IT-Säkerhetsinformation

Detta är ett phishing-mejl – KLICKA INTE PÅ LÄNKEN!
This is a phishing mail – DON’T FOLLOW THE LINK!

Idag, den 12 november 2020, migrerar vi hela e-postkontot för anställda och personal till Outlook 2020 Office Webmail. Som ett resultat måste alla aktiva medarbetare och personal granska och registrera sig för en brådskande uppdatering och migrering för att förbättra säkerheten och effektiviteten för aktuell skräppost.

Snälla ska alla anställda och personal Klicka här för att byta till Outlook Webmail 2020 för anställda och personal.

Observera att denna migrering till Outlook 2020 gäller alla e-postmeddelanden i den här tjänsten. Vi inaktiverar alla okontrollerade och inaktiva e-postkonton som inte har migrerats inom de närmaste 24 timmarna utan ytterligare meddelande.

Vänliga hälsningar,

Extern e-postadministratör

====================== End of Forwarded Mail ======================

Vi på IRT har fått rapporter på att det florerar en ökad mängd phishing mail, var extra uppmärksam på mail som efterfrågar användarnamn och lösenord.

Då det funnits sårbarheter i Zooms klient, behöver du kontrollera att din klient är uppdaterad.
Läs mer på Aurora om hur du bäst ställer in Zoom och om uppdatering av klienterna.

https://www.aurora.umu.se/nyheter/2020/4/uppdatering-i-zoom/

Antalet videomöten har ökat lavinartad, nu när många sitter hemma och jobbar eller inte kan träffas i verkliga livet. Detta faktum har också kommit hackarna till vetskap.

Det har registrerats ett antal nya domäner som heter något som liknar de länkar vi är vana att se. Det är en tydlig ökning på domäner som innehåller ordet ”zoom” t.ex för att lura oss att surfa till sajter med skadlig kod. Det har också börjat dyka upp falska installationsfiler för olika videotjänster. Det kommer med stor sannolikhet att skickas ut phishing-mejl med dessa falska URL:er och filer.

Jag nämner Zoom här för att det är ett av de mest använda videokonferensverktygen just nu, vilket gör dem till ett tacksamt mål. Det är dock inte bara Zoom som kommer att utnyttjas, utan även andra videotjänster. En stor försiktighet måste alltså iakttas innan man väljer att acceptera en länk till ett video-möte som skickats via e-post. Som alltid: Är du osäker på riktigheten, så kontaktar du avsändaren via telefon och frågar.

När det gäller Zoom, så kan du också först logga på Zoom och sedan ange den numeriska kod som angetts för mötet, om du vill vara säker på att hamna just på Zoom och i det mötet och ingen annanstans.

In English:

The number of video meetings have increased, since people are working from home or can’t meet in person right now.

Hackers try to take advantage of this new situation. A number of new domains have been registered with names that include the string ”zoom”, trying to fool people to visit the malicious sites. We will indoubtly get phishing mails containing these false URLs and files.

Zoom is being used as an example, but all video services may be the targets for hacker attacks and phishing campaigns. It has also been noticed that false executables posing as zoom-instances have been released. Be suspiscious before accepting an unknown invitation for a video meeting. If you feel unsafe, contact the sender by phone and ask if this is a legit invitation link for a video meeting or not.

Regarding Zoom, if you don’t want to click at a received link to enter a meeting, you can log in to Zoom first and then enter the digital code that identifies a particular Zoom meeting.

Nu har phishing-mailen börjat komma, som spelar på allas intresse att ta del av information kring Corona. Klicka inte på länken nedan, då denna leder till en sida som vill få tag i ditt användarnamn och lösenord.

Don’t click on the link – it’s a phishing mail that wants to have your username and password.

Sedan januari har över 4000 nya domäner relaterade till corona registrerats. Detta är illasinnade aktörer inte sena med att utnyttja. Sidorna har ofta kopierat utseende och information från legitima källor, men i bakgrunden försöker man attackera besökarna.

Var extra försiktig när du söker information om corona, gå helst via etablerade myndigheter och välkända nyhetssiter.

