IT-Säkerhetsinformation

IRT har fått in anmälningar där mejlet felaktigt ser ut att vara från Skatteverket. Så här kan mejlet se ut. Ämnesraden varierar och det flersiffriga numret i slutet av ämnesraden kan variera från ett mejl till ett annat, potentiellt en unik identifiering. OBS! Notera också att summan som påstås ska komma in som skatteåterbäring (4457 kronor) troligtvis är densamma för alla mottagare. Så var fallet förra gången vi fick in ett bedrägeriförsök om skatter.

Från: Support | skatteverket.se <info@directpay.lk>

Datum: torsdag, 4 december 2025 14:01

Ämne: Skatteverkets beslut: Godkänd återbäring {Noreply} #342222271

IRT har fått in anmälningar där mejlet felaktigt ser ut att vara från Skatteverket. Så här kan mejlet se ut. Ämnesraden varierar och det flersiffriga numret i slutet av ämnesraden kan variera från ett mejl till ett annat, potentiellt en unik identifiering. OBS! Notera också att summan som påstås ska komma in som skatteåterbäring (4457 kronor) troligtvis är densamma för alla mottagare. Så var fallet förra gången vi fick in ett bedrägeriförsök om skatter.

SKATTEÅTERBÄRING

DIN SKATTEÅTERBÄRING ÄR GODKÄND

Bekräftelse på din inkomstdeklaration för 2025

Hej,

Vi har genomfört en granskning av din inkomstdeklaration för 2025 och har

beslutat om en skatteåterbäring på följande belopp:

SKATTEÅTERBÄRING

4 457 SEK

Godkänd

ÅTGÄRD KRÄVS

För att slutföra processen och få ut din skatteåterbäring behöver du verifiera

dina bankuppgifter och bekräfta din identitet via vårt säkra system.

Återbetala nu

Länken är giltig i 30 dagar

ÄRENDESAMMANFATTNING

Ärendenummer:473206

Behandlingsdatum:4 december 2025

Status:

Godkänd

Detta är ett automatiskt meddelande. Vänligen svara inte på detta

e-postmeddelande.

Med vänliga hälsningar,

Skatteverkets kundservice

Skatteverket | 2025

OBS. Notera alltså att avsändaren med namnet ”Support | skatteverket.se” och e-postadressen info@directpay.lk leder till en bedräglig avsändarmejladress.

Får ni mejl som ser ut att vara från Skatteverket där ni uppmanas vidta åtgärd för något och blir osäker på ifall det är legitimt eller inte, klicka inte på länkarna. Om ni behöver kontrollera uppgifterna kan ni istället manuellt knappa in Skatteverkets officiella webbadress i webbläsaren och logga in på den webbsajten för att se om uppmaningen gällande skatteåterbäring från mejlet stämde eller ej.

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande innehåll i ett bedrägerimejl riktat mot anställda på flera institutioner:

May I ask if you’re currently on campus?

Svara inte på mejlet. Detta är ett exempel på nätfiske där avsändaren väntar på att mottagaren ska besvara mejlet. Därefter kommer mottagaren att få instruktioner om att köpa något till bedragaren, oftast ett dyrt presentkort.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen topprof201@wp.pl men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

Uppdatering 6 november 2025

Vi har blivit uppmärksammade på att även boarddesk231@wp.pl har börjat användas som avsändaradress i vissa nätfiskemejl som sprids.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande innehåll i ett bedrägerimejl riktat mot bland annat anställda på Designhögskolan och Planeringsenheten:

ÄR DU FRI?

