Der er masser af omtale i dagens presse omkring en fejl som befinder sig i OpenSSL. For langt de fleste almindelige og ikke tekniske Internet brugere, som anvender Microsoft Windows og MacOSX i dagligdagen, er der ikke meget man kan foretage sig. Alligevel, for at ligge bare en smule låg på den panik stemning, som er begyndt at sprede sig, følger herunder gode råd til hvordan du, som almindelig bruger skal opføre dig.

1) Lyt til din serviceudbyder
Du kan forvente at de serviceudbydere som er, eller har været berørt af denne fejl, vil kontakte dig direkte med anvisninger om hvordan du skal forholde dig. Af sikkerhedsmæssige grunde anbefaler vi, at man læser indholdet af sådanne e-mails, men ikke klikker på evt. medfølgende links, da nyheden kan misbruges af it-kriminelle til at lokke data ud af vilkårlige brugere eller eksponere dem for skadelig kode. Det er også sandsynligt at flere vil tvinge deres brugere til at skifte password når de logger på tjenesten næste gang. Benyt lejligheden til at skifte til et sikkert password. 8 tegn, tal, store/små bogstaver og evt specialtegn.

2) Udvis sund fornuft
Heartbleed er en teknisk fejl som bevæger sig nedad i mange services og applikationer. Den kan endda optræde i appliances og embedded devices. Forvent, som almindelig bruger, at teknikere vil løse denne fejl ved at opdatere/patche eller deaktivere den sårbare komponent.

Du skal opføre dig som du normalt ville gøre og IKKE gå i panik.

3) Skift dit password
Der findes en stribe services både internationalt og herhjemme som har været omfattet af denne sårbarhed i længere tid og særligt i det tidsrum hvor detaljer om "Heartbleed" blev publiceret. CSIS anbefaler at alle brugere der anvender følgende services skifter deres passwords, da det kan være eksponeret overfor tredjepart:

Google/Gmail
Tumblr
Twitter
Yahoo/Yahoo mail
Amazon
Dropbox
LastPass

I Danmark, er de mest besøgte "sårbare" websider, hvor vi anbefaler et skift af password, følgende:

boyfriend.dk
jobindex.dk

Der kan være andre steder, hvor det kan være nødvendigt at skifte passwords, men følg de anvisninger som kommer fra leverandøren af tjenesten.

Vi kan afslutningsvis berolige med at netbankerne herhjemme ikke har været berørt af denne fejl.

Allerede i starten af denne uge advarede vi omkring "HeartBleed". Vores tekniske beskrivelse kan findes her:
https://www.csis.dk/da/csis/news/4182/

CSIS advarer hermed omkring en ny muldyrsrekrutteringskampagne, som rammer vilkårlige indbakker og som lokker med et hjemmejob med fristende udsigt til gode indtægter. Men pas på. Der er tale om muldyrsrekruttering fra en gruppering af it-kriminelle som kan bindes direkte sammen med uautoriserede netbank transaktioner.

Den uønskede e-mail ankommer med emnelinjen:

We'll pay you from 98 EURO per hour for remote assistance in our clinic

Lyder det næsten for godt til at være sandt? Det er det desværre også! Det er et forsøgt på muldyrsrekruttering.

Interesserede kandidater skal sende CV og personlige data til en e-mail adresse som er oprettet til formålet og hvorfra de it-kriminelle vil indlede korrespondance med naive fremtidige muldyr.

Den uønskede e-mail afsluttes med:

"Just contact us: with your CV or personal information (name, last name, contact telephone number).

Please call or email us for details of the job:
[vilkårligt navn]@centraljob-eu.com.

Vi noterer os at den pågældende e-mail ikke indeholder et nummer man kan ringe til.

Et passivt DNS lookup af andre domæner på den primære navneserver knyttet til centraljob-eu.com afslører talrige andre mistænkelige domæner hostet under samme infrastruktur:

ns1.ulagula.com
ns1.wickedpl.com
ns1.trafficgatte.com
mx.centraljob-eu.com
mx.sapoempregopt.com
ns1.estacionderecarg.com
mx.googleapps-spain.com
ns1.perlmonk.net
ns1.redssale.net
ns1.forex-bid.net
ns1.boats-sale.net
ns1.buycushion.net
ns1.amimeseason.net
ns1.cnsrealtime.net
ns1.millenniumfilm.net

De forskellige navneservere er hostet på IP adresserne:
216.158.67.38 og 181.41.200.234, som kan relateres til anden kriminel aktivitet og online svindel.

Vi har blokeret domænerne i CSIS Secure DNS og yder derved også beskyttelse for alle Heimdal PRO og corporare installationer.

Vi har flere gange været ude og advare mod at lade sig friste af den slags "spændende" jobtilbud. En stadig relevant artikel "CSIS advarer mod at lade sig hverve som "muldyr" kan findes her:
https://www.csis.dk/da/csis/news/643/

CSIS har observeret hvordan it-kriminelle, ved brug af et BOTnet, udsender store mængder spammails der foregiver at komme fra Facebook, til vilkårlige modtagere.

Målet er at lokke modtageren til at klikke på det medfølgende link. Dette peger, overraskende nok, ikke på Facebook, men derimod på en IP adresse som flytter brugeren videre til et domæne hvorfra der tilbydes tvivlsomme medicinal produkter.

Den pågældende e-mail ankommer med følgende indhold:


Det inkluderede link peger på en IP adresse, eksempelvis:

http://212.98.167.145/entitles.php

Denne flytter brugeren videre til domænet:

eoimovch.com

Herfra tilbydes tvivlsomme medicinal produkter:


Domænet oversættes til IP adressen: 5.178.66.97.

Samme server, som er hostet i Holland (serverius.com), er også rede for andre tilsvarende eller identiske domæner, som man med fordel kan blokere:

medasap.com.au
ordermedsonline.ca
officine.co
order-cialis.co
order-viagra.co
pharmacymedicine.co
open24.in
finasteridkaufen.fr.nf
naissy.ru
biopill.co.uk
biodrugs.co.uk
pharma24.co.uk
wikipharma.co.uk
viagrastore.co.uk
onlinepharma.co.uk
24hours.me.uk
medicaments.us
pharmacypills.ws
worldpill.biz
drugsontheweb.biz
9ptk.com
qbkh.com
qbkh.com
irpil.com
pillsm.com
10pills.com
eoimovch.com
pillplay.com
1farmacia.com
med-board.com
polyfarma.com

[..]

Alle disse domæner har vi naturligvis allerede blokeret i CSIS Secure DNS og Heimdal Pro/corporate.

Generelt skal man naturligvis afstå fra at klikke på den slags uønsket post men man skal naturligvis helt afholde sig fra at lade sig friste til at købe den slags produkter online. I bedste fald vil man modtage produkter som kan være helbredsskadelige og i værste fald kan man samtidig få rippet sit kreditkort.

IT-kriminelle er på jagt efter dit brugernavn og adgangskode til NemID. Som noget nyt forsøger de også at fiske sig til NemID nøglekortet med dine engangskoder.

Vi har i dag modtaget flere henvendelser fra bekymrede brugere som modtager e-mails fra nogen der foregiver at være NemID. Det er naturligvis ikke tilfældet. Det er regulær phishing altså et forsøg på at lokke naive brugere til at videregive strengt følsomme data.

Den uønskede e-mail ankommer med indholdet:

Kære NemID bruger,
Vores systemer har registreret en fejl med dit nøglekort.
Vi anbefaler dig at åbne linket nedenfor og upload dit NemID-kort scannet billede. Hvis du ikke har et kamera, kan du skrive koderne én efter én. Tredje mulighed er at besøge din nærmeste bank placering, og vi vil løse dette i person.

Hvis du ikke vil gøre dette inden for 24 timer, vil dit NemID-konto blive annulleret.

(se skærmdump af e-mailen herunder)


NemID udsender naturligvis ikke denne type e-mails uopfordret, men derudover er den også præget af talrige stave- og gramatiske fejl som burde gøre det nemt at spotte at der er tale om en fup-mail.

Selve phishing-siden forsøger at lokke ofret til at sende brugerID og kodeord samt et billede af NemID nøglekortet. Man skal naturligvis hverken gøre det ene eller det andet, da der er tale om regulær svindel og sandsynligvis forsøg på misbrug af de følsomme oplysninger som indsamles.

Med NemID brugernavn og password samt et nøglekort kan den kriminelle tømme bankkontoen, optage lån, flytte adresse, opnå adgang til medicinal oplysninger m.v.

Hvis ofret skulle være så "uheldig" ikke at have et kamera, eller en scanner til rådighed, kan vedkomne manuelt indtaste Nemid engangskoder på phishing siden. Se kopi af siden herunder:


CSIS har blokeret domænerne i CSIS Secure DNS, og beskytter derved også vores Heimdal PRO/corporate kunder mod dette svindelforsøg.

Datasikkerhed er - og med god grund - blevet en varm kartoffel efter "Se&Hør skandalen", eller måske rettere "NET og IBM skandalen".

CSIS tilbyder i samarbejde med vores partner Comit et gratis formiddagsseminar om de største it-trusler netop nu. CSIS og Comit opdaterer scenarierne og kommer med et bud på, hvordan sikkerheden kan skærpes.

Seminaret afholdes:

Torsdag d. 22. maj kl. 9-12 på
Crowne Plaza i Ørestaden.


Trusselsbilledet har ændret sig markant det sidste par år, og omfanget af it-kriminalitet er eksploderet. Vi ser en stigning i målrettede angreb og industrispionage. Samtidig er malware blevet langt mere sofistikeret. De kriminelle bliver konstant dygtigere: 81% af alle datalækager i 2011 var forårsaget af hacking.

