CSIS advarer herved omkring endnu en NemID phishing kampagne som netop er blevet skudt i gang.
Indholdet af phishing mailen er ændret en smule, mens metoden til at høste data fra ofre er identisk med tidligere kampagner. Vi mistænker, af samme grund, at det er den samme bande som står bag. Bemærk også at indholdet er skrevet på bedre og mere korrekt dansk end tidligere kampagner, men som det fremgår af vedhæftede skærmdump, mangler der danske karakter (æøå) i indholdet.
Se skærmdump af phishing mailen herunder:
Også denne phishing kampagne igangsættes på en dansk helligdag. De tidligere to kampagner, fra samme gruppe, blev skudt i gang på netop Kr. Himmelfartsdag og St. Bededag. Hvorvidt dette udelukkende er tilfældigt kan være svært at afgøre, men vi kan mistænke at personerne bag disse kampagner har et mere tæt og indgående kenskab til danske forhold end de øvrige phishing kampagner, hvor mange er udsprunget fra Marokko. En ting er i hvertfald sikkert. De ved hvordan danskernes NemID fungerer, og de udnytter dette til at fiske de følsomme data.
I den konkrete kampagne, som netop er blevet søsat, peger linket på følgende URL
http://sendhack.com
Denne flytter brugeren videre til en anden - sandsynligvis kompromitteret - webside:
http://trance-energy.org
En anden bølge, som kører synkront med denne, og med samme indhold, anvender andre URLs:
http://tuzlaklimaservisi34.info
http://tergan.ru
http://a-spectuning.com
Vi har blokeret domænerne i CSIS Secure DNS og vi følger situationen tæt og med stor bekymring.
Under sidste kampagne valgte ikke færre end 56 vilkårlige danskere at opgive følsomme oplysninger til de it-kriminelle, herunder brugernavn og password til NemID samt en kopi af deres NemID nøglekort.
Hvorvidt de fiskede oplysninger er blevet misbrugt, og i hvilket omfang, er endnu uklart.
Udover at blokere domænerne i CSIS Secure DNS har vi også igangsat nedskydning af indholdet fra de servere som misbruges i denne kampagne.
↧
CSIS Blog: Grundlovsdag markeres med ny phishing bølge
↧