Svara inte på mejlet. Detta är ett exempel på nätfiske där avsändaren väntar på att mottagaren ska besvara mejlet. Därefter kommer mottagaren att få instruktioner om att köpa något till bedragaren, oftast ett dyrt presentkort.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen s7289715@gmail.com men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Skatteverket. Så här kan mejlet se ut. Ämnesraden varierar och det flersiffriga numret i slutet av ämnesraden varierar från ett mejl till ett annat, potentiellt en unik identifiering:

Ämnesrad: VB: Skatteåterbäring klar: Åtgärd krävs från dig {Noreply} #780253600

Vi har slutfört granskningen av din inkomstdeklaration för 2025. En skatteåterbäring på 3 965,50 SEK har godkänts och förbereds för utbetalning.

För att säkerställa att du får din betalning, behöver vi att du uppdaterar och bekräftar dina uppgifter hos oss.

OBS! Det vi har sett i mejl rapporterade till oss är att bedrägerimejlets summa i skatteåterbäringen alltid är densamma, på 3965,50 SEK, för alla anställda. Det kan dock eventuellt finnas mejl med andra belopp i cirkulation.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från följande bedrägliga källa:

noreply=rgb72.dev@mg.rgb72.dev <noreply=rgb72.dev@mg.rgb72.dev> För Skatteverket AB

Fler mejladresser kan dock förekomma.

Får ni mejl som ser ut att vara från Skatteverket där ni uppmanas vidta åtgärd för något och blir osäker på ifall det är legitimt eller inte, klicka inte på länkarna. Om ni behöver kontrollera uppgifterna kan ni istället manuellt knappa in Skatteverkets officiella webbadress i webbläsaren och logga in på den webbsajten för att se om uppmaningen gällande skatteåterbäring från mejlet stämde eller ej.

MVH IRT

Just nu ser vi ett flertal e-postutskick där avsändaren uppger sig för att vara personer vid Umeå universitet, men deras e-postadress slutar inte på @umu.se. Rubriken i mailet innehåller ”Hej.Kan du handla online?” och mejlinnehållet är tomt i de mejl vi sett.

Vi uppmanar alla att kontrollera extra noga att avsändaren verkligen är den tilltänkta innan ni svarar eller agerar på uppmaningar i e-postmeddelanden. Kom också ihåg att en UMU-verifierad e-postadress aldrig kommer ha etiketten ”Extern” (eller ”External” på engelska) tilldelad till sig.

/ IRT

ITS säkerhetsfunktion här vid Umeå universitet ser fler anmälningar om bedrägeriförsök och vill därför påminna dig om att vara extra uppmärksam. Framförallt handlar det om e-post, sms eller telefonsamtal där någon påstår att du behöver logga in med ditt Bank-ID eller med ditt UMU-id. 

Får du ett sådant meddelande ska du inte logga in utan skicka detta vidare till abuse@umu.se

Har du frågor eller behöver råd kan du alltid kontakta oss eller läsa mer på: IT-säkerhetsincidenter

/IRT

IRT har fått info om att mjukvarorna Camtasia och Snagit har varit utsatta för malware.

Om du vet att du brukar använda dessa två mjukvaror, kontrollera gärna ifall följande katalog existerar på den jobbdator där du använder Camtasia eller Snagit.

Byt ut ”abcd0001” mot det faktiska namnet på ditt UMU-id:

C:\Users\abcd0001\AppData\Roaming\TimeTracker\

Om katalogen ovan finns, kör en virusskanning på datorn.
OBS! Din dator behöver ingen åtgärd om ovanstående katalog saknas på din jobbdator. Då har du inte drabbats av malware från de mjukvarorna.

/ IRT

Det är ett försök att få användare att skiva in sitt login och lösen när man trycker på länken i mailet.

/IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande bedrägerimejl riktat mot anställda på institutionen Pedagogik:

Ämnesrad: SNABB SVAR

Godmorgon (Namn på person anställd hos UMU)
Är du ledig nu eller om en timme eller så?
(Namn på chef)
Skickat från min iPhone

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen rosemarymalico@gmail.com men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitets rektor. Idag har vi fått in följande bedrägerimejl:

Ämnesrad: Are you in office

(Mejlets innehåll är tomt).

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen tora.holmberg@mail.ru men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT