Sentralt ansatte i høyteknologiske norske bedrifter mål for e-postsvindel

Publisert: 25.01.2018

NSM NorCERT og Kripos jobber med flere CEO-bedragerier (direktørsvindel) hvor sentralt ansatte i høyteknologiske norske bedrifter har fått aktivert automatisk videresending av sin e-post. E-postene blir videresendt til e-postkontoer som er ukjente for virksomhetene.

Det varierer hvor lang tid videresendingen av e-postene har foregått. I noen tilfeller har dette skjedd i opptil syv måneder. Majoriteten av bedriftene benytter Microsoft Office 365 og videresendingsregelen har blitt satt opp om en "Inbox Rule" på e-postkontoene.

Svindlerne benytter e-postkontoene til å sende e-poster som enten:

  • Reelle fakturaer med endret kontonummer
  • En melding om å endere kontonummer på en tidligere mottatt faktura
  • Falske fakturaer

Angriper benytter offerets reelle e-post-konto. Ettersom svindlerne ikke forfalsker avsenderen tilsier dette at kontoen er kompromittert. Totalt gjør dette at svindelen fremstår som mer profesjonell enn "ordinær" CEO-svindel.

Det arbeides med å avdekke hvordan kompromitteringen av e-postkontoene har skjedd, hvem som står bak og hvilken intensjon aktøren har med kompromitteringen. Erfaring så langt tyder på at hensikten er å svindle virksomheten for penger. Kripos og NSM NorCERT anbefaler at man sjekker om det er installert en videresendingsregel i virksomhetens e-postsystem.

Dersom man mistenker at virksomheten er rammet av kampanjen ber vi om at dette rapporteres til KRIPOS på epost - kripos.dke@politiet.no og eventuelt til NorCERT.

Majoriteten av de rammede bedriftene bruker Microsoft Office 365. De følgende to Powershell-kommandoene kan brukes av en systemadministrator i et Exchange-shell for å søke gjennom en Exchange eller Office 365-instans etter to metoder å utføre videresending. Man kan deretter gå gjennom videresendingene og bekrefte at disse er legitime og satt opp av brukeren.

Søk etter videresending via innboks-regler

$Mailboxes = Get-Mailbox -ResultSize Unlimited
ForEach ($Mailbox in $Mailboxes)
{
$MailboxWithRule = Get-InboxRule -Mailbox $Mailbox.Alias |
where {($_.RedirectTo -ne $null) -or ($_.ForwardTo -ne $null) -or
($_.ForwardAsAttachmentTo -ne $null)}
if ($MailboxWithRule -ne $Null)
{
Write-Host "Postboksen $($Mailbox.PrimarySmtpAddress)
har følgende regler:"
$MailboxWithRule | fl Name, Identity, RedirectTo, ForwardTo,
ForwardAsAttachmentTo
}
}

Søk etter videresending via innboks-innstillinger
Get-Mailbox -resultSize unlimited |
Where {($_.ForwardingSMTPAddress -ne $null) -or
($_.ForwardingAddress -ne $null)} |
Select Name, ForwardingSMTPAddress, ForwardingAddress,
DeliverToMailboxAndForward