Varning: VD-bedrägerier med felstavade e-postadresser ökar

Bedrägeriförsöken där e-post nyttjas blir allt mer raffinerade. Sedan en tid tillbaka ser vi att bedragare skapar e-postadresser som är snarlika ett riktigt företags adresser, utger sig för att vara VD:s på företag och mejlar till ekonomichef eller en anställd på ekonomiavdelningen med en uppmaning att göra en utbetalning.

I många år har bedrägerier med så kallade spoofade e-post adresser förekommit. Att ”spoofa” en e-postadress betyder i praktiken att  bedragaren skickar mejlet, men för mottagaren av mejlet (exempelvis ekonomichef) får det att se ut som att den avsändande adressen är en välbekant adress (exempelvis företagets VD:s). Om ekonomichef svarar på mejlet kommer detta bedrägerimejl dock att gå till VD och på så sätt har inte bedragaren kontroll fullt ut över händelseförloppet.

I syfte att öka chanserna för att lyckas med e-post bedrägerier har bedragarna hittat nya vägar. I stället för spoofing används i allt större utsträckning nu felstavade e-postadresser. Den här typen av bedrägeriförsök drabbar företag i en takt vi inte sett tidigare. Så sent som för några dagar sedan lyckades drygt 60 VD-bedrägerier avstyras där bedragare använde sig av felstavade .se-domäner av små och stora företag. Även polisen har gått ut med en varning på sin Facebooksida. Av domännamnen att döma drabbas alla typer av företag och organisationer i alla typer av branscher.

VD-bedrägerier genomförs alltså med felstavade e-postadresser som är snarlika de aktuella företagens riktiga.

Så här går det till:

Bedragaren registrerar ett domännamn som till utseendet är väldigt likt ett befintligt företags eller organisations namn. Felstavningarna görs med bokstäver eller kombinationer av bokstäver som liknar varandra, ”g” byts ut mot ”q” eller ett ”m” byts ut mot ett ”r” och ett ”n” – rn – och så vidare.

Med det kan bedragaren sedan skapa e-postadresser som slutar på domännamnet.

Bedragaren mejlar sedan ekonomiavdelningen med den snarlika adressen och utger sig för att vara VD på det aktuella företaget med en uppmaning att göra en utbetalning – endera till ett angivet konto eller så skickas en påhittad faktura med i e-postmeddelandet.

Något som gör dessa bedrägeriförsök än mer sofistikerade är att bedragaren efterhärmar företagets sidfot och imiterar hur ett vanligt mejl hos företaget ser ut. Denna information har de troligen kommit över tidigare genom en trojan i mejl de skickat ut med varningar och anbudsförfrågningar till de aktuella företag man vill lura. När ett sådant mejl öppnas får bedragaren tillgång till den infekterade datorns e-post.

Så här kan det se ut:

Klicka på bilden för att förstora.

I exemplet ovan har ett g alltså bytts ut mot ett q avsändarens e-postadress, något som är lätt att missa när man bara kollar snabbt på avsändaradressen.

Om den anställde på ekonomiavdelningen nu anar oråd eller ställer en följdfråga är problemet att mejlet går till en brevlåda som bedragaren har tillgång till och denne kan då besvara frågor och ”pressa fram” betalningen.

Risken för den här typen av bedrägeri ökar inte bara mot företagets egna ekonomiansvarige, utan även mot leverantörer, finansiella partners med flera.

Siffror saknas

Hur mycket dessa bedrägerier ån så länge kostat svenska företag finns inga siffror på, men det handlar om miljontals kronor. För att du ska förstå omfattningen av detta fenomen kan vi göra en internationell utblick; FBI gick i januari förra året ut och varnade för VD-bedrägerier och angav att företag drabbats av förluster motsvarande 215 miljoner dollar. Sju månader senare sker motsvarande varning, summan har nu växt till 1,2 miljarder dollar. Ytterligare sju månader senare har summan vuxit till över 2,3 miljarder dollar och FBI talar om en dramatisk ökning. Tio dagar senare berättar nyhetsbyrån Reuters om att ett amerikanskt företag blivit lurade på knappt 100 miljoner dollar.

Kontrollera!

Min vädjan är att kontrollera e-postadresser som skickar konstiga oväntade e-postmeddelanden, speciellt om det avser att betala fakturor eller göra större överföringar.

Många av er kommer då att hitta felstavningar, som dessa nedan:.

