IT-Säkerhetsinformation

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande innehåll i ett bedrägerimejl riktat mot anställda på flera institutioner:

May I ask if you’re currently on campus?

Svara inte på mejlet. Detta är ett exempel på nätfiske där avsändaren väntar på att mottagaren ska besvara mejlet. Därefter kommer mottagaren att få instruktioner om att köpa något till bedragaren, oftast ett dyrt presentkort.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen topprof201@wp.pl men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

Vi har blivit uppmärksammade på att även boarddesk231@wp.pl har börjat användas som avsändaradress i vissa nätfiskemejl som sprids.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande innehåll i ett bedrägerimejl riktat mot bland annat anställda på Designhögskolan och Planeringsenheten:

ÄR DU FRI?

Svara inte på mejlet. Detta är ett exempel på nätfiske där avsändaren väntar på att mottagaren ska besvara mejlet. Därefter kommer mottagaren att få instruktioner om att köpa något till bedragaren, oftast ett dyrt presentkort.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen s7289715@gmail.com men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Skatteverket. Så här kan mejlet se ut. Ämnesraden varierar och det flersiffriga numret i slutet av ämnesraden varierar från ett mejl till ett annat, potentiellt en unik identifiering:

Ämnesrad: VB: Skatteåterbäring klar: Åtgärd krävs från dig {Noreply} #780253600

Vi har slutfört granskningen av din inkomstdeklaration för 2025. En skatteåterbäring på 3 965,50 SEK har godkänts och förbereds för utbetalning.

För att säkerställa att du får din betalning, behöver vi att du uppdaterar och bekräftar dina uppgifter hos oss.

OBS! Det vi har sett i mejl rapporterade till oss är att bedrägerimejlets summa i skatteåterbäringen alltid är densamma, på 3965,50 SEK, för alla anställda. Det kan dock eventuellt finnas mejl med andra belopp i cirkulation.

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från följande bedrägliga källa:

noreply=rgb72.dev@mg.rgb72.dev <noreply=rgb72.dev@mg.rgb72.dev> För Skatteverket AB

Fler mejladresser kan dock förekomma.

Får ni mejl som ser ut att vara från Skatteverket där ni uppmanas vidta åtgärd för något och blir osäker på ifall det är legitimt eller inte, klicka inte på länkarna. Om ni behöver kontrollera uppgifterna kan ni istället manuellt knappa in Skatteverkets officiella webbadress i webbläsaren och logga in på den webbsajten för att se om uppmaningen gällande skatteåterbäring från mejlet stämde eller ej.

MVH IRT

Just nu ser vi ett flertal e-postutskick där avsändaren uppger sig för att vara personer vid Umeå universitet, men deras e-postadress slutar inte på @umu.se. Rubriken i mailet innehåller ”Hej.Kan du handla online?” och mejlinnehållet är tomt i de mejl vi sett.

Vi uppmanar alla att kontrollera extra noga att avsändaren verkligen är den tilltänkta innan ni svarar eller agerar på uppmaningar i e-postmeddelanden. Kom också ihåg att en UMU-verifierad e-postadress aldrig kommer ha etiketten ”Extern” (eller ”External” på engelska) tilldelad till sig.

/ IRT

ITS säkerhetsfunktion här vid Umeå universitet ser fler anmälningar om bedrägeriförsök och vill därför påminna dig om att vara extra uppmärksam. Framförallt handlar det om e-post, sms eller telefonsamtal där någon påstår att du behöver logga in med ditt Bank-ID eller med ditt UMU-id. 

Får du ett sådant meddelande ska du inte logga in utan skicka detta vidare till abuse@umu.se

Har du frågor eller behöver råd kan du alltid kontakta oss eller läsa mer på: IT-säkerhetsincidenter

/IRT

IRT har fått info om att mjukvarorna Camtasia och Snagit har varit utsatta för malware.

Om du vet att du brukar använda dessa två mjukvaror, kontrollera gärna ifall följande katalog existerar på den jobbdator där du använder Camtasia eller Snagit.

