Stine modtog falsk e-mail – Da CyberPilot phishede phisheren!

Da CyberPilot Phishede Phisheren!

PhishingPhisher

Så skete det! CyberPilot har været mål for en af de værste former for cyberkriminalitet: CEO Fraud! Meen.. der kan jo ikke tikke en mail ind fra en IT-kriminel hos CyberPilot-kontoret uden at vi laver lidt sjov med det!

Stine Seest Knudsen

• 11. AUGUST 2020 • LÆSTID 6 MIN.

Har du travlt?

Jeg er vendt frisk og veludhvilet tilbage på arbejde efter ferien, da der torsdag d. 23. juli tikker en mail ind kl. 16.13 fra Rasmus Vinge med emnet ”Stine”:

Phishing

Til jer der ikke kender Rasmus, så er han medstifter og direktør i CyberPilot og dermed også min chef. Rasmus havde forladt kontoret for dagen, og det gav derfor god mening, at han kunne finde på at sende mig en mail. Jeg klikker derfor –naiv og uvidende – på mailen, og bliver mødt af følgende besked:

HVAD ER CEO-FRAUD?

CEO Fraud – også kaldet Direktørsvindel – er en metode IT-kriminelle benytter til at franarre en virksomhed oplysninger eller pengebeløb ved at udgive sig for at være virksomhedens direktør.

Angrebet omfatter ofte phishing-teknikker såsom e-mail, hvor den IT-kriminelle sender en e-mail fra direktørens mailadresse eller gennem en spoofet mailadresse for at snyde modtageren til at tro, at mailen er sendt fra direktøren.

De IT-kriminelle benytter sig ofte af elementer fra Social Engineering, som omhandler psykisk manipulation af offeret. I dette tilfælde har de IT-kriminelle udvalgt Stine som mål for CyberPilot og de har overvejet, at mailen skulle sendes lidt over 16, hvor mange ansatte er ved at pakke arbejdstasken og tage hjem for dagen.

Se, nu ved jeg godt, at du sidder og tænker: ”Har CyberPilot fået hovedkontor i Tjekkiet?”, men her må jeg skuffe dig, kære læser. Det er skam ikke CyberPilots nye domæne, du ser her, men nærmere en ulv i fåreklæder; nemlig en vaskeægte phisher!

Under normale omstændigheder bør man selvfølgelig rapportere phishingmailen og slette den – men hvor er det sjove i det? Da jeg fortæller mine kollegaer om, at vi nu ”endelig” er blevet store nok til at blive udsat for CEO fraud, bliver vi derfor enige om at lave lidt sjov med den IT-kriminelle, vi nu har direkte kontakt til.

 

LÆS OGSÅ: “COVID-19-Relateret phishing

Lokkemaden

Vi lader nemlig ikke en IT-kriminel undslippe uden en lille lærestreg, og mission ”Phish Phisheren” gik i gang. Læs med videre for at se, hvad der skete da vi legede med på den IT-kriminelles egen leg og derved phishede phisheren. 

Vi beklager på forhånd for de stavefejl og grammatiske krumspring der forekommer i den IT-kriminelles beskeder. Google Translate er åbenbart ikke blevet perfekt endnu.

HVORDAN OPDAGER MAN EN PHISHING-MAIL?

Der vil ofte være forskellige ledetråde, der gør, at man kan afkode, om man har modtaget en phishingmail.

I mailen sendt til Stine er første ledetråd afsenderadressen. Denne er kpyo1@centrum.cz, hvilket ikke er Rasmus’ e-mail, men nærmere en mailadresse, vi ikke har noget kendskab til.

Anden ledetråd er, at der ikke er en signatur i mailen, hvilket Rasmus altid har i sine mails. Derudover er der en intern social viden i CyberPilot der gør, at Stine i denne situation ved, at Rasmus aldrig ville spørge, om hun har travlt, uden at forklare grunden til spørgsmålet.

Hej Rasmus, 

Lidt travlt. Hvad da? 😊

Stine Seest Knudsen

Customer Success Manager

Okay, jeg har brug for dig til at hjælpe mig med at købe fysiske gavekort fra butikken til nogle specifikke klienter. Kan du få dette gjort på 15 minutter? Fortæl mig det, så jeg kan sende dig detaljer om de nødvendige gavekort og den nøjagtige mængde.

Jeg er i et møde og kan ikke tage opkald lige nu, så vi kan kommunikere via e-mail. 

Jeg refunderer dig pengene sendere i dag, men jeg har brug for gavekortene med det samme.

Phishing

IT-Kriminel

Professionel Phisher

Okay, ja det kan jeg godt. Send mig oplysningerne om gavekortene, så skynder jeg mig ned i butikken og finder dem.

