Hvordan identifisere en e-post infisert med virus?

Spam og phishing er to av de mest effektive teknikkene nettkriminelle bruker for å oppnå fortjeneste. Etter hvert som vi blir mer og mer avhengig av teknologi, og spesielt internett, oppdager vi hvordan svindlerne slår seg sammen i organiserte grupper som jobber hardt for å svindle penger fra intetanende ofre.

Noen eksperter tror faktisk at uorganisert kriminalitet allerede er i ferd med å forsvinne. Mange tror at nettkriminelle er svært avanserte hackere som bruker kode til å bryte seg inn i sikkerhetssystemer og til og med ta ekstern kontroll over brukerens datamaskin, men virkeligheten er en ganske annen. I de fleste tilfeller er disse nettkriminelle bare erfarne svindlere som benytter sosial manipulering for å lure brukere til å installere malware på datamaskinene dine.

Bruk av spam og phishing for å spre malware er det beste bevis på dette, og det kan faktisk defineres som en logisk utvikling av nettkriminalitet. Det er faktisk ikke nødvendig å bruke flere timer på å utvikle avanserte angrepsplaner, når alt det trenger for å hacke et datanettverk er å overbevise én naiv ansatt om å åpne et e-postvedlegg.

Denne teknikken viser seg å være svært effektiv, og har i stor grad økt hastigheten malware spres på. 2017 anses generelt som ransomware-programmenes år, og det faktum at 93 % av alle phishing-eposter det første kvartalet i 2017 inneholdt ransomware, beviser dette. Det er tydeligvis grunnlag for å tro at omfanget av spam og phishing i 2018 kommer til å nå enda høyere tall.

Eksempler på ondsinnet søppelpost

Malware-infiserte e-poster er så langt den mest effektive angrepsmetoden. De nettkriminelle er raske med å utnytte pågående begivenheter (sportsarrangement, salg, skatteoppgjør osv.) og sender ut tusenvis av e-poster med dette som tema. I tillegg har de noen triks som fungerer hele året. Eksemplene nedenfor viser phishing-eposter som normalt brukes til å spre malware. Disse eksemplene kan forhåpentligvis hjelpe deg med å identifisere phishing-eposter i fremtiden og sørge for at du blir mer skeptisk til påliteligheten av e-poster som sendes av ukjente individer.

Eksempel 1: E-poster med CV eller jobbsøknad

Phishing-eposter som inneholder en vedlagt CV sendes gjerne til vikarbyråer eller til de som foretar ansettelser i et selskap. Slike e-poster inneholder normalt kun noen få linjer med tekst, som inviterer mottakeren til å åpne den vedlagte CV-en.

Normalt forventer svindlerne at disse e-postene skal være effektive når de prøver å infisere et bestemt selskap eller organisasjon. Slike e-poster ble hovedsaklig brukt i angrep med CryptoWall 3.0, GoldenEye og Cerber. Du ser noen eksempler på slike phishing-eposter nedenfor.

Eksempel 2: E-poster som hevder de er fra Amazon

Nettkriminelle har en tendens til å utsette Amazon-brukere for ondsinnede e-poster sendt fra falske e-postkontoer som ved første øyekast ser legitime ut. Slike e-poster kan bli brukt til å svindle penger fra offeret eller til å levere et ondsinnet vedlegg som inneholder et alvorlig datavirus. Svindlere brukte for eksempel e-postadressen [email protected] for å sende ut tusenvis av e-poster med Locky ransomware.

Disse e-postene inkluderte emnet «Your Amazon.com Order Has Dispatched (#order_number)” og inneholdt et ZIP-vedlegg med en ondsinnet JS-fil. Når denne ble åpnet, lastet den ned ransomware-programmet fra en bestemt nettside. Nedenfor ser du et eksempel på en ondsinnet e-post som leverer Locky, og et eksempel fra analysen av distribusjonskampanjen Spora.

Eksempel 3: Fakturaer

En annen vellykket teknikk som har bidratt til å øke spredningen av Locky ransomware, involverer phishing-eposter med et vedlegg kalt “ATTN: Invoice-[random code].” Disse villedende e-postene inneholder noen få linjer med tekst som ber offeret om å “see the attached invoice (Microsoft Word Document).” Det eneste problemet er at Word-dokumentet faktisk inneholder et ondsinnet skript som blir aktivert via makro-funksjonen. Et eksempel på en slik e-post vises nedenfor.

Eksempel 4: E-poster som utnytter store sportsbegivenheter

Liker du sport? Da bør du være oppmerksom på søppelpost med sportstema. Eksperter fra Kaspersky har i det siste oppdaget en økning i e-poster som rettes mot brukere som er interesserte i EM, VM eller OL. Slike meldinger inneholder en ondsinnet ZIP-mappe med en trojaner i form av en JavaScript-fil. Ifølge eksperter er trojaneren programmert til å laste ned mer malware på datamaskinen. Du kan se et eksempel på den ondsinnede meldingen nedenfor.

Eksempel 5: E-poster om terrorisme

Nettsvindlerne er klar over at terrorisme er et tema som opptar mange. Det benyttes derfor ikke overraskende i ondsinnet søppelpost. E-poster med terroristtema er ikke blant svindlernes favoritter, men du bør være klar over hva du kan vente deg. Vi gir et eksempel på en slik e-postmelding nedenfor. Slik søppelpost brukes generelt sett til å stjele persondata, utføre DDos-angrep og spre malware.

Eksempel 6: E-poster med «sikkerhetsrapporter»

Eksperter har oppdaget en annen e-postkampanje som sprer ondsinnede word-dokumenter. Det viser seg at disse dokumentene inneholder infiserte makroer som laster ned og kjører CryptXXX ransomware så snart offeret aktiverer den påkrevde funksjonen. Slike e-poster inneholder følgende emnetittel: “Security Breach – Security Report #[random code].”

Meldingen inneholder offerets IP-adresse og datamaskinens lokasjon, noe som gjør at offeret føler at meldingen er genuin og pålitelig. Meldingen advarer offeret om ikke-eksisterende trusler som sikkerhetsbrudd som har blitt forhindret, og foreslår at den vedlagte sikkerhetsrapporten studeres grundig. Vedlegget er selvsagt ondsinnet.

Eksempel 7: Ondsinnet e-post tilsynelatende sendt fra legitime selskaper

For å overbevise offeret om å åpne en vedlagt fil i en e-post, later svindlerne som at de er noen andre. Den enkleste måten for å lure offeret til å åpne et ondsinnet vedlegg, er å lage en falsk e-postkonto som er nesten identisk til en som eies av et legitimt selskap. Ved å bruke slike falske e-postkontoer, kan svindlerne angripe brukere med e-poster som inneholder et ondsinnet vedlegg. Eksempelet nedenfor viser en e-post som ble sendt av svindlere som latet som de jobbet hos Europcar.

Eksempelet nedenfor viser hvilke meldinger som ble brukt i et angrep mot kunder hos selskapet A1 Telekom. Disse phishing-meldingene inkluderte villedende DropBox URL-er til ondsinnede ZIP- eller JS-filer. Ytterligere analyse avslørte at disse filene inneholdt Crypt0l0cker virus.

Eksempel 8: Hastesak fra sjefen din

Svindlere har nylig begynt å bruke et nytt triks som hjelper dem med å svindle penger fra intetanende ofre på få minutter. Tenk deg at du mottar en e-post fra sjefen din der det står at han/hun er på ferie, og at du må skynde deg å foreta en betaling til et eller annet selskap.

Hvis du skynder deg med å utføre slike ordre uten å sjekke detaljer før du gjør det, kan du ende opp med å overføre selskapets penger til en kriminell, eller enda verre, infisere hele datanettverket med malware. Et annet triks svindlerne bruker for å overbevise deg om å åpne slike ondsinnede vedlegg er å late som at de er en av kollegaene dine. Dette trikset kan fungere hvis du jobber i et stort selskap og ikke kjenner alle du jobber med. Du kan se noen eksempler på slike e-poster nedenfor.

Eksempel 9: Phishing rundt skatteoppgjør

Svindlerne følger med på datoene for skatteoppgjør i ulike land, og sørger for å utnytte dette til å distribuere ondsinnede programmer. De bruker ulike typer sosial manipulering for å lure ofrene til å laste ned ondsinnede filer som kommer med disse villedende e-postene. Slike vedlegg inneholder normalt banktrojanere (keyloggere) som stjeler personlig informasjon.

