Apple og Skatteetaten misbrukes av samme aktør

I praksis kan du trygt blokkere innkommende e-post fra det nevnte domenet. Sannsynligvis er det bare snakk om misbruk av domenet, da det ikke har konfigurert SPF, og det dermed er fritt frem for hvem som helst å benytte seg av dette som avsender.

Vi ser også at innholdet varierer, men har felles karakteristikker på flere områder. Avsender-navn er tilsynelatende konstant, og dessuten sammenfallende med avsender:

• Skatteetaten Varsling
• Apple-ID-en din ble brukt til å logge på iCloud med en nettleser

Begge har blitt sendt fra git@replay.com den siste tiden, selv om vi også tidligere har sett samme meldinger fra donot@repaly.com (en liten forskjell i domenet der, altså). Blant våre kunder var det Apple som gikk igjen før jul, mens en ny runde med Skatteetaten har kommet nå etter nyttår.

Innholdet er skrevet på godt norsk, og misbruker ekte logo for å heve det visuelle inntrykket.

Vi ser også at lenkene som brukes i meldingsteksten går til Google, men misbruker deres funksjon for å videresende til nettsider i søketreff – inkludert HTTPS:

MailRisk gjenkjenner disse e-postene og brukerne får samtidig lære litt om svindeltriksene som brukes. Vi anbefaler likevel at virksomheter blokkerer e-post fra nevnte domener i spamfilteret sitt direkte.