Stine Seest Knudsen

Customer Success Manager

Her er detaljerne

  – Jeg har brug for dig for at få mig itunes gavekort på 500 kr pålydende.
– Jeg har brug for i alt 8 kort. Det er 500 x 8 = 4000kr
– Skrab folien bag på kortene for at afsløre voucher-koder, og send mig derefter et billede af koderne her på e-mail. og når du først har fået det og sender det ikke forlader butikken, skal jeg bekræfte kortene, før du forlader

Fortæl mig, hvor snart du kan få dette gjort

Tak

Phishing

IT-Kriminel

Professionel Phisher

Her bliver den IT-kriminelle utålmodig og skriver igen før vi når at svare.

Fik du detaljerne?

Phishing

IT-Kriminel

Professionel Phisher

Hej Rasmus, 

Tak, jeg har fået detaljerne. I vores butik?

Stine Seest Knudsen

Customer Success Manager

Ja, jeg vidste jo ikke, at vi havde fået en butik ud af det blå.

Du kan få det i ethvert supermarked
Send mig en e-mail, når du ankommer til butikken, hvor de sælger kortene

Tak

Phishing

IT-Kriminel

Professionel Phisher

Vi kunne jo ikke lade ham få hans gavekort så hurtigt uden nogen form for modstand. Så hvad er det værste, der kan ske, når chefen spørger om en tjeneste inden weekenden? En utålmodig medarbejder!

Okay, men Rasmus, du lovede mig jo, at jeg kunne tage fri kl. 13 i dag… Jeg synes ikke helt det er okay.

Stine Seest Knudsen

Customer Success Manager

Og på sit bedste Google Translate-sprog forsøger ”Rasmus” at undskylde, at jeg skal stresse inden min weekend.

Jeg ved, at jeg er ked af, når du har købt dem, kan du tage afsted
dette er virkelig vigtigt
Jeg er ked af stresset

Phishing

IT-Kriminel

Professionel Phisher

Meen han holder alligevel ikke tilbage med at presse mig til at få købt gavekortene, da han minuttet efter spørger:

Skal du købe dem nu?

Phishing

IT-Kriminel

Professionel Phisher

Fælden bliver lagt

Hvad phisheren ikke ved er, at vi på CyberPilot-kontoret er ved at opsætte en simuleret phishingmail til ham/hende. For at gøre det så legitimt som muligt for at få phisheren til at bide på, satte vi vores cloud-phishingkampagne op.

Jeg har gjort det nu, og deler billederne via vores cloud med det samme. 
Holder fri nu – god weekend 🙂

Stine Seest Knudsen

Customer Success Manager

Skal jeg give dig klienten e-mail, så du sender den direkte til klienten?

Phishing

IT-Kriminel

Professionel Phisher

Jeg har sendt dem til dig, kig efter cloud-mailen

Stine Seest Knudsen

Customer Success Manager

Det bedste billede, jeg kan give på, hvordan CyberPilot-kontoret så ud på dette tidspunkt, er nok en flok fnisende skolebørn, der venter på, at læreren opdager, at de har tegnet noget frækt på tavlen. Trippende begynder vi også at blive utålmodige, da phisheren ikke åbner vores mail. Vi modtager lidt senere følgende mail:

Jeg kan ikke gøre alt det herfra
Jeg er i et møde ikke med min computer
Kan du sende det til klienten?

Phishing

IT-Kriminel

Professionel Phisher

Okay så, jeg bider på. Vi vil jo gerne have ham til at åbne vores mail og falde i.

Okay Rasmus, sidste chance, men så går jeg altså på weekend herefter. Send mig klientens mail, så sender jeg det.

Stine Seest Knudsen

Customer Success Manager

Fortæl mig det, når du har sendt det tak

mschaden@promkent.com

Phishing

IT-Kriminel

Professionel Phisher

Sender nu.

Stine Seest Knudsen

Customer Success Manager

Vi sender samme simulerede phishingmail til ”klientens” mailadresse i håb om, at dette får phisheren til endelig at bide på krogen.

Blev phisheren så phishet?

Efter vi har sendt phishingmailen til ”klientens” e-mail, går der ikke mange minutter før vi kan se, at han virkelig gerne vil se de billeder af gavekortene. Han klikker ikke mindre end 6 gange på det tilhørende link i mailen, men giver op herefter.

Siden da har vi ikke hørt fra vores kære phisher. Om vedkommende er blevet ked af det eller sur over at blive fanget i sin egen svindel er ikke til at vide. Vi håber blot, at han/hun tænker sig en ekstra gang om, næste gang de tror, at de skal til at sende en phishingmail til nogle stakkels medarbejdere.

LÆS OGSÅ: “Phishing – den største digitale trussel

Vi har også taget en snak om hele den her underholdende situation i vores podcast. Den kan du høre lige her:

Vil du holdes opdateret på IT-sikkerhed?

Tags: No tags

Comments are closed.