Af Eskil Sørensen, 21/04/20
Cyberkriminelle er begyndt at bruge voicemail-notifikationer med Coronavirus/Covid-19 som tema. Dette for at hugge logininformationer fra brugerne. Det skriver sikkerhedsfirmaet Phishlabs i en blog.
Metoden er i virkeligheden klassisk, hvor en bruger modtager en mail med en vedhæftet fil. Den vedhæftede fil er imidlertid navngivet på samme måde som en audiofil. Filen tjener det formål, at det skjuler et link som ellers kunne se mistænkeligt ud og blive opdaget af sikkerhedsteams. Samtidig forventes det, at en voicemail som regel modtages som vedhæftninger.
Når man klikker på vedhæftningen, kommer man til en normalt udseende loginside til Microsoft Office 365, som i virkeligheden er en phishingside. Forsøger man at logge ind på siden med sit brugernavn og password, har man foræret logininformationerne til de kriminelle, der derefter kan få adgang via den rigtige Office 365-loginside og bruge brugernes informationer i kriminelle aktiviteter som fx afpresning, ændring eller offentliggørelse af fortrolige oplysninger, udskiftning af brugeroplysninger osv.
Hvordan undgår man at falde i?
Phishlab viser et eksempel, hvor mailen har emnet ”You missed a Corona Update (0:25 sec)", der konkret går efter Microsoft Office 365-brugere. Allerede her bør man skærpe sin opmærksomhed, for der er i fald ikke i Danmark tradition for udsendelse af beskeder fra myndigheder ved telefonopkald. En vedhæftet fil fra en ukendt afsender er også et faresignal. Hvis man alligevel kommer frem til den falske login-side og anvender brugernavn og kodeord, så er man – hvis man har to-faktorautentifikation – sikret af, at man ikke får en besked om, at man aktivt skal indtaste en kode eller på anden måde autentificere sig. Derfor vil en uvedkommende ikke kunne bruge brugernavnet og kodeordet til at få adgang til ens konto alligevel. Det er derfor to-faktorlogin er en rigtig god sikkerhedsmekanisme.
DKCERT har ikke oplysninger om, at metoden er set anvendt i Danmark, men det kan ikke udelukkes, at det også kan sker her.
Links: