Office 365-svindel: [Account-Deactivation]

20. august 2018 | Erlend Andreas Gjære

E-post med varsel om deaktivering av e-post-konto har nådd fram til mange innbokser. I en nylig variant er særlig den falske kontopåloggingssiden meget forseggjort.

Gjennom MailRisk ser vi stadig eksempler på falsk e-post som relaterer seg til Microsoft sine sky- og eposttjenester. Det er ikke kreativitet som kjennetegner disse såkalte phishing-forsøkene, men de bruker merkevaren bevisst sammen med formuleringer som skal fremkalle stress hos mottakeren:

Skjermbildet er hentet fra administratorportalen i MailRisk, hvor vi kan se meldingen etter en automatisk fjerning av personopplysninger. {{ALIAS}} erstatter alt som befinner seg foran alfakrøll, {{DOMAIN}} erstatter alt etter, mens {{EMAIL}} erstatter hele mottakerens e-post-adresse. Det er tydelig at avsender prøver å vinne tillit ved å bruke gjenkjennelige elementer.

Denne og tilsvarende e-post nådde åpenbart fram til mange mottakere, fordi vi mottok flere eksamplerer i løpet av kort tid. Som vi ser av trusselvisningen er det gjennomgående like e-post som har blitt fanget opp, uten variasjoner i hverken emne eller avsender:

Kanskje litt overraskende er det ikke Microsoft som eier domenenavnet protection.office-365[.]com, så ingen automatiske mekanismer for svindelkontroll vet at e-posten misbruker merkevaren deres. Office 365 sitt spamfilter har ikke fanget opp e-postene selv på det aktuelle tidspunktet heller.

Når vi undersøker lenkene i e-posten, kommer det først ikke opp noe svar i nettleseren. Dette er en teknikk som e-post-svindlere bruker for å hindre automatiske spamfiltre å gjenkjenne farlig innhold på svindlernes nettsider. Men etter en tid dukker det opp svar, gjerne etter at alle utsendte e-poster har blitt levert til mottakerne. Da er det nemlig ikke lenger noe et spamfilter kan gjøre for å fjerne e-postene, og mottaker må ta stilling til innholdet selv.

Lenken i e-posten sender oss til en nettadresse fra Mongolia, telemedicine[.]mn, med diverse referanser til helsesystemer. Ikke minst ser og føles påloggingssiden vi får opp svært troverdig:

Les også: You Have 23 Undelivered/Pending Messages

Med både HTTPS og gode animasjoner er det bare nettadressen som kan avsløre svindelforsøket. Dersom man likevel skriver inn sin e-post og passord, gir man dessverre svindlerne tilgang til sin egen Office 365-konto.

For vanlige folk er det dessverre ikke enkelt å huske på om det var office365.com eller office-365.com man skulle få e-post-varsler fra. Derfor har vi utviklet MailRisk, slik at hjelpen bare er ett klikk unna:

Virker e-posten litt mistenkelig? Trykk på MailRisk-knappen!

I tillegg til at MailRisk hjelper mottakeren med å avgjøre om e-posten er til å stole på, bruker vi data om brukernes mistanker til å varsle IT-ansvarlige om angrep som ellers ville gått under radaren. Og er det en ting som er sikkert, så er det at vi aldri får 100% perfekte spamfiltre.

PS! Det aktuelle angrepet benytter også flere domenenavn i lenkene enn vi har vist her, og understreker nødvendigheten av tilgang på de aller ferskeste trusseldataene.

Lyst på en uforpliktende demo av MailRisk? Vi hører gjerne fra deg!

 


MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

MailRisk hjelper folk med mistenkelig e-post.

Gå til bloggen →