Varning: VD-bedrägerier med felstavade e-postadresser ökar

Bedrägeriförsöken där e-post nyttjas blir allt mer raffinerade. Sedan en tid tillbaka ser vi att bedragare skapar e-postadresser som är snarlika ett riktigt företags adresser, utger sig för att vara VD:s på företag och mejlar till ekonomichef eller en anställd på ekonomiavdelningen med en uppmaning att göra en utbetalning.

I många år har bedrägerier med så kallade spoofade e-post adresser förekommit. Att ”spoofa” en e-postadress betyder i praktiken att  bedragaren skickar mejlet, men för mottagaren av mejlet (exempelvis ekonomichef) får det att se ut som att den avsändande adressen är en välbekant adress (exempelvis företagets VD:s). Om ekonomichef svarar på mejlet kommer detta bedrägerimejl dock att gå till VD och på så sätt har inte bedragaren kontroll fullt ut över händelseförloppet.

I syfte att öka chanserna för att lyckas med e-post bedrägerier har bedragarna hittat nya vägar. I stället för spoofing används i allt större utsträckning nu felstavade e-postadresser. Den här typen av bedrägeriförsök drabbar företag i en takt vi inte sett tidigare. Så sent som för några dagar sedan lyckades drygt 60 VD-bedrägerier avstyras där bedragare använde sig av felstavade .se-domäner av små och stora företag. Även polisen har gått ut med en varning på sin Facebooksida. Av domännamnen att döma drabbas alla typer av företag och organisationer i alla typer av branscher.

VD-bedrägerier genomförs alltså med felstavade e-postadresser som är snarlika de aktuella företagens riktiga.

Så här går det till:

Bedragaren registrerar ett domännamn som till utseendet är väldigt likt ett befintligt företags eller organisations namn. Felstavningarna görs med bokstäver eller kombinationer av bokstäver som liknar varandra, ”g” byts ut mot ”q” eller ett ”m” byts ut mot ett ”r” och ett ”n” – rn – och så vidare.

Med det kan bedragaren sedan skapa e-postadresser som slutar på domännamnet.

Bedragaren mejlar sedan ekonomiavdelningen med den snarlika adressen och utger sig för att vara VD på det aktuella företaget med en uppmaning att göra en utbetalning – endera till ett angivet konto eller så skickas en påhittad faktura med i e-postmeddelandet.

Något som gör dessa bedrägeriförsök än mer sofistikerade är att bedragaren efterhärmar företagets sidfot och imiterar hur ett vanligt mejl hos företaget ser ut. Denna information har de troligen kommit över tidigare genom en trojan i mejl de skickat ut med varningar och anbudsförfrågningar till de aktuella företag man vill lura. När ett sådant mejl öppnas får bedragaren tillgång till den infekterade datorns e-post.

Så här kan det se ut:

Klicka på bilden för att förstora.

I exemplet ovan har ett g alltså bytts ut mot ett q avsändarens e-postadress, något som är lätt att missa när man bara kollar snabbt på avsändaradressen.

Om den anställde på ekonomiavdelningen nu anar oråd eller ställer en följdfråga är problemet att mejlet går till en brevlåda som bedragaren har tillgång till och denne kan då besvara frågor och ”pressa fram” betalningen.

Risken för den här typen av bedrägeri ökar inte bara mot företagets egna ekonomiansvarige, utan även mot leverantörer, finansiella partners med flera.

Siffror saknas

Hur mycket dessa bedrägerier ån så länge kostat svenska företag finns inga siffror på, men det handlar om miljontals kronor. För att du ska förstå omfattningen av detta fenomen kan vi göra en internationell utblick; FBI gick i januari förra året ut och varnade för VD-bedrägerier och angav att företag drabbats av förluster motsvarande 215 miljoner dollar. Sju månader senare sker motsvarande varning, summan har nu växt till 1,2 miljarder dollar. Ytterligare sju månader senare har summan vuxit till över 2,3 miljarder dollar och FBI talar om en dramatisk ökning. Tio dagar senare berättar nyhetsbyrån Reuters om att ett amerikanskt företag blivit lurade på knappt 100 miljoner dollar.

Kontrollera!

Min vädjan är att kontrollera e-postadresser som skickar konstiga oväntade e-postmeddelanden, speciellt om det avser att betala fakturor eller göra större överföringar.

Många av er kommer då att hitta felstavningar, som dessa nedan:.

  • l istället för i
  • i istället för l
  • q istället för g
  • g istället för q
  • 0 istället för o
  • r+n istället för m
  • n istället för m
  • m istället för n
  • Bindestreck (-) i domännamn
  • svenska*
  • *ab.se
  • *sverige.se
  • *sweden.se

Andra varianter:

  • Ett tecken saknas i domännamnet
  • Ett tecken dubbleras
  • Två tecken byter plats
  • Annan toppdomän används (ex. .com istället för .se)
  • Du kan inte lita på att ett e-postmeddelande kommer från den du tror – du måste motkontrollera, dubbelkolla, trippelkolla!
Etiketter: , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Peter Forsman Abuseansvarig på IIS Hanterar abuse-ärenden för hela .se-zonen och är en av Sveriges främsta experter på nätbedrägerier. Peter har varit verksam inom IT-sektorn sedan mitten av 90-talet och har erfarenheter från av flera olika roller i domän- och webbhotellbranschen.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Steffen 27 maj 2016, kl 05.58

    Mycket bra artikel. Jag saknar dock en viktig del i artikeln! Under rubriken ”Kontrollera”, vilken är bra gjort i sig, så pratar man bara om e-postadressen som ”skickar” mailet. Dvs. avsändarens adress i mailet – Den kan dock vara så bra gjort att enbart företages riktiga domännamn syns som avsändare. Däremot kan adressen som används som svarsadress (Reply to) vara en helt annan. Svarar man på mailet, skickas det till en mailadress utanför företaget. Men det är något den anställda kanske inte ser och lägger märke på, eftersom mailet kom ju från den riktiga chefen, fast egentligen inte.

    Svara
    • Sebastian Nielsen 21 augusti 2016, kl 02.35

      Detta stämmer inte riktigt, om mottagarservern är vettigt konfigurerad så skall den avvisa eller dumpa meddelanden som har exempelvis en From: eller MAIL FROM som är samma som den som servern handhar, utan att detta mejl är autensiterat.

      Externa mejl valideras enklast med SPF eller DKIM.

      Problemet är ovanstående där bedragarna registrerar en liknande domän, och har kontrollen över både SPF och DKIM och utgående/ingående mailserver.

      Tror faktiskt det enklaste vore att man tvingade ett fixed width teckensnitt (såsom Courier New) till mejlklienten via en gruppolicy. Då skulle sådana attacker hamna i rampljuset direkt. Man kan googla efter ”Force font outlook 2016 group policy” för lite tips.

      Svara
  • Peter Forsman
    Peter Forsman 27 maj 2016, kl 09.47

    Steffen – Tack för feedback.
    Och det är korrekt som du skriver; svars/reply-adressen är i de 60 fallen detta handlar om just den felstavade adressen, vilket du endast ser om du granskar svarsadressen ordentligt (som att dubbelklicka på den).

    Fokus med min varning var först och främst för att företag ska reagera på avsändaradress i samband med typ av innehåll. Men det är helt korrekt att det finns varianter av dessa bedrägeriförsök som dessutom förändras lite över tid.

    Bara på ett par veckor har man dessutom gått från tre bluffmeddelanden i snabb följd till ett enda, som är mer komplext med en påhittad tidigare konversation.

    Mvh
    Peter Forsman
    IIS Registry

    Svara