en e-post kommer fra post@skatteetaten.no eller erna.solberg@regjeringen.no er enkelt. Derfor er det alltid lurt å være klar over at en e-post kan ha vært sendt av hvem som helst, uavhengig av hvem sin e-postadresse som er oppgitt som avsender.

Dette høres kanskje skummelt ut. Heldigvis kan e-postsystemer settes opp slik at falske e-poster går rett i spamfilteret, DMARC, DKIM og SPF bidrar til dette. Likevel må vi ta høyde for at e-poster med forfalsket avsender kan komme gjennom spamfilteret.

Ofte når svindlere sender en falsk e-post, ønsker de å kunne få svar tilbake. Om de sender en e-post med falsk avsender, vil de ikke motta svaret, fordi det vil bli sendt til personen svindlerne utgir seg for å være. Derfor bruker mange svindlere en metode hvor de forfalsker Fra-feltet, men legger inn sin egen e-postadresse i Svar-til-feltet. I mange e-postklienter vises ikke innholdet i Svar-til-feltet før man faktisk trykker på Svar-knappen. I eksempelet under ser vi en e-post som angivelig er sendt fra per.sjef@eksempelfirma.no, men om vi prøver å besvare den, vil svaret bli sendt til ru7ijmnapp@mail.com.

falsk

For å unngå å bli lurt bør du være på vakt dersom e-postadressen svaret vil bli sendt til, ikke har sammenheng med adressen e-posten angivelig er sendt fra. Og uansett bør du være på vakt om noe annet i e-posten skurrer.

Luredomene

Dette er en ganske enkel metode, hvor svindlerne satser på at offeret ikke ser godt nok på avsenderadressen.

For eksempel, om en svindler vil sende en e-post hvor han utgir seg for å være Norsk senter for informasjonssikring (NorSIS), vil han gjerne at e-posten skal se ut som den kommer fra NorSIS-domenet:

post@norsis.no

Da kan han registrere et domene som har en liten ‘L’ istedenfor ‘i’-en, da en liten L lett kan forveksles med en i:

post@norsls.no

Eventuelt kunne han ha registrert navnet “norsis” med et annet toppdomene enn “.no”, f.eks. “.biz”:

post@norsis.biz

For å unngå å bli lurt, se alltid nøye på avsenderens e-postadresse, og se om det er noe ved domenet som skurrer. Søk eventuelt på nettet for å finne ut hva den angivelige avsenderens domene er på ekte.

Bedrifter kan også gardere seg mot dette ved å registrere domener som ligner sitt eget, uten faktisk å ta dem i bruk. Da hindrer de at andre kan ta dem i bruk som luredomener.

Avsløre skadelige vedlegg

De fleste vet at svindlere kan sende skadelige vedlegg. Men ikke alle vedlegg har det samme potensialet for å gjøre skade. De vedleggene du må være på vakt ovenfor, er først og fremst de som åpner for å kjøre programvare på datamaskinen din. Disse er:

  • Kjørbare programmer: .exe, .msi, .scr (bl.a.)
  • Scriptfiler: .vbs, .js, .bat (bl.a.)
  • Office-dokumenter (kan inneholde makroer)

Det er også populært å bruke skreddersydde PDF-filer for å utnytte sårbarheter i programmer som åpner PDF-er, som Adobe Reader. Sørg for å holde PDF-programmet ditt oppdatert for å unngå å bli rammet av dette.

I tillegg bør man være på vakt ovenfor komprimerte filarkiver som .zip og .7z. Disse er ikke farlige i seg selv, men de kan inneholde hva som helst, og brukes ofte av kriminelle for å pakke inn skadelige filer. Mange lar seg lure av .zip-filer, fordi de ser ut som mapper til vanlig. Glidlåsen på mappeikonet viser imidlertid at det er snakk om en .zip, og ikke en mappe.

falsk

Eksempel del 1: Man mottar en e-post med en .zip-fil som virker normal.

falsk

Eksempel del 2: Filen skjuler imidlertid en skadelig .exe-fil, som infiserer maskinen din om du åpner den.

Kriminelle og svindlere bruker denne metoden for å lure skadelige vedlegg forbi automatiske kontroller i e-postprogrammene. Om man forsøker å sende en .exe-fil som e-postvedlegg uten å pakke den inn, blir den nemlig som oftest blokkert automatisk:

falsk

Scriptfiler er filer som kjører programkode på maskinen din om de åpnes, så i praksis fungerer de veldig likt som kjørbare programfiler. Dette er noen ikoner for scriptfiler i Windows 10:

falsk

Office-dokumenter med makroer er blitt en stadig vanligere metode som kriminelle bruker for å lure skadelig kode inn på maskinen din. En makro i et Office-dokument er egentlig bare script-kode, så i praksis kan Office-dokumenter med makroer gjøre det samme som scriptfiler kan.

I moderne utgaver av Office-programmene, vil ikke makroer kjøre med mindre du tillater det. For å være på den sikre siden, uansett filtype, bør du derfor aldri aktivere tillegg eller redigering av et Office-dokument med mindre du er helt sikker på at du kan stole på avsenderen.

falsk

Redigering er låst som standard i alle eksterne Office-dokumenter for å hindre kjøring av skjult kode.

falsk

Makroer vil som standard ikke kjøre med mindre du aktiverer det.

Vær også oppmerksom på at svindlere ofte vil forsøke å lure deg til å aktivere makroer ved å skrive at innholdet ikke vil vises med mindre du gjør det. Vanlige eksempler ser gjerne litt ut som dette, og finnes både i gammel og ny variant:

(Trykk på bildet for større versjon)

(Trykk på bildet for større versjon)

Vær ekstra på vakt om du opplever tilsvarende forsøk på å overbevise deg om å aktivere redigering eller makroer.