Gratis tilmelding:
http://www.comit.dk/SEMINAR-OM-IT-SIKKERHED-VED-CSIS

Vi har modtaget stribevis af henvendelser fra frustrerede slutbrugere som oplever diverse uønskede popups på populære websider. Lad os slå fast med det samme. Dette fænomen, og de uønskede popups og reklamer kommer IKKE fra den pågældende webside, men derimod fra såkaldt "adware" som du, som bruger, mere eller mindre frivilligt, har installeret på din PC eller MAC.

For tiden modtager vi mange henvendelser fra brugere der oplever disse popups og hvor kilden er en adware fra "Costmin". Heldigvis er den nem at fjerne igen og det anbefaler vi at man gør. Se afsnittet "Fjern Costmin".

Den kan fremkomme på mange forskellige måder. Enten som et disk optimeringsværktøj, et værktøj til at fjerne fejl i registreringsdatabasen og så naturligvis "tilfredsundersøgelser" hvor man ender med at blive lokket ind i en konkurrence karrusel og lokkes til at betale penge for diverse produkter fra ansigtscreme til the og kaffeprodukter på en abonnementsbasis hvor du ofte binder dig for en længere periode. Og det kan blive dyrt.

Et skærmdump, som viser Costmin i aktion kan findes herunder. 


Det er bevist vildledende, at Costmin får tilfredshedsundersøgelse til at se ud til at komme fra Nordea.
Nordea har intet med dette at gøre, og problemet skyldes, som tidligere nævnt, at man har Adware på din PC eller Mac.


Bemærk sætningen: "som tak vil vi tilbyde dig nogle få eksklusive gratis vareprøver" og det er præcist den løkke der skal strammes om ofret og hele formålet med denne adware/kampagne! Vi anerkender at det virker mere troværdigt når denne type popper op på respekterede websider og samtidig misbruger kendte brands som man normalt har tillid til. Af samme grund: Udvis sund fornuft og opmærksomhed.

Fjern Costmin
Hvis du vil fjerne Costmin og dermed disse irriterende popups så gå til start -> Kontrol og panel og vælg tilføj/fjern programmer. Lokaliser Costmin og vælg fjern. Genstart maskinen.

Costmin kommer ofte "bundled" med freeware (gratis programmer). Man ser som regel ikke at programmet også installeres da producenter modtager et kickback per installation og dermed en interesse i at skjule præcist hvad der følger med installationspakken.

Teknisk gennemgang:
Costmin installerer sig som bundled i en installationspakke eller via producentens officielle webside (costmin.info)


Costmin installeres typisk til følgende mapper:

[%PROGRAMFILES(x86)%]CostMin
[%PROGRAMFILES%]CostMin
[%ALLUSERSPROFILE%]costmin51c2f6fa42b56.dll

Og kan findes i registreringsdatabasen med nøglen: "CostMin.CostMin" og følgende plugins der aktiverer dens BHO:

SOFTWAREGoogleChromeExtensionsepbobadpdjhmhnnokljfjbmjbjkkamic
SoftwareMicrosoftInternet ExplorerApproved Extensions, value: {E571864A-162D-550E-53BC-27325263C500}
SOFTWAREMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects{4BC4CBE1-2827-2107-E4B3-2DA00A936E70}

De varianter vi har observeret gør brug af følgende CLIDs:
{9FCD5E96-8743-BD52-37CD-FEF09086CBE0}
{FB171468-26F8-5C21-5D75-807F895D9317}
{2F5F003B-C71B-72E3-42B4-DE51AB079EB2}
{4BC4CBE1-2827-2107-E4B3-2DA00A936E70}
{66DC7DBB-1628-6AB0-506C-DF996C8FF365}
{E571864A-162D-550E-53BC-27325263C500}

Vi har blokeret alle kendte Costmin domæner i CSIS Secure DNS og forhindrer derved Cosmin pakken i dels at installeres korrekt, og dels at præsentere de uønskede popups og reklamer. 

Yderligere oplysninger hos Microsoft:
http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Adware:Win32/CostMin

Du modtager en e-mail fra en ven eller bekendt. Han er strandet i Leeds, England. Han har mistet sin pung og pas og skal have økonomisk hjælp til at komme hjem til Danmark. Pengene (1450 pund) skal overføres via "Western Union".

Lyder det sandsynligt? Og er der grund til at tro at ens dansktalende ven eller bekendt formulerer sig på robot oversat dansk. En kopi af den seneste af disse svindel mails, som er i omløb, findes gengivet herunder:

"Jeg håber, at dette når dig i tide, lavede jeg en tur til Leeds, Storbritannien, og min tegnebog blev stjålet med min internationale pas og mit kreditkort indeni. Ambassaden er villig til at hjælpe mig med at tage et fly, uden mit pas, jeg bare nødt til at betale for billetten og hotel regninger. Til min forfærdelse, jeg kan ikke få adgang til mine penge uden mit kreditkort og kontakt med min bank, men de har brug for mere tid til at give mig et nyt kort. I denne uheldige situation, tænkte jeg tale om et avlöningsdagslån at jeg kan betale tilbage, så snart du vender tilbage. Jeg har virkelig brug for at være på det næste fly. Jeg har brug for 1,450 pounds Fortæl mig om jeg kan hjælpe mig gennem western union, fordi det er den bedste mulighed jeg har. De gav mig et midlertidigt pas på ambassaden, så er ikke noget problem, hvis du har penge, kan du sende dem via western union kontor og inden for 20 minutter, de skal være der. Jeg kan sende oplysninger om, hvordan midlerne kan sendes til mig.Jeg ser frem til dit svar".

