Lar du deg lure når svindlerne «banker på»?

Under er et eksempel på et svindelforsøk per e-post. Virksomheten er tilfeldig utvalgt, det kunne kommet fra hvilken som helst organisasjon, men i dette tilfellet mottok vi i Watchcom denne og ønsket å dele våre vurderinger med dere.

I eksemplet får mottaker en e-post, tilsynelatende fra et velrennomert selskap, ofte i selskapets farger, stil og «mal». I e-posten bes mottaker betale et beløp, som regel relativt lavt, for en mer eller mindre legitim grunn. Det at beløpet er lavt, og at språket er formelt og instruerende gjør at vi «senker guarden» og lar oss lure.

Eksemplet vi har valgt å bruke er tilfeldig, DHL står ikke bak svindelen, og det kunne i utgangspunktet vært fra hvilket som helst forslag. Her utgir en cyberkriminell seg for å være DHL, og krever betaling for fraktkostnader.

For å analysere svindelforsøket lot vi SOC-teamet vårt se nærmere på e-posten. Her er hva teamet kunne avdekke: Domenet for faktisk avsender; taalim[.]ma, har et frynsete rykte, og er ikke kjent for noe annet enn SPAM og phishingangrep via e-post. URL som er benyttet for «Tracking nummer: NO572241992» er samme URL som skjuler seg bak knappen «Betal forsendelsesaviften» hxxps://t[.]co/OyHjPaDNln?amp=1.

Resultat fra scannerverktøyet «Hybrid Analysis» gav ingen indikasjoner på svindel, men den pekte i dette tilfellet til følgende URL: Recruititprofessionals[.]com. Denne URL-en reiste derimot et rødt flagg fra urlscan.io.

Adressen hxxps://www[.]recruititprofessionals[.]com/ gir mer et inntrykk av å være troverdig enn å faktisk være det. Analysene reiser mange røde flagg. Først og fremst markerer Google Safe Browsing URL-en som «malicious», med lenker som ikke virker, ingen ledige stillinger utlyst (selv om nettsiden gir inntrykk av å være dedikert til dette), sider som aldri laster ferdig, og innhold som ikke gir mening. Det er derfor enkelt å konkludere med at dette er et svindelforsøk.

Et annet, nylig, eksempel er et svindelforsøk fra cyberkriminelle som utgir seg for å sende fra Telenor:
Her følger en e-post, tilsynelatende fra Telenor, med samme avsenderdomene, og kort-URL som linker til samme domene som for e-posten fra den falske DHL-avsenderen. Bak Telenor Norge skjuler e-postadressen B131072601@taalim[.]ma seg.

URL denne gangen er hxxps://t[.]co/L5eXKgFo5K?amp=1, som leder til hxxps://recruitprofessionalteacher[.]com/.well-known/telen/d2c2de6e423321db2aed69be2da62c9b/index.php?id=ZI5G8ztLuWO og denne websiden.

Dette er siden som kommer opp når man «logger seg inn»:

Så denne:

Og her ender vi:

Dette svindelforsøket tar det ett steg lenger. Ikke bare kan de cyberkriminelle skaffe seg kredittkortopplysninger, men også innloggingsdetaljer hos Telenor/online.no.

Moralen er selvfølgelig å alltid styre unna linker i e-poster som ber om betaling for noe som helst. Ingen seriøse aktører bruker lenker i e-post til den slags. Som mottaker må en være oppmerksom på avsender, sjekke om e-postadressen er genuin, og aller helst oppsøke nettsiden eller kundestøtte til avsender for å sjekke om henvendelsen faktisk stammer fra de den utgir seg for å være fra. Videre bør man se an språket og formuleringer som er brukt.

Ved tvil anbefaler vi å kontakte egen IT-avdeling og/eller eksterne rådgivere. I Watchcom tilbyr vi våre kunder dedikert programvare for å sjekke slike svindelforsøk, uten at en risikerer skade.