Byt ut ”abcd0001” mot det faktiska namnet på ditt UMU-id:

C:\Users\abcd0001\AppData\Roaming\TimeTracker\

Om katalogen ovan finns, kör en virusskanning på datorn.
OBS! Din dator behöver ingen åtgärd om ovanstående katalog saknas på din jobbdator. Då har du inte drabbats av malware från de mjukvarorna.

/ IRT

Det är ett försök att få användare att skiva in sitt login och lösen när man trycker på länken i mailet.

/IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitet. Idag har vi fått in följande bedrägerimejl riktat mot anställda på institutionen Pedagogik:

Ämnesrad: SNABB SVAR

Godmorgon (Namn på person anställd hos UMU)
Är du ledig nu eller om en timme eller så?
(Namn på chef)
Skickat från min iPhone

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen rosemarymalico@gmail.com men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT

IRT har fått in flera anmälningar där mejlet felaktigt ser ut att vara från Umeå universitets rektor. Idag har vi fått in följande bedrägerimejl:

Ämnesrad: Are you in office

(Mejlets innehåll är tomt).

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen tora.holmberg@mail.ru men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är ”Extern”.

Var uppmärksam på att en genuin UMU-mejladress inte kommer visas som extern.

MVH IRT

IRT vill varna för ett mejl som felaktigt påstås vara från Umeå universitets rektor. Idag har vi fått in följande bedrägerimejl:

Ämnesrad: FW: Investeringsförslag och Instruktioner för Banköverföring

Hej (Namn på UMU-anställd),

Hoppas allt är bra med dig. Jag ville bara meddela att jag idag behöver göra en internationell banköverföring i samband med en investering.

Skulle du kunna ordna en banköverföring på 30 000 EUR så snart som möjligt? Låt mig veta, så skickar jag dig instruktionerna för överföringen.

Stort tack på förhand,

Tora Holmberg

Skickat från min iPhone

Mejlet innehåller även ett påstående om att rektorn vill genomföra banköverföringen vilket förstås är påhittat, det är falskt. Syftet med att inkludera den ”vidarebefordrade” texten handlar om att försöka manipulera mottagaren till att tro att mejlet är legitimt genom att visa upp en påstådd mejlkorrespondens:

——– Vidarebefordrat meddelande ——–

Från: Tora Holmberg

Till: Andrew Cheng <andrew.cheng@bankingcircle.com>

Ämnesrad: Investeringsförslag och Instruktioner för Banköverföring

Datum: 15 maj 2025, 12:30

Hej Andrew,

Tack för att du skickade denna information! Jag ska gå igenom den och återkomma med min feedback inom kort.

Jag har bett Emma, min ekonomichef, att genomföra banköverföringen. Jag håller dig uppdaterad så snart det är klart.

Vi hörs snart,

Tora Holmberg

Från: Andrew Cheng <andrew.cheng@bankingcircle.com>

Till: Tora Holmberg

Ämnesrad: Investeringsförslag och Instruktioner för Banköverföring

Datum: 15 maj 2025, 11:30

Bästa Tora Holmberg,

I bilagan hittar du investeringsförslaget med potentiella möjligheter för ytterligare investeringar, baserat på dina mål och din riskprofil.

Jag har också bifogat instruktioner för att genomföra en banköverföring som möjliggör dessa investeringar. Vänligen se PDF-filen med insättningsinstruktionerna. När överföringen är genomförd, skicka gärna en bekräftelse för vår dokumentation.

Tveka inte att höra av dig om du har några frågor eller behöver ytterligare hjälp.

Med vänliga hälsningar

Vi vill påminna om att titta på vilken e-postadress som avsändaren använder. De senaste försöken kommer från mejladressen office.mails2k6@t-online.de men även fler adresser kan förekomma. Mejl från avsändare utanför UMU får en etikett i Outlook som säger att mottagaren är Extern.

Vänligen notera: ett mejl som på riktigt skickats från en UMU-mejladress kommer inte visas som extern.

MVH IRT