Apple og Skatteetaten misbrukes av samme aktør

Erlend Andreas Gjære | 10 January 2019

This post is written in Norwegian, and has not been translated to English yet.

Se opp for e-post fra domenet replay.com, som både etterligner Apple og Skatteetaten med logo og "trygge" lenker via google.com.

I praksis kan du trygt blokkere innkommende e-post fra det nevnte domenet. Sannsynligvis er det bare snakk om misbruk av domenet, da det ikke har konfigurert SPF, og det dermed er fritt frem for hvem som helst å benytte seg av dette som avsender.

Vi ser også at innholdet varierer, men har felles karakteristikker på flere områder. Avsender-navn er tilsynelatende konstant, og dessuten sammenfallende med avsender:

  • Skatteetaten Varsling
  • Apple-ID-en din ble brukt til å logge på iCloud med en nettleser

Begge har blitt sendt fra git@replay.com den siste tiden, selv om vi også tidligere har sett samme meldinger fra donot@repaly.com (en liten forskjell i domenet der, altså). Blant våre kunder var det Apple som gikk igjen før jul, mens en ny runde med Skatteetaten har kommet nå etter nyttår.

Innholdet er skrevet på godt norsk, og misbruker ekte logo for å heve det visuelle inntrykket.

Vi ser også at lenkene som brukes i meldingsteksten går til Google, men misbruker deres funksjon for å videresende til nettsider i søketreff – inkludert HTTPS:

MailRisk gjenkjenner disse e-postene og brukerne får samtidig lære litt om svindeltriksene som brukes. Vi anbefaler likevel at virksomheter blokkerer e-post fra nevnte domener i spamfilteret sitt direkte.

 


Lyst til å prøve ut MailRisk i praksis?

Vi byr på en uforpliktende prøveperiode!

See all posts →

Human security sensors ebook cover

Want to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →