tirsdag den 18. december 2018

Eksempler på phishing-mails

Hvis du har haft en e-mailadresse i adskillige år og anvendt den i flere forskellige sammenhænge på nettet, kan du komme ud for ofte at modtage mails uopfordret, som beder dig indtaste eller uploade oplysninger.

Her er nogle eksempler. 

FedEx

Den første er angiveligt fra det amerikanske FedEx pakketransportfirma. Modtageren skal oplyse en adresse, som pakken skal sendes til. Der står ikke noget om, hvem pakken er fra. Modtageren kender ikke til en pakke, der skal sendes fra USA... 

Angiveligt er e-mailen sendt fra Fedex@help-desk.your-server.de - en tysk e-mailadresse, der ikke lyder som en FedEx-firmaadresse. 

Hvis man peger på den violette knap Update my address, vises i den røde firkant nederst i billedet noget af den handling, der sker, når der trykkes på knappen. Man kan se, at der står "mailto:". Det betyder, at der står en eller flere e-mailadresser. Ved klik på knappen vil e-mailprogrammet starte med en blank e-mail med disse e-mailadresser tilføjet som modtagere:


Det er godt nok mange modtagere! Hvordan kan det være? FedEx har vel kun én e-mailadresse, som skal have besked om adressen? Man ville forvente en adresse, der ender på noget med fedex.com, men ingen af disse gør dette. Det er alle sammen e-mailadresser med domænenavne efter @'et, som ikke synes at have noget med FedEx at gøre. 

Det ligner phishing. Der er sandsynligvis en af e-mailadresserne, som hackeren gemmer sig bag - f.eks. s87069c@timeweb.ru - en russisk tjeneste. 

Man kan lægge mærke til, at:
  • Mailen er sendt uopfordret;
  • Der ikke står, hvem pakken er fra;
  • Der ikke er angivet et firmadomænenavn for FedEx i e-mailadressen - f.eks. service@fedex.com;
  • Der er angivet mere end én e-mailadresse som modtager.
Konklusion: det er en phishing-mail.

To andre eksempler med e-Boks og NemID



Firmaet bag e-Boks har angiveligt sendt disse to mails om, at NemID'et er ved at udløbe. Godt nok skal et NemID fornys hvert tredje år, men kan det være rigtigt i disse tilfælde?

Når et NemID skal fornys, udsender firmaet bag NemID, Nets DanID A/S besked om dette per e-mail. Her er det ikke Nets DanID, der har udsendt mailen, men angiveligt e-Boks - eller boks@eboks.dk og eboks@id.boks.dk, som der står. Der er ingen bindestreg i eboks.dk, så det er nok ikke firmaet bag e-Boks, der har udsendt den. I domænenavnet id.boks.dk er det boks.dk, der skal lægges mærke til. Boks.dk er IKKE e-boks! Det er noget andet. id i id.boks.dk er et underdomæne til boks.dk. Det er der for at snyde dig. 

Firmaet bag e-Boks og Nets DanID A/S har i nogen tid sikret sig hos mange e-mailudbydere, at de tjekker for om afsenderen er korrekt. Det har fanget rigtigt mange tilfælde af phishing, hvor modtageren er blevet opfordret til at uploade et billede af sit nøglekort. De udsendes næsten ikke mere. 

Ved at pege på det blå link vises i den røde firkant nederst i billedet herover en webadresse på det websted, du føres hen til ved klik. Det er angiveligt zbdigitalmedia.com og avantshop.de, som ikke lyder som noget, der har med e-Boks eller NemID at gøre. Klikker du alligevel på linket, bliver du sikkert videredirigeret flere gange ad forskellige webadresser, som hurtigt skifter i webbrowserens adresselinje, før du lander på den faktiske webadresse, Det er typisk phishing-adfærd, der skal sløre, hvor du føres hen. 

Hvis du ser en tvivlsom mail på din mobiltelefon, kan du holde fingeren nede ovenpå linket for at få vist webadressen - ligesom i den røde firkant herover. Så kan du bedre afgøre om det er en ægte mail eller et phishing-forsøg.


Strandet i et fremmed land uden pas eller penge

En mandag morgen i december modtog jeg en mail fra en ven. Min ven, der er pensionist, rejser flere gange om året rundt i Europa sammen med sin kone. Han var denne gang angiveligt strandet i Odessa i Ukraine efter, at penge og pas var blevet stjålet. Han havde brug for over 20.000 kr. og lagde op til at bede mig om dem. 

Var det virkeligt en mail fra min ven?

Man kan lægge mærke til nogle detaljer i mailen:
  • I "Til:"-feltet står der slet ingenting - jeg forventede, at min e-mailadresse skulle stå der.
  • Desuden står der i mailen, at han af den danske ambassade i Ukraine har fået lov til at rejse hjem med fly igen uden pas! Det er meget usædvanligt. Sædvanligvis får man udstedt om ikke andet et midlertidigt pas, men at rejse uden pas - kan man det?
  • Endeligt er sproget ikke helt korrekt dansk. Man kan godt forvente, at en mail fra en ven måske ikke er stavet helt rigtigt, men i det mindste er der anvendt de rigtige danske vendinger og artikler. Det er der ikke i alle tilfælde her. Der er desuden benyttet engelsk tegnsætning, ikke dansk. Det gælder kommatering og brug af komma som tusindeseparator. Der er heller intet mellemrum mellem beløbet og "kr". Det gør man på engelsk, men ikke på dansk. Den bærer præg af at være maskinoversat eller dårligt manuelt oversat til dansk.
Jeg skulle samme morgen i klub med min ven, så jeg ringede til ham, og han var da hjemme i Danmark og skulle nok komme forbi og hente mig, så vi kunne køre sammen. Så han var slet ikke i Ukraine! I løbet af formiddagen fik han at vide, at flere andre af hans bekendte har modtaget samme e-mail. 

Hans e-mailkonto er en hotmail.com-konto hos Microsofts e-mailtjeneste. Jeg undersøgte hans e-mailkonto og kunne ikke umiddelbart se, at der var afsendt en mail, som den jeg havde modtaget. Nu har Microsoft lavet deres e-mailtjeneste således, at der i grunden ikke er noget, der hedder slettet post i betydningen fuldstændigt slettet. Man kan altid få fat i slettet post - også selvom mappen med slettet post er tømt. Derfor kunne jeg også få ovenstående mail frem igen. Så der var faktisk sendt en mail - ikke kun til mig, men til alle i hans kontaktbog - og den var sendt til dem som Bcc, så modtagerne ikke kunne ses. Den IT-kriminelle har ønsket at lokke penge ud af så mange som muligt. 

Mailen var således sendt fra min vens e-mailkonto. Hvordan havde den IT-kriminelle fået adgang til den?

Vi undersøgte om min vens e-mailadresse var blev kompromitteret i et af de store datalæk, som IT-kriminelle har foretaget i tidens løb. Vi gik ind på hjemmesiden haveibeenpwned.com, hvor man ud fra en e-mailadresse kan få oplysninger om, hvilke kendte databrud den er blevet afsløret i. I 2013 havde min ven købt Adobe Photoshop Elements, og netop i 2013 havde der været et datalæk, hvor 153 millioner brugerkontooplysninger hos Adobe var blevet stjålet. Og min ven havde ikke ændret adgangskoden for sin e-mailkonto nogensinde. Så det var synderen!

Vi klarede problemet (troede vi!) ved at skifte adgangskoden og sende en besked ud til alle i kontaktbogen om, at en mail fra min ven var et phishing-forsøg. 

Den følgende fredag ringede min ven så til mig og fortalte, at han ikke havde modtaget e-mails i en dags tid. Han plejer altid at modtage et antal hver dag. Efter en inspektion af indstillingerne for hotmail-kontoen fandt vi ud af, at der var sat en regel op for flytning af mail. Der stod, at alle mails fra indbakken skulle kopieres til Arkiv-postmappen og også sendes til en angivet e-mailadresse, som min ven ikke kendte. Så den IT-kriminelle modtog alle e-mails, som kom ind i min vens indbakke og kunne reagere på dem - uden at min ven kunne se dem. 

Hvad der så var årsagen til, at den IT-kriminelle denne morgen ikke flyttede mails, han ikke interesserede sig for, tilbage til indbakken, er et godt spørgsmål. Er det, fordi det var den 22. december og lørdag? Sov han længe? Var han ude for at købe julegaver i sidste øjeblik? Vi ved det ikke, men vi fjernede reglen og ændrede endnu engang adgangskoden til e-mailkontoen. Så var det klaret.


