Har du også fået en mail med 1.047,85 kroner tilbage i skat?

It-kriminelle forsøger i stigende grad at lokke kreditkortoplysninger ud af danskerne med løfter om eksempelvis at få udbetalt overskydende skat. Det er typisk huller i CMS'erne Joomla og Wordpress, der udnyttes.

Det ville være rart her midt i januar at modtage en e-mail fra Skat med budskabet, at man har 1.047,85 kroner til gode. Desværre er der tale om en del af en større phishing-bølge mod Danmark.

»Det er nogle ganske få bander fra Marokko, som står bag. Det er stort set de samme, som stod bag den første phishing-mail, som så ud til at komme fra TDC, der har sat gang i en phishing-bølge mod Danmark,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

Phishing-kampagnerne er alle bygget op omkring en e-mail udformet på mere eller mindre korrekt dansk. Formålet med mailen er at lokke brugeren til at klikke på et link.

I de konkrete kampagner fører linkene til webformularer, hvor man skal oplyse sine kreditkortoplysninger.

Webformularerne ligger på internetdomæner og hjemmesider, som phishing-bagmændene har overtaget og misbruger til deres kampagner. Det drejer sig i øjeblikket om hjemmesider, som benytter CMS'erne Wordpress og Joomla.

Hvis man har en hjemmeside, som benytter et af de to populære CMS'er, er det derfor en god idé at sikre sig, at softwaren er opdateret, så man ikke kommer til at lægge hjemmesideplads til en phishing-kampagne.

»Det gælder om at konfigurere sit site rigtigt og om at installere opdateringer, også til eventuelle plugins,« siger Peter Kruse til Version2.

I mange tilfælde er der tale om gengangere, altså hjemmesider, som har været misbrugt flere gange. Det betyder dog, at siderne efterhånden havner på sortlister hos eksempelvis Google, så brugerne advares, inden de besøger siden.

»Noget af det, vi bruger mest tid på, er faktisk at få siderne taget ned igen. Der er nogle, som bare ikke reagerer, og så er der andre, der ikke ved, hvad de skal gøre,« siger Peter Kruse.

CSIS vurderer ud fra tidligere phishing-kampagner, at cirka 0,3 procent af modtagerne klikker på linket i phishing-mailen og afgiver oplysninger. En vis del af modtagere, som vil drille eller genere spammerne.

»Men selvom det er en lille promille, så er det alligevel nok til en forretning for banderne,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jens Jönsson

De fleste SPAM filtre understøtter SPF/DKIM idag. Derfor kunne største delen af disse e-mails blive stoppet af modtagerens SPAM filter, hvis store virksomheder som f.eks. DBA.dk, TDC.dk gad at sætte sig ind i tingene og implementere SPF/DKIM eller i det mindste implementere det korrekt.

tdc.dk forkert implementeret SPF (skal være -all ikke ~all) dba.dk forkert implemneteret SPF (skal være -all ikke ~all) paypal.dk forkert implemneteret SPF (skal være -all ikke ~all) nemid.nu ingen SPF implementeret

osv. osv.

Sådan kan jeg desværre blive ved.....

  • 6
  • 0
#5 Esben Madsen

Jeg har opsat SPF på et par domæner for at begrænse backscatter (bounces når spammere sender med mine domæner som falsk afsender til ikke eksisterende mailboxe)... desværre kan selv sådan nogle som google ikke finde ud af bare at dumpe de falske mails og insisterer på at sende bounces tilbage til den forfalskede afsender adresse - inkl. en header der fortæller at det ikke er en godkendt server der har afsendt den!...

  • 1
  • 0
#8 Niels Dybdahl

Alle de phishing-skatteemails som jeg har modtaget er fra afsenderdomænet skat.dk, som har en meget pæn SPF-record. Samtlige af de emails er derfor også filtreret fra som spam. Men den email som der er billede af i artiklen er fra "skattereform.dk". Snedigt.

  • 0
  • 0
#9 Henrik Schack

SPF & DKIM bliver først rigtig effektivt hvis det kombineres med DMARC, havde SKAT den slags implementeret ville en falsk @skat.dk email blive afvist i døren hos f.eks Google & Yahoo, dvs ikke engang havne i SPAM mappen.

  • 0
  • 0
#11 Jens Jönsson
  • 0
  • 0
#13 s_ mejlhede

Kender ikke til SPF og/eller DKIM, og har ikke en ikke selv en mail server, sikkert af samme grund LOL. Men er der nogen af jer det kan uddybe emnet, lidt kort så vi andre dødelige kan følge med. Evt. link. Samt er det noget man som normal bruger kan gøre for at afhjælpe/fjerne dette problem i opsætning af mail osv. ?????

  • 0
  • 1
#15 Henrik Schack

Nu skal vi jo huske at SPF check laves mod Sender-Envelope/Return-path, der er derfor ikke mange ben i at afsende en email som overholder SPF, har skat@skat.dk i "From:" feltet men ikke destomindre afsendes fra en server der på ingen måde har noget med skat.dk eller deres SPF record at gøre. Du kan se et eksempel her : http://pastebin.com/ZxUR94Z0

Det "ekstra" man får med DMARC er at der skal være sammenhæng mellem domænet der anvendes i From: headeren og det domæne der anvendes i SenderEnvelope. Hvis skat.dk havde implementeret DMARC ville ovenstående maileksempel være blevet afvist af Google.

  • 0
  • 0
#17 Deleted User

Har lige vundet 915.850€, jeg skal bare åbne en pdf fil.

Her er teksten i mailen:

Du rеdes til at еbne pdf vedhжftet fil, og kontakt din agent for din prжmie fond.

Med venlig hilsen ledelse

Men nu har jeg ikke lige tid så hvis der er andre der vil have præmien kan jeg videresende ?

  • 3
  • 0
#20 Jens Jönsson

Har haft dialog med diverse mail administratorer, som bruger ~all = Softfail (The SPF record has designated the host as NOT being allowed to send but is in transition) Så kan dit SPAM filter så selv vurdere om det er SPAM = ubrugelig SPF, med det resultat at domænet stadig bruges af phishere og du så kan risikere at der kommer phishing mails igennem fra kendte domæner.

Desværre er de så "kloge" at de mener deres SPF record er god nok....

  • 0
  • 0
#21 Jens Jönsson
  • 0
  • 0
#24 Michael Harly

de har ramt rimlig korekt med min

SKAT: Udvidet selvangivelse

1209,65 DKK.

vedhæftet en html file skat.html alle css og js er hente fra skat.dk undtage en enkle do.php er fra en ip adr kunne trace deres ip adr til USA :-)

skal indtaste cpr + de site 4 ciffer, kort nr, fule navn

godt google smid den i spam mappen

  • 0
  • 0
Log ind eller Opret konto for at kommentere