Kategorier
News Security awareness Uncategorised

5 julklappar dina användare ska se upp för

Det är samma sak varje jul, cyberbrottslingar utnyttjar digitala julkort och julhälsningar för att infektera och lura användare. Hoten och bedrägerierna är inte unika men attackerna är fler och blir allt mer sofistikerade. Nimblr listar fem av de vanligaste typerna av ”julkamouflerade” hot.

Under juletid skickas mängder med digitala julkort och julhälsningar. Samtidigt är julen en av de högtider då vi handlar som mest online, söker efter lämpliga julklappar och kommunicerar med avlägsna vänner som vi normalt inte har kontakt med.

De digitala julkorten blir allt mer avancerade och innehåller inte sällan programkod, animationer eller formulär. Detta utnyttjas varje år av cyberbrottslingar i syfte att lura av oss inloggningsuppgifter, kreditkortsnummer eller att infektera våra system med skadlig programkod. I den här artikeln listar Nimblr fem av de vanligast förekommande digitala hoten i juletid.

Falska leveransbesked om försändelser
Under juletid ökar vanligtvis mängden falska leveransbesked, där cyberbrottslingar vill få dig att tro att fel eller försening uppstått med en leverans. Leveransbeskeden kan se ut att komma från flera olika expeditörer, t.ex. FedEx, DHL, eller Postnord, och innehåller ofta en länk eller en bifogad fil som kan infektera ditt system. Undvik att öppna bifogade filer eller klicka på länkar i denna typ av meddelanden. Om du är osäker på ett leveransbeskeds äkthet kan du testa att spåra det försändelse-ID som anges i meddelandet på expeditörens egna webbsida.

Presentkort från banker och affärer
Med förfalskade meddelanden från välkända företag vill cyberskurkar lura dig att du – genom speciella julerbjudanden – har möjlighet att få en julbonus. För att ta del av julerbjudandet hänvisas du till en webbsida som liknar en välkänd bank eller onlineshop, där du uppmanas att mata in personliga uppgifter som t.ex. namn, kreditkortsuppgifter, bankkonto mm. Uppgifterna används av bedragarna för att kapa dina konton eller säljs vidare till andra kriminella.

Falska shoppingsidor
Genom legitima banners, eller via spamutskick, lockas du att handla från falska webbsidor. Webbsidorna använder ofta kända logotyper och kända produkter som erbjuds till förmånliga priser. Du lockas att beställa varor och betala med kreditkort men varorna skickas aldrig. Var noggrann med att kontrollera att länken till de onlineshops du besöker är korrekt och att HTTPS-sidor har korrekta certifikat.

Digitala julkort med skadlig programkod
Det är vanligt med falska julhälsningar via e-post, där du uppmanas att klicka på en länk för att ta del av julhälsningen. Länkarna i denna typ av attacker leder ofta till webbsidor som infekterar dina system. Legitima julhälsningar skall, som ett minimum, innehålla avsändarens namn och e-postadress, men även dessa kan ha stulits för att användas i attacken. Klicka aldrig på länkar i e-postmeddelanden som inte uppger avsändarens riktiga namn och e-postadress, och ladda aldrig hem någonting från den sida du hänvisas till.

Falska välgörenhetskampanjer
Många välgörenhetsorganisationer håller under julen kampanjer och människor är ofta extra givmilda under högtiderna. Detta utnyttjas av bedragare som använder kända välgörenhetsorganisationers logotyper i falska utskick, där du ombeds uppge personuppgifter och skänka pengar. Personuppgifterna kan komma att användas vid ID-kapningar och de pengar som doneras går inte alls till välgörande ändamål. Använd välgörenhetsorganisationernas egna hemsidor om du vill skänka pengar till välgörenhet i jul.

Nimblr’s Micro Training kan genomföras direkt i mobilen eller i datorns webbläsare. Inga inloggningsuppgifter krävs av användaren, istället identifieras varje användare genom den unika länken i e-postinbjudan. Systemet skickar också påminnelser till de användare som inte slutfört kurser inom ett givet tidsspann och rapporterar kontinuerligt genomförandegraden till administratören.

Kategorier
News Phishing Tech

Enklare att simulera phishing i Office 365

Snart blir det både enklare och säkrare att tillåta Phishing-tester från Nimblr i Office 365-miljö. Microsoft har lyssnar på sina kunder och kommer under juni/juli månad implementera en ny och bättre metod för att tillåta phishing-simuleringar från Nimblr och andra tredjepartsleverantörer.

Detta nya sätt att hantera phishing-simuleringar från tredjepartsleverantörer och s.k. ”security operations mailboxes” är enklare och erbjuder större förutsägbarhet för säkerhetsteam. Det som gör den här funktionen mest betydelsefull är att det blir lättare för säkerhets- och e-postadministratörer att vara säker på att deras ETR-regler inte påverkar skyddet för användarna, och att den befriar dem från att behöva inspektera alla sina ETR-regler manuellt för att garantera det säkerheten.

Den nya funktionaliteten har Roadmap ID 72207 och beskrivs i Microsofts dokumentation.

Nimblr kommer erbjuda en guide för den nya konfigurationen så snart Microsoft rullat ut funktionen. Utrullningen är planerad i Juni-Juli 2021.

Läs mer om Nimblrs Phishing-simuleringar här!