  • l istället för i
  • i istället för l
  • q istället för g
  • g istället för q
  • 0 istället för o
  • r+n istället för m
  • n istället för m
  • m istället för n
  • Bindestreck (-) i domännamn
  • svenska*
  • *ab.se
  • *sverige.se
  • *sweden.se

Andra varianter:

  • Ett tecken saknas i domännamnet
  • Ett tecken dubbleras
  • Två tecken byter plats
  • Annan toppdomän används (ex. .com istället för .se)
  • Du kan inte lita på att ett e-postmeddelande kommer från den du tror – du måste motkontrollera, dubbelkolla, trippelkolla!
Etiketter: , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Peter Forsman Abuseansvarig på IIS Hanterar abuse-ärenden för hela .se-zonen och är en av Sveriges främsta experter på nätbedrägerier. Peter har varit verksam inom IT-sektorn sedan mitten av 90-talet och har erfarenheter från av flera olika roller i domän- och webbhotellbranschen.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Steffen 27 maj 2016, kl 05.58

    Mycket bra artikel. Jag saknar dock en viktig del i artikeln! Under rubriken ”Kontrollera”, vilken är bra gjort i sig, så pratar man bara om e-postadressen som ”skickar” mailet. Dvs. avsändarens adress i mailet – Den kan dock vara så bra gjort att enbart företages riktiga domännamn syns som avsändare. Däremot kan adressen som används som svarsadress (Reply to) vara en helt annan. Svarar man på mailet, skickas det till en mailadress utanför företaget. Men det är något den anställda kanske inte ser och lägger märke på, eftersom mailet kom ju från den riktiga chefen, fast egentligen inte.

    Svara
    • Sebastian Nielsen 21 augusti 2016, kl 02.35

      Detta stämmer inte riktigt, om mottagarservern är vettigt konfigurerad så skall den avvisa eller dumpa meddelanden som har exempelvis en From: eller MAIL FROM som är samma som den som servern handhar, utan att detta mejl är autensiterat.

      Externa mejl valideras enklast med SPF eller DKIM.

      Problemet är ovanstående där bedragarna registrerar en liknande domän, och har kontrollen över både SPF och DKIM och utgående/ingående mailserver.

      Tror faktiskt det enklaste vore att man tvingade ett fixed width teckensnitt (såsom Courier New) till mejlklienten via en gruppolicy. Då skulle sådana attacker hamna i rampljuset direkt. Man kan googla efter ”Force font outlook 2016 group policy” för lite tips.

      Svara
  • Peter Forsman
    Peter Forsman 27 maj 2016, kl 09.47

    Steffen – Tack för feedback.
    Och det är korrekt som du skriver; svars/reply-adressen är i de 60 fallen detta handlar om just den felstavade adressen, vilket du endast ser om du granskar svarsadressen ordentligt (som att dubbelklicka på den).

    Fokus med min varning var först och främst för att företag ska reagera på avsändaradress i samband med typ av innehåll. Men det är helt korrekt att det finns varianter av dessa bedrägeriförsök som dessutom förändras lite över tid.

    Bara på ett par veckor har man dessutom gått från tre bluffmeddelanden i snabb följd till ett enda, som är mer komplext med en påhittad tidigare konversation.

    Mvh
    Peter Forsman
    IIS Registry

    Svara
  • Per von Zweigbergk 4 juli 2017, kl 14.21

    Vi på IT-assistans har observerat en variant på detta som är värd att känna till. Här skickas e-post från en helt korrekt mailadress, men istället används en särskild svarsadress (Reply-to) på en annan domän för att bedragaren ska kunna få kontakt med offret. Detta är särskilt lömskt eftersom det är helt omöjligt att se detta i en standardkonfigurerad Outlook-klient, om man inte klickar på ”svara” och kollar på adressen som man skickar till.

    För att få bukt med den här varianten använder vi transportregler i Office 365 som lägger in en varning i subject på e-post som kommer in, om en särskild svarsadress (Reply-To) förekommer i mail som kommer från det egna företaget. Inget som är vattentätt, men det hjälper mot det senaste, i alla fall!

    Svara
    • Peter Forsman
      Peter Forsman 4 juli 2017, kl 16.32

      Hej Per,

      ..och tack för din input!
      Jo, det stämmer precis som du skriver – eller egentligen så är det tvärtom (av de exempel jag sett)

      Dvs de använder ”mystiskepostadress@neutralleverantor.com” som e-postadress, men anger den ”kapade” e-postadressen som visningsnamn – alltså en ”e-postadress” istället för ”För- och Efternamn”.

      Det blir alltså en typ av ”Spoof-light” eller ”Falskt visningsnamn”, som jag väljer att kalla det.

      Men kontentan blir precis som du beskriver; att det ser ut som ett mail från en korrekt adress, men att svaret går till annan adress.
      Tråkigt nog, så tillåts detta hos de allra flesta större ”gratismailplattformar” idag.

      Och som du säger hjälper det ev. från att släppa in VD-bedrägerier mot det egna företaget, men tråkigt nog inte för att lura exempelvis mailordrar till leverantörer, där bedragarna utger sig för att vara VD eller nyckelperson för företag (beställare) och skickar beställning på produkter till leverantör med annan leveransadress (och där fakturan sedan går till det ”kapade företaget” man utger sig för att företräda.

      Men tips av detta slag mottages tacksamt!

      Fram till 2017, så hade bedragarna lyckats komma över 5,3 miljarder US Dollar enligt FBI
      https://www.ic3.gov/media/2017/170504.aspx

      Mvh
      Peter Forsman
      IIS Registry

      Svara