Under tisdagen fick många svenskar ett falskt erbjudande från någon som utgav sig för att vara Telia. Meddelandet utlovade en gratis iPhone som tack för att man varit en lojal kund och att genom att klicka på en länk ska man kunna ange vart man vill ha sin gåva levererad. I själva verket gömmer sig skadlig kod bakom länken.
Det falska meddelandet är slarvigt ihopsatt och skrivet på relativt dålig svenska. Däremot har man ansträngt sig för att penetrera spamfilter och andra säkerhetsfunktioner, bland annat genom att gömma en stor mängd text som handlar om GDPR och cookie-hantering inne i meddelandet, troligtvis i syfte att förvirra spamfilrens granskning av innehållet.
Texten och länken till den skadlig sidan är också kodad för att undgå att upptäckas. De meddelanden som Nimblr har analyserat är skickade från ett legitimt e-postkonto i Apples e-posttjänst iCloud som kan antagas vara hackat.
Länken skickar användaren vidare i flera hopp för slutligen att landa på en Malaysisk server som tidigare använts för att sprida skadlig kod. Den skadliga koden ser ut att analysera användarens system och angriper bara om den anser sig ha en chans att lyckas infektera enheten, medans användare som t.ex. klickar på länken från en iPhone skickas vidare till Google.
De som ligger bakom meddelandet ser ut att ha lyckats väl med att ta sig förbi spamfilter och säkerhetsskydd, så sent som kl. 13 på tisdagen kunde meddelandet fortfarande passera Googles spamfilter utan att varken stoppas eller märkas upp som «osäkert». Man använder sig också av en välbeprövad metod för att få tveksamma mottagare att klicka på på länken – nämligen att varna för att erbjudandet är tidsbegränsat.
Alla delar i ett e-postmeddelande kan enkelt förfalskas. Den här gången används «bara» ett falskt avsändarnamn så bluffen kan relativt enkelt genomskådas genom att granska avsändarens adress som inte alls är Telia.
