Nyheter Kontakt Jobba här About TrueSec International





2015-06-30
Våra sårbarhetsforskare analyserar phishing-mail
Falsk e-post från välkända bolag som Swedbank och Skatteverket cirkulerar flitigt i svenska mailboxar. Syftet är att locka mottagaren att klicka på en länk och skriva in kontouppgifter för att verifiera kontot, men som istället nyttjas av nätbedragare. Nu startar vi ett omfattande forskningsprojekt för att kartlägga aktiviteterna.
E-postmeddelanden där avsändaren kan uppfattas som autentisk, men visar sig vara en bluff, har cirkulerat under en längre tid. Företag varnar för att öppna suspekta mail och bland de drabbade återfinns Swedbank, Netflix, Blocket, OKQ8 och Aftonbladet, men även myndigheter som Skatteverket.

Strukturen på e-posten varierar, men innehåller ungefär samma information skrivet på korrekt svenska: ”Ditt konto har blivit spärrat”, ”Du har blivit utvald att ... och får XXX kronor för detta” och ”Vi har upptäckt konstig aktivitet på ditt konto”. I mailet medföljer en länk som tar e-postmottagaren till en webbsida som vid första anblick ser identisk ut som den påstådda avsändarens hemsida. 


Figur 1. Exempel på falsk e-post från "Skatteverket"

På webben uppmanas besökaren skriva in sina kredit- eller betalkortsuppgifter för att verifiera kontot eller för att kunna ta emot betalningen, men e-posten är alltså falsk och skickas av nätbedragare som vill komma åt pengar. Banker och myndigheter är idag duktiga på att upptäcka och stoppa nätbedrägerier i tid, men det finns alltid mer pengar att tjäna.
 

Figur 2 - Exempel på falsk landningssida där besökaren uppmanas skriva in sina kontouppgifter.

Att upptäcka nätbedrägeri
Metoderna för att upptäcka falska mail är många. Tydligaste indikationen på att något inte stämmer är att undersöka länken i meddelandet. Anges adressen ”www.blocket.se”, behöver det nödvändigtvis inte vara landningssidan. Genom att hålla muspekaren över länken, visas den URL-adress som besökaren kommer att landa på. Oftast är den obekant och leder inte ens till en svensk sida. 

Exempelvis har ett mail med påståendet "...~6 000 SEK tillbaka på skatten” cirkulerat under juni 2015. Mottagaren uppmanas klicka på en länk och fylla i kontouppgifterna för att få tillgång till pengarna, men länken leder i själva verket till en kinesisk server utan koppling till svenska Skatteverket.

Mer data krävs för djupare analys
TrueSecs sårbarhetsforskare har länge samlat på dessa bedrägeri-mail i syfte att föra statistik och analysera vilka dagar mailen går ut, språket, var länkarna leder, med mera. För att utöka kredibiliteten i projektet behöver teamet få tillgång till ännu fler mail. 

”Vi har ett litet antal personer just nu som skickar in material skrivet på svenska, men vi vill ha väldigt mycket mer för att kunna bygga upp en större databas med än mer statistik”, uppger Jimmy Ramsmark som är drivande i projektet och expert inom säker utveckling och hacking.

Hjälp oss att samla in mer data
Vi behöver mängder av potentiella phishing-mail för att forskningsarbetet ska gå framåt. Hjälp oss genom att vidarebefordra spam-mailen till phishing@truesec.se


Jimmy Ramsmark
Expert säker utveckling
TrueSec AB
Mobil: 0709183025
Mail: phishing@truesec.se
 






TrueSec AB    |     +46 8 10 00 10    |     info[at]truesec.se    |     Säkerhet    |     Säker Utveckling    |     Infrastruktur