Ja, man burde faktisk nemt kunne se at det er svindel! Den slags skal man selvfølgelig ikke bide på. Man bør istedet kontakte den person, som e-mailen kommer fra, og fortælle at pågældendes email sandsynligvis er blevet hacket, og nu misbruges - og evt henvise til denne artikel.

Hvordan kan du beskytte dig mod denne svindel?
Den bedste medicin er sund fornuft og naturlig skepsis, men det at ens e-mail konto bliver hacket, kan muligvis også ske for dig!

I de fleste eksempler, som vi har set, er e-mail kontoen blevet hacket ved at gætte brugerens password (fordi det er let at gætte) eller er blevet fisket via "phishing".

En tredje mulighed er at maskinen er blevet inficeret af malware/virus der systematisk tapper passwords og sender dem til den kriminelle.

I alle ovenstående scenarier kan Heimdal hjælpe dig!

Du kan læse mere om Heimdal på den officielle webside, hvorfra du også kan hente en 30 gratis prøve udgave af Heimdal PRO:
https://heimdalsecurity.com/da/

Også Århus Stiftstidende har for nyligt bragt en artikel og advarsel omkring denne type svindel:
http://stiften.dk/aarhus/elektronisk-oversaettelse-goer-svindel-lettere

Vi advarede for et par uger siden om en ny phishing kampagne som går målrettet efter NemID; Danmarks officielle login til det offentlige Danmark. Vi noterede os i den sammenhæng at mindst en bande it-kriminelle gik målrettet efter vores papkort med NemID engangskoder. I den forbindelse udsendte vi en advarsel og en udførlig beskrivelse af phishing kampagen som kan findes her: https://www.csis.dk/da/csis/blog/4213/.

Vores advarsel gav også genlyd hos Digitaliseringsstyrelsen som fulgte op med en advarsel: "Falsk e-mail forsøger at franarre borgernes NemID-koder og nøgler". Den kan findes her: http://www.digst.dk/Servicemenu/Nyheder/Nyhedsarkiv/Digitaliseringsstyrelsen/2014/

Det store spørgsmål, som vi i den forbindelse stillede os selv var: "kan der virkelig være nogen som er så dumme og naive at de vil give it-kriminelle adgang til det allermest private vi har i den digitale verden?"

Svaret er ja! Desværre. Og det kan vi hermed dokumentere.

NemID kampagnen har kørt over 4 omgange med spammails sendt til tusindvis af vilkårlige e-mail adresser. Heraf har ca. 16 danskere sammen med deres brugernavn (CPR nummer) og passwordet til NemID taget en kopi af deres NemID engangskoder og uploadet disse til de it-kriminelle som herfra kan udføre alle tænkelige handlinger på vegne af personen.

Som dokumentation har vi samlet et par eksempler herunder som vi af sikkerhedsmæssige grunde har sløret:




At der findes andre, og måske mere begavede og humoriske personer, som har modtaget samme phishing mail og responderet anderledes, kan vi jo kun grine af:


Se det var mere dét svar vi var ude efter!

Kære Danmark, kære medborgere!
Lad nu være med at falde for den slags banale phishing kampagner. Det kan have uoverskuelige konsvenser for jeres liv og jeres værdier!!

Vi mangler åbenlyst - og i den grad - noget oplysning og information omkring hvad man kan risikere når man videregiver sine NemID login oplysninger til it-kriminelle!

CSIS har naturligvis blokeret alle disse phishing domæner i CSIS Secure DNS hvorved alle Heimdal PRO og corporate kunder også er beskyttet. Læs mere om Heimdal Security på https://heimdalsecurity.com

Desuden har vi også henvendt os til de rette kanaler for at få spærret de uploadede NemID engangskort og konti.

God og sikker St. Bededags ferie til alle fra CSIS!

Det er muligt at det lyder tillokkende men ta' ikke fejl! Målet er at rekruttere naive mennesker til at fungere som muldyr/hvidvaskere. Og det kan blive både en dyr og ubehagelig oplevelse.

I nat har it-kriminelle spammet vilkårlige e-mail adresser med et spændende jobtilbud. Du kan tjene hurtige penge ved at arbejde hjemmefra. Men bagsiden af medaljen er, at man for at tjene pengene skal fungere som muldyr.

Den uønskede e-mail ankommer med følgende indhold:


Bemærk, at såfremt man er interesseret i tilbuddet, skal kommnikere med "taddeusz@jobask-world.com". Dette domæne er hostet på navneserveren: ilove-football.com, og som kan oversættes til 39.115.19.150.

