Vi har her til morgen opfanget flere spammails, sendt til vilkårlige danske brugere, som foregiver at komme fra Nordea.

Formålet med kampagnen er at lokke uforsigtige brugere til at opgive deres kreditkort oplysninger til it-kriminelle. Denne teknik kaldes "phishing".

Den uønskede e-mail ser ud som gengivet herunder:



Det pågældende link, som modtageren skal fristes til at klikke på, peger på en kompromitteret webside (mellemrum indlagt af CSIS):

http://mi nu.me/5r1v (URL forkorter)
[viderestiller til] -> http://www.rcsprw anda.net/http/www.nordea.dk/Portal/netbankortt.htm

Et skridt tilbage i mappestrukturen vil afsløre dele af indholdet, som er gemt på serveren, og som anvendes i det konkrete phishing forsøg:

Index of /http/www.nordea.dk/Portal

Parent Directory
XD.php
addSubmit.js
dfgggggggggg_files/
isa/
netbankortt.htm

Brugeren skal på denne webside lokkes til at opgive følsomme kreditkort oplysninger samt de sidste cifre i CPR nummeret. Se skærmbillede af den forfalskede webside herunder:


Hvis man uopfordret modtager en e-mail,som anmoder om f.eks. brugernavne og passwords, kreditkort eller andre følsomme oplysninger, så bør man slette den pågældende e-mail. Banker udsender aldrig e-mail til deres kunder hvor de ønsker denne type informationer oplyst.

Heimdal Pro kunder er beskyttet mod denne phishing kampagne, og vi blokerer den pågældende webside i CSIS Secure DNS, ligesom de uønskede e-mails stoppes i vores mailfirewall services.