Stikkord: phishing

Categories
News Phishing Tech

Enklare att simulera phishing i Office 365

Snart blir det både enklare och säkrare att tillåta Phishing-tester från Nimblr i Office 365-miljö. Microsoft har lyssnar på sina kunder och kommer under juni/juli månad implementera en ny och bättre metod för att tillåta phishing-simuleringar från Nimblr och andra tredjepartsleverantörer.

Detta nya sätt att hantera phishing-simuleringar från tredjepartsleverantörer och s.k. «security operations mailboxes» är enklare och erbjuder större förutsägbarhet för säkerhetsteam. Det som gör den här funktionen mest betydelsefull är att det blir lättare för säkerhets- och e-postadministratörer att vara säker på att deras ETR-regler inte påverkar skyddet för användarna, och att den befriar dem från att behöva inspektera alla sina ETR-regler manuellt för att garantera det säkerheten.

Den nya funktionaliteten har Roadmap ID 72207 och beskrivs i Microsofts dokumentation.

Nimblr kommer erbjuda en guide för den nya konfigurationen så snart Microsoft rullat ut funktionen. Utrullningen är planerad i Juni-Juli 2021.

Läs mer om Nimblrs Phishing-simuleringar här!

Categories
Malware Security awareness

Falska mejl från Telia lockar med iPhone

Under tisdagen fick många svenskar ett falskt erbjudande från någon som utgav sig för att vara Telia. Meddelandet utlovade en gratis iPhone som tack för att man varit en lojal kund och att genom att klicka på en länk ska man kunna ange vart man vill ha sin gåva levererad. I själva verket gömmer sig skadlig kod bakom länken.

Telia Phishing Email

Det falska meddelandet är slarvigt ihopsatt och skrivet på relativt dålig svenska. Däremot har man ansträngt sig för att penetrera spamfilter och andra säkerhetsfunktioner, bland annat genom att gömma en stor mängd text som handlar om GDPR och cookie-hantering inne i meddelandet, troligtvis i syfte att förvirra spamfilrens granskning av innehållet.

Texten och länken till den skadlig sidan är också kodad för att undgå att upptäckas. De meddelanden som Nimblr har analyserat är skickade från ett legitimt e-postkonto i Apples e-posttjänst iCloud som kan antagas vara hackat.

Länken skickar användaren vidare i flera hopp för slutligen att landa på en Malaysisk server som tidigare använts för att sprida skadlig kod. Den skadliga koden ser ut att analysera användarens system och angriper bara om den anser sig ha en chans att lyckas infektera enheten, medans användare som t.ex. klickar på länken från en iPhone skickas vidare till Google.

De som ligger bakom meddelandet ser ut att ha lyckats väl med att ta sig förbi spamfilter och säkerhetsskydd, så sent som kl. 13 på tisdagen kunde meddelandet fortfarande passera Googles spamfilter utan att varken stoppas eller märkas upp som «osäkert». Man använder sig också av en välbeprövad metod för att få tveksamma mottagare att klicka på på länken – nämligen att varna för att erbjudandet är tidsbegränsat.

Alla delar i ett e-postmeddelande kan enkelt förfalskas. Den här gången används «bara» ett falskt avsändarnamn så bluffen kan relativt enkelt genomskådas genom att granska avsändarens adress som inte alls är Telia.

Categories
Phishing

Ny phishing-attack lovar lönehöjning men levererar trojan

En ny phishing-kampanj försöker locka användare att ladda ner den senaste versionen Bazar-trojanen genom falska e-postmeddelanden som påstår att mottagaren fått en lönebonus.

Bazar-trojanen upptäcktes första gången för ett år sedan och kan ge cyberbrottslingar en bakdörr till infekterade Windows-system, så att de kan styra enheten och få ytterligare åtkomst till nätverket för att samla in känslig information eller leverera annan skadlig kod, t.ex. ransomware.

Nu har cybersäkerhetsforskare på Fortinet identifierat en ny variant av Bazar-trojanen, som har utrustats med anti-analystekniker för att göra den svårare att upptäcka för antivirusprogram.

Trojanen sprids genom phishing-e-postmeddelanden som försöker lura företagsanvändare med hjälp av falska löften om lönehöjningar, falska klagomål från kunder och falska fakturor. Gemensamt för dessa phishing-meddelanden är att de försöker få mottagaren att klicka på en länk som påstår sig leda till en PDF-fil som innehåller ytterligare information om meddelandets ämne.

Dessa länkar leder till en skadlig webbsida som refererar till det ursprungliga e-postmeddelandet och ber användarna att ladda ner en fil som innehåller Bazar-trojanen.

För att undvika att bli offer för nätfiskeattacker som distribuerar Bazar eller annan typ av skadlig kod, rekommenderade forskare att organisationer ger vägledning till sina anställda om hur man identifierar och skyddar sig mot attacker och bedrägerier.

Nimblr Security Awareness erbjuder genom sina simuleringar och «Zero-Day-Classes» korta kurser om de senaste hoten för företagsanvändare i syfte att skapa en igenkänningsfaktor och öka säkerhetsmedvetenheten.

Categories
Tech

SPF till alla!

Ropen skalla! SPF till alla! Du vet väl om att du kan begränsa möjligheterna att förfalska e-post från dina adresser och domäner helt kostnadsfritt? Genom att tillföra ett SPF-record (Sender Policy Framework) i din DNS specificerar du vilka IP-nummer och servrar som har rätt att skicka e-post i ditt namn.

Idén är mycket enkel – genom att specificera vilka servrar och IP-nummer som tillåts skicka e-post från din domän ger man mottagaren en möjlighet att kontrollera om e-post från din domän verkligen kommer från en server eller IP-nummer som du godkänt som avsändare i din DNS. De flesta större e-post-tjänster gör en sådan kontroll på all inkommande e-post.

Ett SPF-record kan se ut t.ex. så här:

«v=spf1 ip4:192.168.0.1/16 -all»

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas) får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255.

SPF-record för domänen nimblr.net ser ut så här:

«v=spf1 include:_spf.google.com include:sendgrid.net -all»

Ovan SPF-record tillåter Google’s servrar och e-posttjänsten SendGrid att skicka e-post med vårat domännamn som avsändare. Genom att avsluta med «-all» berättar vi för de mottagare som kontrollerar vårs SPF-record att e-post från andra servrar än de angivna ska läggas i skräppostmappen eller avvisas.

Läs mer om SPF, syntaxen och projektet här: www.open-spf.org

Det finns metoder för att kringgå SPF-kontroller men om alla domäner hade ett SPF-record hade det varit betydligt krångligare att förfalska e-post, så vad väntar du på!?

Nimblr Security Awareness är en onlinebaserad utbildningsplattform designad för att stärka slutanvändarnas säkerhetsmedvetande och minimera risken för fullbordade angrepp. Utbildningsprogrammet bygger på en holistisk inlärningsmodell och uppdateras löpande med intelligent teknologi, smarta illustrationer, expertkompetens om IT-säkerhet och modern pedagogik.