Norske domener under angrep

Norske domener under angrep

Ikke la deg lure av utspekulert epost-spam fra "Flysas.com"!

De siste par dagene har det vært store epostangrep rettet mot norske domener.

Over to millioner virusinfiserte eposter er stoppet på vei til både private og offentlige domener i Norge. Mange blokkeres, men mange slipper også igjennom.

I et av Norges største politiske partier skal for eksempel antall blokkerte eposter være oppe i 522 per ansatt. Computerworlds eget domene, IDG.no slipper heller ikke unna.

Reisespam

- Det vi ser er et veldig konsentrert angrep mot epost-servere og domener relatert til Norge, i tillegg til noen danske, forteller Frode Lein Sørbø i Comendo.

Den massive mengden epost kommer fra et foreløpig ukjent, globalt botnet. Meldingen er rettet mot feriefolket, og ifølge Comendo er det stor sannsynlighet for at mottakere åpner den infiserte meldingen.

Eposten gir seg nemlig ut for å inneholde viktig reiseinformasjon, og i en tid hvor svært mange planlegger ferie og reiser er det fort gjort å gå i fella. Både bookingreferanse, reisedato og reisereferanse er inkludert.

- De epostene som kommer til brukerne er knyttet til en melding som er relatert til gardermoen flyplass, og den er godt utformet. Heldigvis har vi nok til å kartlegge blokkeringer, men andre aktører har problemer med dette angrepet, sier Sørbø.

Avsender i eposten gir seg i tillegg ut for å være fra et kjent flyselskap, spesielt "@flysas.com". Underskriften i eposten er ofte riktignok fra Norwegian, så er man litt obs kan man unngå å gå i fella.

Vedlagt virus

Det er ikke en nettfiskepost det er snakk om, selve trusselen ligger i en vedlagt zip-fil. Filen er kryptert, men uten passord, og blir dermed først skannet av antivirus når den åpnes og pakkes ut av mottaker.

Heller ikke Computerworld slipper unna og spammes med reiseinformasjon. Heldigvis blokkeres epostene før de dumper ned i innboksen, men alle er ikke like heldige.

Vær på vakt, ikke pakk ut en zip-fil fra "flysas.com" med avsender Norwegian.

Saken oppdateres når ny informasjon blir tilgjengelig.

Detaljer om eposten

  • Sender (Adressefelt): Avsenderadressene rullerer, men gjenspeiler flyselskaper i domenenavnet og oftest er det «flysas.com» som benyttes.
  • Subject - (Emnefelt): Emnefeltet er knyttet til engelsk reiseinformasjon, men det siste døgn ser vi en gjentagende tekst med litt variasjoner eksempelvis: «Travel information, 28 Jun 2013, Ref. 11VFFF»
  • Body - (Tekstinnhold):
    Det er varierende engelsk tekst, men knyttet til SAS, Norwegian og andre flyselskaper. Eksempel på tekst: «Booking reference: A3HX6KFlight info DY1052 - 28 Jun 2013 11:00 Oslo-Gardermoen Seats reserved Thank you for traveling with Norwegian!»
  • Attachement - (Vedlegg):
    E-postene har vedlagt en komprimert fil av typen zip. Denne filen inneholder et Windows basert virus som ble analysert hos VirusTotal 2013-06-20 13:39:56.

Kilde: Comendo

Les om:

Sikkerhet