PHISHING: Det er enklere å nå fram med et svindelforsøk når offeret sitter på hjemmekontor. Nå advarer Norsis mot en slik kampanje. (Ill: Istock)
PHISHING: Det er enklere å nå fram med et svindelforsøk når offeret sitter på hjemmekontor. Nå advarer Norsis mot en slik kampanje. (Ill: Istock)

Phishingkampanje mot kommuneansatte og andre på hjemmekontor

Falsk Office365-oppdatering.

Publisert Sist oppdatert

Norsk senter for informasjonssikring (Norsis) advarer mot en phishingkampanje som synes særlig rettet mot kommuneansatte, skoleelever og muligens andre som jobber fra hjemmekontor. Svindelen er en e-post som tilsynelatende er et varsel om oppdatering av Office365, «Outlook Web App 2020» eller lignende, der mottakeren ledes til en nettside for å oppgi brukerdata og passord.

Norsis opplyser at de antar at denne kampanjen har pågått en stund, og at den under normale omstendigheter ville blitt stoppet av virksomhetenes brannmurer. Men på hjemmekontoret er ikke brukeren like godt beskyttet.

Mer utsatt

De aller fleste it-brukere har dårligere beskyttelse på hjemmekontoret enn på jobben, og det er dette denne kampanjen utnytter. Den falske nettsiden brukeren ledes til via e-posten vil kunne blokkeres av virksomhetens brannmurer når phishingforsøket skjer på jobben, mens hjemmefra har de færreste slike sperremekanismer installert. Norsis konkluderer derfor med at brukerne er mer utsatt nå, når svært mange jobber fra hjemmekontoret.

Svindelforsøkene som er observert viser at avsenderen er en gyldig e-postadresse i organisasjonen. Det er altså en allerede kompromittert konto som er utgangspunktet. Selve e-posten inneholder en lenke som leder til et nettsted der brukeren skal oppgi sine kontodetaljer, og i noen tilfeller har det vært observert at nettsiden også ber brukeren om å oppdatere passordet.

VERKEN JOBB ELLER OFFICE: Landingssiden som e-postmottakeren ledes til ligner verken på Microsofts eller egen virksomhets nettsider. Det er et hint om at noe ikke stemmer. (Ill: Norsis)
VERKEN JOBB ELLER OFFICE: Landingssiden som e-postmottakeren ledes til ligner verken på Microsofts eller egen virksomhets nettsider. Det er et hint om at noe ikke stemmer. (Ill: Norsis)

Norsis opplyser at hittil har disse landingssidene ikke hatt noe i designet eller utseendet som ligner på Microsofts Office365-sider, og heller ikke noe fra virksomheten mottakeren jobber i. Det har heller ikke vært noen navn som minner om Office365 eller arbeidsgiveren. Norsis advarer imidlertid om at dette kan endre seg.

Skoler og kommuner

De svindelforsøkene som Norsis hittil har sett har vært rettet mot kommunalt ansatte eller skoleelever. Det har også vært et lignende svindelforsøk rettet mot NTNUs studenter og ansatte.

Slike svindelkampanjer har en tendens til å utvides, og Norsis skriver at «Denne typen svindel sprer seg lett så den kan ramme alle virksomheter. Meld gjerne fra til oss på post@norsis.no om du har mottatt denne og ikke er kommunalt ansatt, skoleelev eller har mottatt kampanjen rettet mot NTNU».

HASTVERK: En klassisk teknikk for å narre mottakeren til å oppgi dataene sine, er å stresse opp mottakeren. Her advares det at kontoen vil bli deaktivert om man ikke svarer raskt, noe som ikke ville skjedd i en ekte situasjon. (Ill:Norsis)

Dersom man mottar en slik e-post, er adressen til nettsiden det første man skal sjekke. Det gjør du ved å føre musepekeren over linken, uten å klikke på den. Da vil du få se adressen den leder til, og i de observerte tilfellene har denne adressen ikke gått til noen sider som tilhører Microsoft eller virksomheten mottakeren jobber i. Det er et klart hint om at e-posten er falsk.

 

Les mer om denne svindelen og hjemmekontor på Norsis’ nettsider.