Direktør-e-mailsvindel - CEO-fraud - for foreninger

Det er i stigende grad blevet almindeligt i firmaer og hos offentlige myndigheder, at chefen angiveligt sender en presserende anmodning til bogholderen om at betale et større beløb til en udenlandsk bankkonto. Det kan være en faktura, der skal betales i ferieperioden. Den ser ud til at komme fra chefens e-mailkonto, og bogholderen betaler den af og til uden først lige at ringe til chefen. Der har af og til været tale om en falsk faktura, og pengene er gået tabt. Det kaldes direktør-e-mailsvindel eller på engelsk CEO fraud

I Danmark oplever foreninger og klubber i stigende grad tilsvarende svindelnumre. Jeg er selv formand for en klub og har oplevet, at klubbens kasserer angiveligt havde modtaget en mail med anmodning om overførsel af et beløb til en britisk bankkonto. 
Klubbens kasserer, der er dansk gift schweizer og tidligere programmør i en dansk bank, troede først, at formanden (mig) ønskede oplysninger om, hvordan man overfører penge til en udenlandsk bankkonto. Kassereren besvarede den ved at sende oplysninger om, hvordan man overfører til en udenlandsk bank med IBAN- og BIC-numre og fik dermed sendt svaret tilbage til den IT-kriminelles indbakke og ikke min, som han troede. Som svar fik han besked på at overføre pengene til denne britiske bankkonto:
Her ses e-mailadressen, kassereren svarede på: voorzitterden@mail.com - det er ikke formandens e-mailadresse! Voorzitterden er hollandsk for formand. Og der var tale om, at han skulle overføre €4.770 til én, han aldrig havde hørt om. Nu fattede kassereren mistanke og ringede til mig. Jeg kunne afkræfte, at jeg havde bedt om denne overførsel. Dermed var svindelen afværget. 

Problemet er jo, at en formand af og til beder kassereren i en forening om at betale en regning eller faktura. Det kan se tilforladeligt ud for en kasserer. Det benyttede den IT-kriminelle sig af, og håbede, at kassereren ville gå i fælden. 

Man kan se, at den danske tekst i de to mails ikke er helt korrekt og perfekt dansk. Det har den schweiziske kasserer måske ikke helt fanget, men der er så andre ting, der springer i øjnene. Men vær opmærksom på, at en sådan mail fra "direktøren" eller "formanden" kan være formuleret på formfuldendt dansk, og personerne bag kan være ret dygtige og snedige. Metoden kaldes også på engelsk for social engineering. På dansk kan man kalde det bondefangeri

Det er efter sigende ret let at oprette en bankkonto i Storbritannien. Det er sikkert derfor, Ovigwe har benyttet en britisk bank til svindelnummeret. 

Det er ikke engang sikkert, at bagmanden bærer navnet Ovigwe Eniye Egboboyen, der er af nigeriansk oprindelse. Ovigwe kan være gået med på at være hvidvasker af penge for bagmanden. Du har måske oplevet at modtage en e-mail med et jobtilbud, hvor du blot skal have en bankkonto, modtage penge og sende dem videre via Western Union eller en tilsvarende anonymiserende pengeoverførselstjeneste mod selv at beholde f.eks. 15 % af beløbet. Det er et job, som en studerende eller en husmor kan klare med en indsats på 1-2 timer om dagen. Men politiet fanger altid disse muldyr, som de undertiden kaldes, fordi modtagere af bankoverførsler kan spores. Så muldyret kommer i fængsel, mens bagmanden går fri. 

Et godt råd til kasserere i foreninger er derfor altid at kontakte formanden ved betalinger, enten ved at skrive en ny mail til hans/hendes e-mailadresse (ikke ved at besvare den!) eller at telefonere. Derved kan undgås at miste en af del af foreningens formue, kassererens omdømme overfor medlemmerne ved at være gået med på overførslen, og undgåelse af en konfrontation med bestyrelsen om mistede penge.


Få mere at vide

Du kan læse meget mere om phishing-mails i bogen "Bliv sikker på nettet":

Side 153-203: E-mail-svindel og phishing
Side 182-184: Job- og beskæftigelsesbedrag
Side 185-186: Svindel med e-mails fra administrerende direktører
Side 195-198: Sådan kan du se om et link i en e-mail er ægte
Side 198-201: Social engineering - sociale narreteknikker
Side 364-365: Tjek om dit bruger-id og adgangskode er blevet hacket
Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet". 

Ingen kommentarer:

Send en kommentar