Dersom du er i tvil om et vedlegg er skadelig eller ikke, kan du lagre det uten å åpne det, og deretter laste det opp til virustotal.com. Virustotal er en nettside som bruker mange forskjellige antivirus-tjenester for å scanne filer etter skadelig innhold. Utslaget gir ikke en 100% sikker indikasjon på om filen er trygg eller ikke, da enkelte filer kan utløse falske alarmer, og enkelte andre filer kan være skadelige uten at det oppdages. Men utslaget kan likevel gi en god pekepinn.

For å unngå å bli lurt bør du være spesielt på vakt ovenfor vedlegg av de potensielt skadelige filtypene, aldri åpne en av disse dersom du er det minste i tvil på om du kan stole på avsenderen.
Husk også å holde alt av programmer og systemer oppdaterte, for å unngå at de blir sårbare. Om du ikke holder programvaren oppdatert, bør du betrakte alle vedlegg, uansett filtype, som potensielt skadelige.

Falske lenker

Lenker er noe annet svindlere kan jukse med. Vi er vant til at en lenke enten er enkel tekst, som dette:
Klikk her for å gå til hovedsiden
Eller en full URL, som dette:
https://nettvett.no/

Men selv om vi kan se en URL som i eksempelet over, betyr ikke det at det er dit lenken peker. En vanlig metode blant svindlere er å lage lenker som peker til andre nettsider enn det ser ut som. Da kan lenken se trygg ut i utgangspunktet, men egentlig ta deg til en svindelside.
Les mer om dette her: Er lenken trygg?

Svindlere kan også gjøre dette i e-poster. Derfor er det viktig å alltid holde musepekeren over lenker i e-poster for å sjekke hvor de egentlig peker.

falsk

Akkurat som med luredomene-metoden for forfalsket avsender, kan svindlere opprette et luredomene for å få en lenke til å virke mer legitim. Følgende er et eksempel på en legitim URL til en side på DNB’s nettbank:

https://www.dnb.no/kundeservice/privat.html?WT.ac=Kundeservice_ks-pm

Dette derimot, er et eksempel på en lenke som er utformet for at den skal virke som den går til DNB’s nettbank, men egentlig går til en svindelside:

https://www.dnb-no-nettbank.net/web.php?hf=37a904a4d5e9d711e650a07fdd64138d

For å avsløre slikt, se etter domenet i URL-en. Den legitime lenken har her domene dnb.no, mens svindel-lenken har domene dnb-no-nettbank.net, som ikke er det ekte domenet til DNB.

For å unngå å bli lurt bør du alltid holde musepekeren over lenker for å se hvor de egentlig peker, og husk å også se etter bruk av luredomener.

Andre tegn på svindel

Utenom bruk av vedlegg og lenker, finnes det andre måter å avsløre svindelaktige e-poster på. Noe som lenge har vært anbefalt, er å se etter dårlig språk i e-posten, såkalt “Google translate-norsk”. Selv om det fortsatt er et gyldig råd, er det ikke lenger godt nok, da svindlerne blir flinkere og flinkere til å utforme e-poster på andre språk. De ansetter til og med egne oversettere.

Derfor er det viktig å også se etter disse varseltegnene når du leser e-posten:

  • E-posten eller innholdet i den er uventet.
  • Innholdet er for godt til å være sant.
  • Det gjøres forsøk på å få deg til å tro at det er dårlig med tid, det skapes en følelse av hastverk.
  • Det spilles på frykt, fristelser eller tillitt for å få deg til å gå med på noe.
  • Det gjøres forsøk på å få deg til å omgå sikkerhetsrutiner du normalt forholder deg til.

For å unngå å bli lurt bør du huske at uansett hva e-posten påstår, så har du tid til å tenke deg om før du gjør noe. Husk også fire-øyne-prinsippet: Få noen andre til å se på og vurdere e-posten om du er i tvil. Aldri la deg overtale til å omgå fastsatte sikkerhetsrutiner.

Håndtering og rapportering

Dersom du mottar falske e-poster i privat sammenheng, bør du merke den som spam slik at lignende forsøk kan bli filtrert ut.

Dersom du mottar en falsk e-post i jobbsammenheng, bør du forholde deg til interne retningslinjer for håndtering av slike. Om du ikke er kjent med noen slike retningslinjer, kan du forhøre deg med lederen din på arbeidsplassen.

Dersom du har blitt lurt av en falsk e-post burde du ta grep for å minske skaden. Har du oppgitt betalingsinformasjon, må du umiddelbart kontakte bank eller utsteder. Sjekk også kontoutskrifter og kredittkortregninger for mistenkelige belastninger.

Har du oppgitt annen informasjon, som f.eks. personnummer, kan dette bli misbrukt i identitetstyveri. Få råd om ID-tyveri her.

Har du blitt infisert med skadelig programvare, bør du sette deg inn i det og få det fjernet. Les hvordan i denne veiledningen.

Om du ønsker å anmelde saken, kan du lese hvordan her.

Om du har blitt lurt i jobbsammenheng, og maskinen som er infisert er en jobbmaskin eller brukes til jobb, eller du har blitt lurt til å oppgi sensitiv informasjon om virksomheten, bør du straks melde fra om dette til lederen din. Jo tidligere virksomheten blir klar over sikkerhetsbruddet, jo fortere kan det iverksettes mottiltak.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.