Varning: VD-bedrägerier med felstavade e-postadresser ökar

Bedrägeriförsöken där e-post nyttjas blir allt mer raffinerade. Sedan en tid tillbaka ser vi att bedragare skapar e-postadresser som är snarlika ett riktigt företags adresser, utger sig för att vara VD:s på företag och mejlar till ekonomichef eller en anställd på ekonomiavdelningen med en uppmaning att göra en utbetalning.

I många år har bedrägerier med så kallade spoofade e-post adresser förekommit. Att ”spoofa” en e-postadress betyder i praktiken att  bedragaren skickar mejlet, men för mottagaren av mejlet (exempelvis ekonomichef) får det att se ut som att den avsändande adressen är en välbekant adress (exempelvis företagets VD:s). Om ekonomichef svarar på mejlet kommer detta bedrägerimejl dock att gå till VD och på så sätt har inte bedragaren kontroll fullt ut över händelseförloppet.

I syfte att öka chanserna för att lyckas med e-post bedrägerier har bedragarna hittat nya vägar. I stället för spoofing används i allt större utsträckning nu felstavade e-postadresser. Den här typen av bedrägeriförsök drabbar företag i en takt vi inte sett tidigare. Så sent som för några dagar sedan lyckades drygt 60 VD-bedrägerier avstyras där bedragare använde sig av felstavade .se-domäner av små och stora företag. Även polisen har gått ut med en varning på sin Facebooksida. Av domännamnen att döma drabbas alla typer av företag och organisationer i alla typer av branscher.

VD-bedrägerier genomförs alltså med felstavade e-postadresser som är snarlika de aktuella företagens riktiga.

Så här går det till:

Bedragaren registrerar ett domännamn som till utseendet är väldigt likt ett befintligt företags eller organisations namn. Felstavningarna görs med bokstäver eller kombinationer av bokstäver som liknar varandra, ”g” byts ut mot ”q” eller ett ”m” byts ut mot ett ”r” och ett ”n” – rn – och så vidare.

Med det kan bedragaren sedan skapa e-postadresser som slutar på domännamnet.

Bedragaren mejlar sedan ekonomiavdelningen med den snarlika adressen och utger sig för att vara VD på det aktuella företaget med en uppmaning att göra en utbetalning – endera till ett angivet konto eller så skickas en påhittad faktura med i e-postmeddelandet.

Något som gör dessa bedrägeriförsök än mer sofistikerade är att bedragaren efterhärmar företagets sidfot och imiterar hur ett vanligt mejl hos företaget ser ut. Denna information har de troligen kommit över tidigare genom en trojan i mejl de skickat ut med varningar och anbudsförfrågningar till de aktuella företag man vill lura. När ett sådant mejl öppnas får bedragaren tillgång till den infekterade datorns e-post.

Så här kan det se ut:

Klicka på bilden för att förstora.

I exemplet ovan har ett g alltså bytts ut mot ett q avsändarens e-postadress, något som är lätt att missa när man bara kollar snabbt på avsändaradressen.

Om den anställde på ekonomiavdelningen nu anar oråd eller ställer en följdfråga är problemet att mejlet går till en brevlåda som bedragaren har tillgång till och denne kan då besvara frågor och ”pressa fram” betalningen.

Risken för den här typen av bedrägeri ökar inte bara mot företagets egna ekonomiansvarige, utan även mot leverantörer, finansiella partners med flera.

Siffror saknas

Hur mycket dessa bedrägerier ån så länge kostat svenska företag finns inga siffror på, men det handlar om miljontals kronor. För att du ska förstå omfattningen av detta fenomen kan vi göra en internationell utblick; FBI gick i januari förra året ut och varnade för VD-bedrägerier och angav att företag drabbats av förluster motsvarande 215 miljoner dollar. Sju månader senare sker motsvarande varning, summan har nu växt till 1,2 miljarder dollar. Ytterligare sju månader senare har summan vuxit till över 2,3 miljarder dollar och FBI talar om en dramatisk ökning. Tio dagar senare berättar nyhetsbyrån Reuters om att ett amerikanskt företag blivit lurade på knappt 100 miljoner dollar.

Kontrollera!

Min vädjan är att kontrollera e-postadresser som skickar konstiga oväntade e-postmeddelanden, speciellt om det avser att betala fakturor eller göra större överföringar.

Många av er kommer då att hitta felstavningar, som dessa nedan:.

  • l istället för i
  • i istället för l
  • q istället för g
  • g istället för q
  • 0 istället för o
  • r+n istället för m
  • n istället för m
  • m istället för n
  • Bindestreck (-) i domännamn
  • svenska*
  • *ab.se
  • *sverige.se
  • *sweden.se

Andra varianter:

  • Ett tecken saknas i domännamnet
  • Ett tecken dubbleras
  • Två tecken byter plats
  • Annan toppdomän används (ex. .com istället för .se)
  • Du kan inte lita på att ett e-postmeddelande kommer från den du tror – du måste motkontrollera, dubbelkolla, trippelkolla!
Etiketter: , , , ,

Om bloggaren

Peter Forsman Abuseansvarig på IIS Hanterar abuse-ärenden för hela .se-zonen och är en av Sveriges främsta experter på nätbedrägerier. Peter har varit verksam inom IT-sektorn sedan mitten av 90-talet och har erfarenheter från flera olika roller i domän- och webbhotellbranschen.