Dette inkluderer offerets navn, etternavn, innloggingsopplysninger, kredittkortinformasjon og lignende. Det ondsinnede programmet kan dukke opp i form av et ondsinnet e-postvedlegg eller som en lenke inkludert i selve meldingen. Nedenfor ser du et eksempel på en e-post som leverer en falsk kvittering for innbetalt restskatt. I realiteten er det en trojansk hest.

Svindlere prøver også å tiltrekke brukerens oppmerksomhet og tvinge dem til å åpne det ondsinnede vedlegget ved å hevde at et lovkrav venter. Meldingen sier at noe må gjøres “regarding the subpoena from irs,” som er vedlagt meldingen. Det vedlagte dokumentet er selvsagt ikke en stevning – det er et ondsinnet dokument som åpnes i beskyttet modus og som ber offeret om å aktivere redigering. Som et resultat av dette sørger den ondsinnede koden i dokumentet for å laste ned malware til datamaskinen.

Det siste eksempelet viser hvordan svindlere prøver å lure regnskapsførere til å åpne ondsinnede vedlegg. Denne e-posten ser ut til å komme fra noen som ber om hjelp fra en autorisert revisor, og inneholder selvsagt et vedlegg eller to. Dette er normalt ondsinnede Word-dokumenter som aktiverer et skript og laster ned malware fra en ekstern server så snart offeret åpner dem.

Hvordan identifisere ondsinnede e-poster og forbli trygg?

Det finnes noen hovedprinsipper du bør følge hvis du ønsker å unngå ondsinnede e-poster.

• Glem søppelmappen. Det er en grunn til at e-poster ender opp i søppelmappen. Dette skjer med e-poster som automatisk har blitt identifisert som identiske eller lik e-poster som sendes til tusenvis av brukere, eller som kommer fra en avsender som allerede er markert med slike meldinger. Legitime e-poster ender opp i denne mappen kun i noen ytterst få tilfeller, så du bør holde deg unna søppelmappen.
• Sjekk avsenderen før du åpner en e-post. Hvis du ikke er sikker på avsenderen, bør du ikke åpne e-posten i det hele tatt. Selv om du har et antimalware- eller antivirus-program installert på datamaskinen, bør du ikke klikke på lenker i meldingen eller åpne vedlagte filer. Husk at selv de beste sikkerhetsprogrammer kan mislykkes i å identifisere et nytt virus hvis du er en av de første ofrene. Hvis du er usikker på avsenderen, kan du alltids ringe selskapet e-posten tilsynelatende kommer fra og spørre om meldingen du nettopp har mottatt.
• Sørg for at PC-ens sikkerhet er oppdatert. Det er viktig å unngå gamle programmer på systemet, ettersom disse inneholder massevis av sårbarheter. For å unngå slike risikoer, bør du aktivere automatisk oppdatering av programvare. Benytt dessuten et vel ansett antimalware-program for å holde ondsinnede programmer unna. Husk at kun et oppdatert sikkerhetsprogram kan beskytte datamaskinen din. Hvis du bruker et gammelt sikkerhetsprogram og du har en tendens til å utsette installasjon av oppdateringer, gjør du det ganske enkelt mulig for ondsinnede programmer å komme inn i datamaskinen din – uten å bli hverken oppdaget eller blokkert.
• Finn ut om nettadressen er trygg uten å klikke på den. Hvis e-posten du har mottatt inneholder en mistenkelig URL, kan du holde musepekeren over den for å sjekke om den er legitim. Se i nedre venstre hjørne i nettleseren din. Her ser du nettadressen du kommer til å bli omdirigert til. Hvis det ser mistenkelig ut, eller slutter på .exe, .js eller .zip, bør du ikke klikke på den!
• Nettkriminelle skriver ofte dårlig. De klarer gjerne ikke å skrive selv den korteste melding uten skrive- eller grammatikkfeil. Hvis du oppdager slike feil bør du holde deg unna lenker i meldingen eller vedlagte filer.
• Ikke forhast deg! Hvis du ser at avsenderen ber deg om å skynde deg med å åpne vedlegget eller en innsatt lenke, bør du tenke deg om to ganger. Den vedlagte filen inneholder sannsynligvis malware.