Sentralt ansatte i høyteknologiske norske bedrifter mål for e-postsvindel
NSM NorCERT og Kripos jobber med flere CEO-bedragerier (direktørsvindel) hvor sentralt ansatte i høyteknologiske norske bedrifter har fått aktivert automatisk videresending av sin e-post. E-postene blir videresendt til e-postkontoer som er ukjente for virksomhetene.
Det varierer hvor lang tid videresendingen av e-postene har foregått. I noen tilfeller har dette skjedd i opptil syv måneder. Majoriteten av bedriftene benytter Microsoft Office 365 og videresendingsregelen har blitt satt opp om en "Inbox Rule" på e-postkontoene.
Svindlerne benytter e-postkontoene til å sende e-poster som enten:
- Reelle fakturaer med endret kontonummer
- En melding om å endere kontonummer på en tidligere mottatt faktura
- Falske fakturaer
Angriper benytter offerets reelle e-post-konto. Ettersom svindlerne ikke forfalsker avsenderen tilsier dette at kontoen er kompromittert. Totalt gjør dette at svindelen fremstår som mer profesjonell enn "ordinær" CEO-svindel.
Det arbeides med å avdekke hvordan kompromitteringen av e-postkontoene har skjedd, hvem som står bak og hvilken intensjon aktøren har med kompromitteringen.
Kripos og NSM NorCERT anbefaler at man sjekker om det er installert en videresendingsregel i virksomhetens e-postsystem. Dersom man mistenker at virksomheten er rammet av kampanjen bør dette anmeldes til Politiet.
Majoriteten av de rammede bedriftene bruker Microsoft Office 365. De følgende to Powershell-kommandoene kan brukes av en systemadministrator i et Exchange-shell for å søke gjennom en Exchange eller Office 365-instans etter to metoder å utføre videresending. Man kan deretter gå gjennom videresendingene og bekrefte at disse er legitime og satt opp av brukeren.
Søk etter videresending via innboks-regler
$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
$MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
where {($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or
($_.ForwardAsAttachmentTo -ne $null)}
if ($MailboxWithRule -ne $Null)
{
Write-Host "Postboksen $($Mailbox.PrimarySmtpAddress)
har følgende regler:"
$MailboxWithRule | fl Name, Identity, RedirectTo, ForwardTo,
ForwardAsAttachmentTo
}
}
Søk etter videresending via innboks-innstillinger
Get-Mailbox -resultSize unlimited |
Where {($_.ForwardingSMTPAddress -ne $null) -or
($_.ForwardingAddress -ne $null)} |
Select Name, ForwardingSMTPAddress, ForwardingAddress,
DeliverToMailboxAndForward