Apple og Skatteetaten misbrukes av samme aktør

10. januar 2019 | Erlend Andreas Gjære

Se opp for e-post fra domenet replay.com, som både etterligner Apple og Skatteetaten med logo og "trygge" lenker via google.com.

I praksis kan du trygt blokkere innkommende e-post fra det nevnte domenet. Sannsynligvis er det bare snakk om misbruk av domenet, da det ikke har konfigurert SPF, og det dermed er fritt frem for hvem som helst å benytte seg av dette som avsender.

Vi ser også at innholdet varierer, men har felles karakteristikker på flere områder. Avsender-navn er tilsynelatende konstant, og dessuten sammenfallende med avsender:

  • Skatteetaten Varsling
  • Apple-ID-en din ble brukt til å logge på iCloud med en nettleser

Begge har blitt sendt fra git@replay.com den siste tiden, selv om vi også tidligere har sett samme meldinger fra donot@repaly.com (en liten forskjell i domenet der, altså). Blant våre kunder var det Apple som gikk igjen før jul, mens en ny runde med Skatteetaten har kommet nå etter nyttår.

Innholdet er skrevet på godt norsk, og misbruker ekte logo for å heve det visuelle inntrykket.

Vi ser også at lenkene som brukes i meldingsteksten går til Google, men misbruker deres funksjon for å videresende til nettsider i søketreff – inkludert HTTPS:

MailRisk gjenkjenner disse e-postene og brukerne får samtidig lære litt om svindeltriksene som brukes. Vi anbefaler likevel at virksomheter blokkerer e-post fra nevnte domener i spamfilteret sitt direkte.

 


MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Lyst til å prøve ut MailRisk i praksis?

Vi byr på en uforpliktende prøveperiode!

Gå til bloggen →