Samme sever hoster andre domæner som vi kan relatere til muldyrsrekruttering:

myjob-ro.com
topusa-jobs.com
jobimpulse-pl.com
ilove-football.com
decoystudio.net
jobcz.org
job-poland.org
budapestjobs.org

Det bedste råd er at slette disse e-mails og ikke forsøge at etablere kontakt til bagmændene.

CSIS har efterforsket en bølge af hackede Apple ID's som efterfølgende er blevet misbrugt til at låse iPhones og iPads og dernæst tvinge ofret til at sende penge for at genvinde adgang til enheden og data. Fænomenet som startede i Australien har nu også berørt danske brugere.

Vi har set følgende besked lande på låste iPhones/iPads:

"Device hacked by Oleg Pliss.
For unlock device YOU NEED send a voucer code by 50$ to one of this (Moneypack/UKash/PaySafeCard)"

En anden variant:
"Device hacked by Oleg Pliss. $100 USD/EUR (sent by paypal to lock404@hotmail.com)"

For god ordens skyld er måske på sin plads at understrege at Oleg Pliss er en velkendte og respekteret software udvikler som naturligvis intet har med dette at gøre. Spørgsmål er om sammenfaldet af Oleg Pliss og "phish" er tilfældigt?!


En sandsynlig grund til at dette kan lade sig gøre skyldes at folk frivilligt overdrager deres Apple ID til de kriminelle via phishing kampagner som nedenstående:


Med disse login oplysninger kan den kriminelle logge ind og låse enhederne. Og som det fremgår kan det blive en dyr oplevelse.

Ofre som oplever denne svindel skal kontakte Apple support og IKKE sende penge til disse it-kriminelle:
http://support.apple.com/kb/ht1212

IT-kriminelle har sendt os på arbejde på en dansk helligdag.

En bølge af phishing e-mails ruller for øjeblikket ind mod danske indbakker og foregiver at komme fra NemID. kampagnen er massiv og er sendt til flere end 100.000 e-mail adresser. Flere har modtaget samme e-mail flere gange.

Målet er at lokke naive danskere til at sende NemID brugernavne og passwords samt engangskoder fra det private nøglekort. Operationen udføres ved at sende en uønsket e-mail med følgende indhold til vilkårlige e-mail adresser: 


De it-kriminelle anvender følgende kompromitterede websider til at fiske brugernavne og passwords:

pesonastudio.com
bzp-ruza.ru
laserdent-kursk.ru
salamkka.com
realweb.su
smebel.su
vantim.ru
lpmoscow.ru

[..]

Vi har tidligere dokumenteret at disse kampagner rent faktisk fungerer, idet flere vælger at tro på indholdet og derfor frivilligt opgiver både brugernavne og passwords, men også uploader billeder af deres NemID nøglekort.

Vi har blokeret samtlige domæner, som er knyttet til denne kampagne i CSIS Secure DNS, og har samtidig indledt nedskydningen af det uønskede indhold.

Kampagnen udspringer fra samme gruppe, som tidligere har fisket efter NemID koder:
https://www.csis.dk/da/csis/blog/4213/
https://www.csis.dk/da/csis/blog/4237/

CSIS advarer herved omkring endnu en NemID phishing kampagne som netop er blevet skudt i gang. 

Indholdet af phishing mailen er ændret en smule, mens metoden til at høste data fra ofre er identisk med tidligere kampagner. Vi mistænker, af samme grund, at det er den samme bande som står bag. Bemærk også at indholdet er skrevet på bedre og mere korrekt dansk end tidligere kampagner, men som det fremgår af vedhæftede skærmdump, mangler der danske karakter (æøå) i indholdet.

Se skærmdump af phishing mailen herunder:


Også denne phishing kampagne igangsættes på en dansk helligdag. De tidligere to kampagner, fra samme gruppe, blev skudt i gang på netop Kr. Himmelfartsdag og St. Bededag. Hvorvidt dette udelukkende er tilfældigt kan være svært at afgøre, men vi kan mistænke at personerne bag disse kampagner har et mere tæt og indgående kenskab til danske forhold end de øvrige phishing kampagner, hvor mange er udsprunget fra Marokko. En ting er i hvertfald sikkert. De ved hvordan danskernes NemID fungerer, og de udnytter dette til at fiske de følsomme data.

I den konkrete kampagne, som netop er blevet søsat, peger linket på følgende URL

http://sendhack.com

Denne flytter brugeren videre til en anden - sandsynligvis kompromitteret - webside:

http://trance-energy.org

En anden bølge, som kører synkront med denne, og med samme indhold, anvender andre URLs:

http://tuzlaklimaservisi34.info
http://tergan.ru
http://a-spectuning.com

Vi har blokeret domænerne i CSIS Secure DNS og vi følger situationen tæt og med stor bekymring.

Under sidste kampagne valgte ikke færre end 56 vilkårlige danskere at opgive følsomme oplysninger til de it-kriminelle, herunder brugernavn og password til NemID samt en kopi af deres NemID nøglekort.

Hvorvidt de fiskede oplysninger er blevet misbrugt, og i hvilket omfang, er endnu uklart.

Udover at blokere domænerne i CSIS Secure DNS har vi også igangsat nedskydning af indholdet fra de servere som misbruges i denne kampagne.

CSIS har i løbet af indeværende uge oplevet en sværm af phishing e-mails udsendt til vilkårlige danske e-mail adresser. Kampagnerne udnytter både Nordea og Danske Bank brands. Et par eksempler på de uønskede e-mails findes herunder:


I går (onsdag) skiftede angriberen til at misbruge Nordea's brand:


Hvis en uforsigtig bruger vælger at klikke på det medfølgende link vil denne lande på en forfalsket webside som fisker efter flere personlige oplysninger:


CSIS har løbende nedskudt de kompromitterede websider, som anvendes i disse kampagner, og vi har samtidig en god ide om hvem som står bag.

De seneste phishing e-mails er skrevet på næsten fejlfrit dansk. Det øger naturligvis risikoen for at folk lader sig fiske og overdrager sensitive data til de it-kriminelle.

Vi har blokeret samtlige domæner i CSIS Secure DNS og Heimdal Pro/corporate.

Lokkemaden er en gymnast som ødelægger sin dragt under en opvisning. Det fører til, hvis man skal tro billedet, en yderst pinlig situation. Vi har censoreret billedet.

Er det spændende at se og endsige klikke på den slags? Skal man tro de mange Facebook brugere, som spreder dette (mere eller mindre ufrivilligt) må svaret være: ja.

Dette er en klassisk likejacking kampagne. Man skal synes godt om kampagnen, som samtidig benytter lejligheden til poste samme indhold til alle venner og bekendte på facebook. Indlysende nok giver det en viral effekt.


CSIS har blokeret domænet som anvendes i kampagne i CSIS Secure DNS og Heimdal Pro/corporate.

Husker du "Strandet i London/Leeds" bølgen? Vi dækkede denne mailsvindel med en blog post på vores hjemmeside: https://www.csis.dk/da/csis/blog/4228/

Nu er svindlerne tilbage med en snert af kreativitet, hvor danskere rent faktisk rejser i flokke mod sydens sol.

Den seneste twist af dette tusgamle scam er, at man nu er strandet i Limazzo, Cypern.

De nye "strandet i ..." svindelmails ankommer med følgende indhold:


Fremgangsmetoden er den samme som tidligere. Disse e-mails udsendes fra "hackede" e-mail konti og ankommer fra folk man kender fordi modtageren optræder i adressekartoteket hos den hackede bruger.

Det bedste man kan gøre er at slette disse e-mail og ikke respondere på den slags, men inden man gør det, bør man overveje om det var en ide at kontakte den person hvorfra disse scam mails kommer. Personen skal have tilbageført kontrol med kontoen. Se linket til Microsoft under links omkring hvordan dette gøres. Der er desværre ingen garanti for at alle ens e-mails er intakte efter sådan en kompromittering.

Yderligere oplysninger om "strandet i ..." e-mail svindel findes på følgende websider:
http://www.version2.dk/blog/naesten-snydt-af-email-scam-er-du-blevet-snydt-67722
http://sitestory.dk/wordpress/2013/10/13/falsk-e-mail-med-bon-om-hjaelp/
http://windows.microsoft.com/da-dk/windows/outlook/abuse-phishing-junk-email

Tak til Jan H. Backe for tippet.

IT-kriminelle har igangskudt en Likejacking kampagne som lukrerer på nedskydningen af Malayiske MH17 i Ukraine. De virale kampagner spreder sig både via Facebook og Twitter.

Likejacking kampagnen som spreder sig viralt, og også leverer skadelig kode, spreder sig med indholdet (mellemrum indlagt af CSIS):

[ACTUAL FOOTAGE]Missile Fired From Pro-Russian Militants to Malaysian Airliner MH-17! http://t[.]co/0wCNVRvAFH

URL-forkorten flytter brugeren til websiden (mellemrum indlagt af CSIS):
http://webflix media.com/plain-crash/footageMH17crash.php

Det er et domæne, som også hoster andre uønskede Facebook Likejacking kampagner og som vi derfor allerede har blokeret i CSIS Secure DNS.

Samme lokkemad misbruges også i en rendyrket Facebook likejacking kampagne. Her lokkes brugeren ind på en anden webside, hvorfra der også leveres skadelig kode. Se  skærmdump herunder:

Vi har allerede blokeret alle domænerne i CSIS Secure DNS og Heimdal PRO og corporate.

EMET er et gratis værktøj, som kan supplere sikkerhedsprodukter og forhindre samt besværliggøre kørsel af skadelig kode på ens Microsoft Windows system. CSIS anbefaler at virksomheder implementerer EMET som et ekstra lag af beskyttelse på klienterne i netværket. Vi stiller os gerne til rådighed med teknisk assitance og anbefalinger i forbindelse med udrulning af EMET. 