Kategorier
Malware Security awareness

Falska mejl från Telia lockar med iPhone

Under tisdagen fick många svenskar ett falskt erbjudande från någon som utgav sig för att vara Telia. Meddelandet utlovade en gratis iPhone som tack för att man varit en lojal kund och att genom att klicka på en länk ska man kunna ange vart man vill ha sin gåva levererad. I själva verket gömmer sig skadlig kod bakom länken.

Telia Phishing Email

Det falska meddelandet är slarvigt ihopsatt och skrivet på relativt dålig svenska. Däremot har man ansträngt sig för att penetrera spamfilter och andra säkerhetsfunktioner, bland annat genom att gömma en stor mängd text som handlar om GDPR och cookie-hantering inne i meddelandet, troligtvis i syfte att förvirra spamfilrens granskning av innehållet.

Texten och länken till den skadlig sidan är också kodad för att undgå att upptäckas. De meddelanden som Nimblr har analyserat är skickade från ett legitimt e-postkonto i Apples e-posttjänst iCloud som kan antagas vara hackat.

Länken skickar användaren vidare i flera hopp för slutligen att landa på en Malaysisk server som tidigare använts för att sprida skadlig kod. Den skadliga koden ser ut att analysera användarens system och angriper bara om den anser sig ha en chans att lyckas infektera enheten, medans användare som t.ex. klickar på länken från en iPhone skickas vidare till Google.

De som ligger bakom meddelandet ser ut att ha lyckats väl med att ta sig förbi spamfilter och säkerhetsskydd, så sent som kl. 13 på tisdagen kunde meddelandet fortfarande passera Googles spamfilter utan att varken stoppas eller märkas upp som ”osäkert”. Man använder sig också av en välbeprövad metod för att få tveksamma mottagare att klicka på på länken – nämligen att varna för att erbjudandet är tidsbegränsat.

Alla delar i ett e-postmeddelande kan enkelt förfalskas. Den här gången används ”bara” ett falskt avsändarnamn så bluffen kan relativt enkelt genomskådas genom att granska avsändarens adress som inte alls är Telia.

Kategorier
Phishing

Ny phishing-attack lovar lönehöjning men levererar trojan

En ny phishing-kampanj försöker locka användare att ladda ner den senaste versionen Bazar-trojanen genom falska e-postmeddelanden som påstår att mottagaren fått en lönebonus.

Bazar-trojanen upptäcktes första gången för ett år sedan och kan ge cyberbrottslingar en bakdörr till infekterade Windows-system, så att de kan styra enheten och få ytterligare åtkomst till nätverket för att samla in känslig information eller leverera annan skadlig kod, t.ex. ransomware.

Nu har cybersäkerhetsforskare på Fortinet identifierat en ny variant av Bazar-trojanen, som har utrustats med anti-analystekniker för att göra den svårare att upptäcka för antivirusprogram.

Trojanen sprids genom phishing-e-postmeddelanden som försöker lura företagsanvändare med hjälp av falska löften om lönehöjningar, falska klagomål från kunder och falska fakturor. Gemensamt för dessa phishing-meddelanden är att de försöker få mottagaren att klicka på en länk som påstår sig leda till en PDF-fil som innehåller ytterligare information om meddelandets ämne.

Dessa länkar leder till en skadlig webbsida som refererar till det ursprungliga e-postmeddelandet och ber användarna att ladda ner en fil som innehåller Bazar-trojanen.

För att undvika att bli offer för nätfiskeattacker som distribuerar Bazar eller annan typ av skadlig kod, rekommenderade forskare att organisationer ger vägledning till sina anställda om hur man identifierar och skyddar sig mot attacker och bedrägerier.

Nimblr Security Awareness erbjuder genom sina simuleringar och ”Zero-Day-Classes” korta kurser om de senaste hoten för företagsanvändare i syfte att skapa en igenkänningsfaktor och öka säkerhetsmedvetenheten.

Kategorier
Tech

SPF till alla!

Ropen skalla! SPF till alla! Du vet väl om att du kan begränsa möjligheterna att förfalska e-post från dina adresser och domäner helt kostnadsfritt? Genom att tillföra ett SPF-record (Sender Policy Framework) i din DNS specificerar du vilka IP-nummer och servrar som har rätt att skicka e-post i ditt namn.

Idén är mycket enkel – genom att specificera vilka servrar och IP-nummer som tillåts skicka e-post från din domän ger man mottagaren en möjlighet att kontrollera om e-post från din domän verkligen kommer från en server eller IP-nummer som du godkänt som avsändare i din DNS. De flesta större e-post-tjänster gör en sådan kontroll på all inkommande e-post.

Ett SPF-record kan se ut t.ex. så här:

”v=spf1 ip4:192.168.0.1/16 -all”

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas) får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255.

SPF-record för domänen nimblr.net ser ut så här:

”v=spf1 include:_spf.google.com include:sendgrid.net -all”

Ovan SPF-record tillåter Google’s servrar och e-posttjänsten SendGrid att skicka e-post med vårat domännamn som avsändare. Genom att avsluta med ”-all” berättar vi för de mottagare som kontrollerar vårs SPF-record att e-post från andra servrar än de angivna ska läggas i skräppostmappen eller avvisas.

Läs mer om SPF, syntaxen och projektet här: www.open-spf.org

Det finns metoder för att kringgå SPF-kontroller men om alla domäner hade ett SPF-record hade det varit betydligt krångligare att förfalska e-post, så vad väntar du på!?

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.