Office 365-svindel: [Account-Deactivation]

Gjennom MailRisk ser vi stadig eksempler på falsk e-post som relaterer seg til Microsoft sine sky- og eposttjenester. Det er ikke kreativitet som kjennetegner disse såkalte phishing-forsøkene, men de bruker merkevaren bevisst sammen med formuleringer som skal fremkalle stress hos mottakeren:

Skjermbildet er hentet fra administratorportalen i MailRisk, hvor vi kan se meldingen etter en automatisk fjerning av personopplysninger. {{ALIAS}} erstatter alt som befinner seg foran alfakrøll, {{DOMAIN}} erstatter alt etter, mens {{EMAIL}} erstatter hele mottakerens e-post-adresse. Det er tydelig at avsender prøver å vinne tillit ved å bruke gjenkjennelige elementer.

Denne og tilsvarende e-post nådde åpenbart fram til mange mottakere, fordi vi mottok flere eksamplerer i løpet av kort tid. Som vi ser av trusselvisningen er det gjennomgående like e-post som har blitt fanget opp, uten variasjoner i hverken emne eller avsender:

Kanskje litt overraskende er det ikke Microsoft som eier domenenavnet protection.office-365[.]com, så ingen automatiske mekanismer for svindelkontroll vet at e-posten misbruker merkevaren deres. Office 365 sitt spamfilter har ikke fanget opp e-postene selv på det aktuelle tidspunktet heller.

Når vi undersøker lenkene i e-posten, kommer det først ikke opp noe svar i nettleseren. Dette er en teknikk som e-post-svindlere bruker for å hindre automatiske spamfiltre å gjenkjenne farlig innhold på svindlernes nettsider. Men etter en tid dukker det opp svar, gjerne etter at alle utsendte e-poster har blitt levert til mottakerne. Da er det nemlig ikke lenger noe et spamfilter kan gjøre for å fjerne e-postene, og mottaker må ta stilling til innholdet selv.

Lenken i e-posten sender oss til en nettadresse fra Mongolia, telemedicine[.]mn, med diverse referanser til helsesystemer. Ikke minst ser og føles påloggingssiden vi får opp svært troverdig:

Les også: You Have 23 Undelivered/Pending Messages

Med både HTTPS og gode animasjoner er det bare nettadressen som kan avsløre svindelforsøket. Dersom man likevel skriver inn sin e-post og passord, gir man dessverre svindlerne tilgang til sin egen Office 365-konto.

For vanlige folk er det dessverre ikke enkelt å huske på om det var office365.com eller office-365.com man skulle få e-post-varsler fra. Derfor har vi utviklet MailRisk, slik at hjelpen bare er ett klikk unna:

Virker e-posten litt mistenkelig? Trykk på MailRisk-knappen!

I tillegg til at MailRisk hjelper mottakeren med å avgjøre om e-posten er til å stole på, bruker vi data om brukernes mistanker til å varsle IT-ansvarlige om angrep som ellers ville gått under radaren. Og er det en ting som er sikkert, så er det at vi aldri får 100% perfekte spamfiltre.

PS! Det aktuelle angrepet benytter også flere domenenavn i lenkene enn vi har vist her, og understreker nødvendigheten av tilgang på de aller ferskeste trusseldataene.

Lyst på en uforpliktende demo av MailRisk? Vi hører gjerne fra deg!