EMET fungerer perfekt sammen med Heimdal Security Agent der i samspil med hinanden kan højne sikkerheden på klient maskiner både i det interne netværk samt i eksterne installationer, eksempevis hjemmearbejdspladser og roaming klienter. Private brugere vil også opnå en fordel ved at installere og konfiguere EMET. Selv i dens standardinstallation som ikke kræver nogen yderligere konfiguration end blot at installere programmet, er det en øgelse af den generelle sikkerhed på klienten.


EMET 5.0 er den nyeste version af Enhanced Mitigation Experience Toolkit. Der er i denne version fundet plads til primært to nye former for beskyttelse. 

Den første er den nye "Attack Surface Reduction" (ASR) mitigation som vil afhjælpe og forhindre angreb mod særlige moduler eller plug-ins i en applikation. Som et eksempel er det nu muligt, at konfigurere EMET på en sådan måde at browsere ikke kan indlæse Java plug-ins fra eksterne websider, men stadig tillades at køre Java plug-ins fra interne firma websider og servere.

Det andet tiltag hedder "Export Address Table Filtering Plus" (EAF+) som introducerer to nye metoder til at afbøje mod avancerede angreb. EAF+ tilbyder en ny "page guard" beskyttelse mod memory read operationer. 

Yderligere tekniske oplysninger:
http://blogs.technet.com/b/srd/archive/2014/07/30/announcing-emet-v5.aspx

EMET 5.0 kan downloades gratis fra:
http://blogs.technet.com/b/msrc/archive/2014/07/30/general-availability-for-enhanced-mitigation-experience-toolkit-emet-5-0.aspx

Hvis du vil vide mere om Heimdal Security, så anbefaler vi, at man besøger vores nye opdaterede webside på adressen:
https://heimdalsecurity.com/da/

Dette er vores officielle respons på en pressemeddelelse frigivet af HoldSecurity under overskriften: "YOU HAVE BEEN HACKED!" hvor selskabet hævder at have indsamlet 1.2 milliarder e-mail adresser og tilhørende passwords fra en cyberkriminel ring, døbt "Cybervor". Pressemeddelelsen kan findes her: http://www.holdsecurity.com/news/cybervor-breach/

HoldSecurity beskriver hvordan en efterforskning af en russisk gruppe af cyberkriminelle har givet adgang til flere end 1.2 milliarder e-mail adresser og passwords. Pressemeddelsen lander på et tidspunkt hvor BlackHat og Defcon løber af stablen i USA, men også belejligt på samme tid, hvor Hold Secuirty lancerer en kommerciel datalækage service. Dette er vigtigt at have i baghovedet når man læser pressemeddelelsen og inden man går i panik, og får kaffen galt i halsen …

Det er astrononomiske tal som præsenteres i pressemeddelelsen. De kan være umulige at forholde sig til, men ikke desto mindre er der flere ting, man skal have med i betragtningen:

1)    Hovedparten af alle Internet brugere har flere profiler/konti på Internettet som giver adgang til forskellige services. Der er således ikke tale om 1.2 millioner unikke brugere, men et betydeligt mindre antal.

2)    Operationen og gruppen som Hold Security har døbt ”CyberVor” er ikke unik fra andre cyberkriminelle grupper som CSIS monitorerer i det daglige. De 1.2 milliarder kompromitterede e-mail adresser og passwords er ikke lækket eller kompromitteret over en nat men snarere over en længere periode hvor samme gruppe har købt sig til data hos andre cyberkriminelle hvorved de let har danne sig et fundament hvorfra de har kunnet indsamle den store mænge data.

3)    IT-kriminelle har i årevis solgt brugernavne og passwords samt traffik til andre kriminelle. De høstede data anvendes til at tjene penge og er ikke et unikt fænomen. Det er uden tvivl en stor spirende undergrundsøkonomi men den er ikke opstået ud af det blå men udviklet sig over år.

100.000 inficerede maskiner i Danmark
I Danmark har CSIS dokumentation for at op imod 100.000 brugere er inficeret med malware/virus og koblet ind i et BOTnet. Hvis vi antager, at hver enkelt bruger anvender ca. 20 forskellige services på Internettet, så som Gmail, Hotmail, Twitter, Facebook osv. kan vi nå frem til et tal for Danmark der ligger på 2-3 millioner konti. Dertil skal ligges alle de websider som er usikre, og som uden at vide det, kan misbruges til at høste sensitive data, som slutbrugeren selv har oprettet, da de etablerede en konto/profil på den pågældende webside/service.

De mange lækkede data stammer fra primært to kilder. For det første fra websider som ikke er forsvarligt sikrede og som er sårbare overfor banale angreb der gør det muligt at udtrække data, og for det andet hos den almindelige slutbruger, som uden at vide det kan være del af et BOTnet fordi maskinen de anvender ikke er sikker og inficeret med virus/malware.

