En ny snedig phishing kampagne, som skal fiske NemID logins og kort, indeholder sammenkørte private data på ofret. Det kan medvirke til at skabe en høj grad af troværdighed. Det er første gang at vi har observeret, at svindlerne bag disse phishing kampagner målrettet skyder efter udvalgte ofre, og tilmed inkluderer flere personlige oplysninger i den uønskede e-mail.
En gruppe svindlere har i løbet af de seneste dage udsendt en begrænset mængde phishing mails med målet at lokke modtageren til at videregive følsomme private oplysninger, herunder et billede af det personlige NemID kort. Denne kampagne adskiller sig ved at være langt bedre udformet og mere målrettet end tidligere phishing kampagner.
Harpun phishing
Den nye kampagne har fået påført et tykt lag social engineering der opgraderer svindlen til det som vi i sikkerhedsbranchen kalder et harpun-angreb.
Et skærmdump findes herunder:
Ser vi nærmere på denne e-mail, så fremgår det tydeligt at de kriminelle på en række områder har forfinet deres teknik ved at tilføje personlige oplysninger:
Det skræmmende er, at de tilføjede private oplysninger, herunder de fire cifre i kreditkort nummeret som vist i ovenstående skærmdump, er korrekte og matcher ofrets kortoplysninger.
Vi har tidlige, som led i en række generelle råd anbefalet, at hvis den pågældende e-mail som modtages, er uden navn og andre person specifikke oplysninger - eksempelvis: "Kære NemID kunde" - så er der stor sandsynlighed for at det er svindel, idet vi antager at afsenderen bør kende modtagerens navn. Den spilleregel er med denne nye kampagne blevet ændret.
Samkørsel af data
Af indtil videre ukendte metoder er det lykkedes svindlerne at tilegne sig muligheden for at samkøre navn, mailadresse, korttype og de fire sidste cifre i kortnummeret og inkludere disse i den e-mail som sendes til modtageren. Det tyder på en kompromitteret webshop der har haft disse informationer liggende, men det er på nuværende tidspunkt spekulation.
CSIS anbefaler, at man følger vores generelle råd omkring sikker e-mail håndtering og phishing:
https://www.csis.dk/da/csis/news/3619/
Vi nar naturligvis blokeret de uønskede domæner i CSIS Secure DNS og Heimdal PRO/Corporate.
↧
CSIS Blog: Harpun phishing mod NemID brugere
↧