Identifiering av bluffmail

Bluffmail om att uppdatera betalningsinformation

Bluffmail där man uppmanas att uppdatera betalningsinformation är också väldigt vanliga. I detta fall försöker de framstå som företaget Paypal.

Notera dock att avsändaradressen inte har något med paypal att göra.

Mail som detta där det finns en knapp för att logga in för att uppdatera information är i princip alltid falska. Lita inte på sådana länkar. Kontrollera länken genom att föra över muspekaren över den först och vänta tills länken dyker upp. Kontrollera länken och vilken adress den leder till.

Vill man kontrollera om det stämmer så ska man gå till företagets sida manuellt, genom att skriva in den riktiga adressen själv, eller söka fram adressen på nätet, och sen i så fall logga in där och kontrollera betalningsinformationen. Seriösa företag lägger aldrig in länkar direkt till inloggningssidor i mailen.

I detta fall så uppmanas man även i mailet att markera mailet som ”ej skräpmail” (den röda texten), om det har hamnat i skräpmappen. Bara det är en stor varningssignal.

Väldigt vanligt att Postnord utnyttjas för phishing-försök

Här är ett väldigt vanligt exempel på phishing-försök.

Det är väldigt många bluffare som utnyttjar leveransföretag som Postnord, DHL, Schenker m.m. för att lura folk att klicka på länkar i mailen och antingen betala och lämna ifrån sig kreditkortsinformation, eller att lämna ifrån sig någon inloggningsinformation.

Om du fått ett liknande mail, tänk efter. Har du verkligen beställt ett paket? Vad säger informationen i mailet?

I detta fall står det ”smartphone vann i tävling” och avsändare av paket ”elgiganten”. Har du inte deltagit i någon tävling så kan det omöjligt vara korrekt, och svenskan är också tvivelaktig här.

Har du faktiskt beställt något så får du alltid ett paket-id som du kan fylla i på transportföretagets riktiga webbsida för att kontrollera var ditt paket befinner sig. Klicka inte på länken i mailet utan gå manuellt till transportföretagets webbsida och klistra in paket-id:t som du fått av leverantören.

Mail med efax, försök till stöld av inloggning

Detta är ett försök till stöld av inloggningsinformation via en legitim tjänst som heter efax. Man kan testa tjänsten i 30 dagar, och under den tiden så skickar de ut en massa mail med en länk till ett dokument som endast innehåller en länk till en annan sida (den högra bilden).

Länken leder till en falsk inloggningssida för Microsoft 365, där de vill att man ska skriva in användarnamn och lösenord.

Den första länken från mailet är alltså till en legitim tjänst som visar dokument i webbläsaren, den andra länken i själva dokumentet är ett phishing-försök.

Var noga med att ni alltid kollar adressen på sidor ni kommer till, om ni har råkat klicka på en länk i ett mail, att det faktiskt är en legitim sida. I detta fall så är det tydligt på adressen i adressfältet att det inte är rätt sida man hamnat på.

Notera också länkar och så på sidan ni hamnat på. I detta fall fungerade inga länkar annat än inloggningsknappen. Allt annat var en statisk bild.

Det första man alltid ska göra är att kontrollera avsändaren, att det är någon man känner till och förväntar sig att få en fil från. Annars ska man inte klicka på något i mailet. Avsändaren (och även mottagaren i detta fall) är här en underlig adress som användaren inte kände igen.

Försök till stöld av inloggning

Här är ett längre exempel på ett ovanligt väl utformat phishing-försök. Mailet är väl formulerat och emulerar det riktiga företagets visuella stil väl.

Det som avslöjar det hela är avsändaradressen i detta fall som bevisligen inte är loopias support. Även mottagaradressen är här densamma. Det är i sig inget konstigt för reklamutskick, men det är samma falska adress.

Om man också tittar på länken längre ned och för över muspekaren över den så visas länken, och det är i detta fall en så kallad förkortad länk med webbtjänsten ”tinyurl”. Det är alltid något man skall misstänka i ett mail. Det kan vara legitimt ibland när man har en absurt lång länk som man inte vill skriva ut i sin helhet, men i mail som dessa skall det aldrig förekomma.

Värt att notera är även att om man kollar upp bankgironumret som står i mailet så är det faktiskt Loopias konto. De är inte intresserade av pengar i detta fall, utan de vill komma åt inloggningsinformation.

Om man i detta fall går vidare till länkarna (OBS! detta bör ni ALDRIG göra om ni inte är helt säkra på att länkarna är legitima) så hamnar man på en sida som ser ut nästan exakt som loopias sida.

De har här kopierat loopias kod och lagt upp som en ny sida. Man kan dock se på själva adressen i adressraden att det inte är loopias sida man har hamnat på.

Det här är ett annat viktigt tips. Om ni skulle ha klickat på en länk i ett mail utan att först titta på var den leder, notera noggrant länken i adressfältet och hur den är uppbyggd. Dubbelkolla gärna att företagets riktiga sida faktiskt har domännamnet som står i adressraden.

Denna sida kommer förmodligen försvinna inom kort. De försöker lura så många som de kan så fort som de kan, så att de sedan kan radera sidan och ta bort spåret.

Huvudtipset här är att ALDRIG logga in på en sida som du kommit till från en länk i ett mail. Gå ALLTID till företagets sida manuellt, utan att klicka på länkar i ett mail, så att du är säker på att du inte loggar in på en falsk sida.

Försök till uppfångst av lösenord till Office 365

Detta mail försöker utge sig för att komma från Microsoft, med information om ett lösenord som gått ut, och som behövs förnyas.

De vill att man klickar på länken i mailet och ”förnyar” lösenordet.

Man kan se att avsändaren försöker utge sig för att vara företagets IT-avdelning, men man ser sedan på den egentliga epostadressen att det inte stämmer.

För man över muspekaren över länken ser man också att den leder till en okänd sida, som definitivt inte har något med Microsoft att göra.

Meddelande med text i bild och bifogad HTML-fil

• Detta är ett nätfiske-mail där texten ligger som en bild. Det gör de för att försöka lura spamfilter (spamfilter läser bara text som standard).
  I detta fall, eftersom mailprogrammet var inställt på mörkt tema så var det väldigt uppenbart att det är en bild, och inte riktig text.
• Det är en bifogad HTML-fil i mailet som de vill att man öppnar. Vi har aldrig stött på ett mail där detta är legitimt.
• Det sista är att avsändaradressen försöker utge sig för att vara ”itsnillet.se”, men man ser sedan den riktiga avsändaradressen, och den är inte legitim.
  Observera! Allt som står på avsändarraden är lätt att förfalska, så även om mailadressen ser ut att vara legitim, så kan det vara fel ändå.
  I detta specifika fall så hamnade mailet direkt i skräpmappen, men det hänger lite på vilket sorts skräpfilter man har, och hur det är inställt.