Banditterne bag en raffineret informationstyv forsøger at rekruttere muldyr i Danmark igennem flere massive spambølger, som her til formiddag har ramt vilkårlige danske indbakker.
CSIS advarer mod at lade sig lokke, da der åbenlyst er tale om it-kriminelle som forsøger at rekruttere naive danskere til at fungere som muldyr for uautoriserede banktransaktioner.
Fælles for kampagnen er, at vi kan forbinde det domæne, som anvendes til at svare tilbage på job-tilbuddet, med en gruppe af it-kriminelle, som systematisk forsøger at høste sensitive data fra inficerede maskiner.
Herunder eksempel på disse uønskede e-mails:
Fra: [Spoofet / forfalsket afsender adresse]
Emnelinje [flere variationer bl.a.]
- Great Opportunity - Environmental Company Expanding and Looking for Reps
- Environmental company currently looking for partners from all over the world.
- Superb Chance for Employment for Worldwide Population - Environmental corporation rooting out and Recruiting Potential
Bemærk at e-mailen lokker med en stor månedlig indkomst, og at svar på dette jobtilbud skal rettes til [vilkårligt navn]@consult- studio.com (kopi af komplet e-mail herunder).
Samme domæne, som er registreret d. 29.9. 2013 med åbenlyst falske whois data:
Registrant Contact:
Jerry I. Gibson
Jerry Gibson
858-384-3364 fax: 858-384-3443
4815 Hamill Avenue
California CA 02110
us
Navneserveren som anvendes ser ud som følgende:
consult-studio.com NS ns1.golden-yacht.com
consult-studio.com NS ns2.golden-yacht.com
NS serveren sidder på IP adressen 164.215.38.221 som vi kan binde til en anden kampagne der netop nu kører mod England: england-trading.com.
Et opslag på det domæne giver os følgende whois data:
Registrant Contact:
Lisa J. Carter
Lisa Carter @england-trading.com
510-597-4160 fax: 510-597-4433
1901 Clifford Street
Oakland CA 94609
us
Og med navneserverne (mellemrum indlagt af CSIS):
ns1.golden-yacht.com og ns2.golden-yacht.com.
Endvidere har man tidligere i kampagnerne mod England anvendt plex-consult.com som også peger på samme navneservere.
Fælles for alle domænerne er at er registeret igennem bizcn.com i Kina.
Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO.
Undlad at lade dig friste som muldyr. Det kan få ubehagelige konsekvenser. Slet disse e-mails.
Læs mere om muldyr på vores hjemmeside på adressen:
http://www.csis.dk/da/csis/news/643/
↧
CSIS Blog: Massiv muldyrsrekuttering mod Danmark
↧