Løsningen på problemet skal deles op i to; dels skal webside ejerne have bedre styr på sikkerheden. Det kan de bl.a. opnå ved at gennemføre tekniske sårbarhedsscanninger og implementere to-faktor autentifikation (2FA). Og dels skal almindelige slutbrugere have bedre styr på deres software og malware beskyttelse. En stor andel af maskiner, som lækker data, er indrullet i et såkaldt BOTnet (en klynge af virusinficerede maskiner som er under kontrol af kriminelle). Årsagen til at man lander i et BOTnet er hyppigt, at man ikke har opdateret sin software på systemet (primært tredjepartsprogrammer) og usikker brugeradfærd. Heimdal, som er gratis til ikke kommerciel brug, kan automatisk sikre at maskinen løbende opdateres, ligesom Secure DNS kan beskytte mod datalækage. Heimdal kan downloades fra: https://heimdalsecurity.com

Webside ejere
Webside ejere bør sikre at deres webside(r) er forsvarligt beskyttede og ikke sårbare overfor eksempelvis klassiske SQLi angreb. Samtidig bør man overveje at implementere To-faktor-authentifikation (2FA) som flere store serviceudbydere allerede har gjort. 2FA kan medvirke til at beskytte kunder mod misbrug af de services som tilbydes via websiden.

Virksomheder
Danske virksomheder kan kontakte CSIS på kontakt@csis.dk eller på vores hovednummer: 88136030. Vi kan bl.a. hjælpe med at illustrere virksomhedens risikoprofil og gennemføre effektiv anti-datalækage tiltag.

Desværre er der også denne gang tale om en falsk konkurrence når naive Facebook brugere tror de kan få fingrene i et par lækre Sony MDRZX100 hovedtelefoner.

Konkurrencen gør brug af en Facebook app og annonym webside, som ruller vilkårlige mennesker der kan lokkes til at klikke på konkurrencen og acceptere at app'en installeres, ind i en konkurrence karussel. Samtidig installeres en app, som anvendes til at sprede det uønskede budskab ud til venner og bekendte, hvorved konkurrencen opnår en viral effekt.

Kampagnen udspringer fra domænet gaveregn[.]net som er registreret via ENOM og med "Whoisprotect", hvilket betyder at man ikke umiddelbart kan se hvem der står bag konkurrencen.


Vi har blokeret domænet i CSIS Secure DNS og Heimdal PRO for at beskytte vores kunder og brugere mod denne svindel. I løbet af få timer i går aftes blokkerede vi for mere end 100 opslag mod det uønskede domæne. Det indikerer at kampagnen spredte sig kraftigt.

Hvis man er blandt de mange tusindende, som har ladet sig lokke til at installere den uønskede Facebook app, bør man fjerne den fra sin Facebook profil. App'en opnår følgende tilladelser:

Adgang til:

- Dine grundlæggende oplysninger
- Dine grupper
- Dine historier, begivenheder, billeder, statusopdateringer og videoer
- Opslag i dine nyheder
- Slå indhold op på dine vegne

Fjern den pågældende app via:

Generelle kontoindstillinger -> Apps

IT-kriminelle har skudt endnu en spamkampagne i gang som skal lokke vilkårlige mennesker til at svare tilbage på et job. Virkeligheden er desværre ikke helt så rosenrød som det udstilles i e-mailen. Der er nemlig ikke tale om et regulært job, men derimod et forsøg på at få naive danskere til at fungere som pengemuldyr. Vi har flere gange advaret omkring dette scenarie bl.a. i denne artikel fra 2007: https://www.csis.dk/da/csis/news/643/

Den nye bølge ankommer med følgende indhold:

Emnelinje:

RE: my CV
CV
you cv

Indhold:

Good day!

We considered your resume to be very attractive and we thought the vacant position in our company could be interesting for you.

Our firm specializes in consultation services in the matter of bookkeeping and business administration.
We cooperate with different countries and currently we have many clients in Europe.
Due to this fact, we need to increase the number of our destination representatives' regular staff.

In their duties will be included the document and payment control of our clients.
Part-time and full-time employment are both currently important.
We offer a flat wage from 1200 EUR up to 3,000 EUR per month.

If you are interested in our offer, mail to us your answer on edmund@myeurojobs.com,and we will send you an extensive information as soon as possible.

Respectively submitted
Personnel department


Bemærk, at man skal svare tilbage til e-mail adressen: [%vilkårligt navn%]myeurojobs.com. Det pågældende domæne oversættes til en IP adresse, som er vært for andre og tilsvarende scams. Vi kan bl.a. se domæner som f.eks. innovative-capital.net, generalmotors1.com og 365349.com.

Domænet leveres via følgende navneservere:

ns1.cardealerchicagoil.net -> 92.62.131.185 (Lithauen)
ns2.cardealerchicagoil.net -> 205.76.221.31 (USA)

Navnserverne hoster også andre muldyr-scams bl.a. rettet mod brugere i USA:

usaidjob.com
usacareergov.com
grandunion-ltd.net

Vi har blokeret alle disse domæner i CSIS Secure DNS og Heimdal PRO. Vi anbefaler at man sletter disse uønskede e-mails og ikke lader sig friste af uopfordrede jobtilbud som kommer fra personer og virksomheder man ikke kender.