Se även upp med mail, corona används flitigt för skadliga mailutskick.

Since January over 4000 new corona related domains have been created. Malicious actors have been quick to take advantage. Sites often copy both layout and information from legitimate sources, but in the background exploit attempts are made against visitors.

Be extra careful when searching for information about corona, go trough established authorities and well known news sites.

Corona are also used in malicious emails to arouse interest .

Just nu pågår ett utskick med ämnet: Christopher Butler shared ”Ethics_Thesis_Final” with you.

Länken i mailet leder till en kopia av UMUs ADFS-inloggning

Allvarlig säkerhetsrisk på följande system Windows 10, Server 2016-2019.
Viktigt att installera de säkerhetpatchar som släpps varje månad.

A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.

An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source. The user would have no way of knowing the file was malicious, because the digital signature would appear to be from a trusted provider.

A successful exploit could also allow the attacker to conduct man-in-the-middle attacks and decrypt confidential information on user connections to the affected software.

The security update addresses the vulnerability by ensuring that Windows CryptoAPI completely validates ECC certificates.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Kring jul så delas det emellanåt ut gåvor till personalen eller andra personer i ens närhet. Ofta är det biobiljetter eller presentkort. Detta faktum har spammarna också reda på och nu har det kommit en skörd av mail som försöker uppmana anställda till att plocka ut presentkort för att användas av sin ”chef”. Givetvis är det inte chefen som beställt detta utan någon brottsling som vill kunna handla på UmU:s bekostnad. Avsändaren till breven kommer från en adress som till sin uppbyggnad ser ut att komma från UmU. Extra varsamhet alltså just nu för mail som uppmanar till ekonomiska transaktioner. Ett extra telefonsamtal är alltid OK för att verifiera information som kommit in via mail.

Det första mailet som kommer frågar bara efter kontakt. Svarar du på detta mail får du instruktioner för att köpa presentkort och överlämna dess koder till spammaren. Nedan följer ett exempel på en konversation.

Från: Chef på UmU <chef.umu.se@gmail.com> 
Skickat: den 21 november 2019 15:55
Till: anstalld.efternamn@umu.se<anstalld.efternamn@umu.se>
Ämne:  

Are you available?

Från:   Anställd UmU anstalld.efternamn@umu.se
Skickat: den 21 november 2019 16:01
Till: Chef på UmU chef.umu.se@gmail.com
Ämne: Re:

Nej inte just nu, ringer sen!
Hälsar
Anställd UmU

Från: Chef på UmU <chef.umu.se@gmail.com> 
Skickat: den 21 november 2019 16:06
Till: Anställd UmU <anstalld.efternamn@umu.se>
Ämne: Re:    

Jag är på ett möte just nu är det därför jag kontaktar dig här, jag borde ha ringt dig men telefon är inte tillåtet i mötet och jag vet inte när mötet kommer att vara över.
Skulle du tänka dig att plocka upp några presentkort till mig och jag kommer att ersätta dig senare?    

Jag behöver 2 bitar av 100 € Steam Wallet-presentkort. Känn dig fri att bara skrapa av koden och ta en bild och bifoga den till mig här. Se till att du också behåller det faktiska kortet, jag måste skicka det till någon och jag måste skicka det så snart som möjligt.
Tack.    

In English:
Since it’s Christmas soon and gifts are given not only to our family, but sometimes also to employees. The spammers want to take their share, too. Be aware of anyone asking you for economical favors. If in doubt about a mail you have received: Call the person!

I semestertider så är hackarna extra på, då de vet att vi inte har en kollega helt nära att fråga, utan troligen befinner oss på annan plats än kontoret. Detta mail dök upp igår och klickar man på länken leder den till något som ser ut som en kopia av inloggningen till vårt webmail. Om du av misstag har angett ditt lösenord på sidan, så byter du ditt lösenord omedelbart. I annat fall är det bara att kasta mailet i papperskorgen.

This is a phishing mail, please delete. The hackers know that lots of people in Sweden are on a vacation right now, and use that situation, trying to fool us to give out our passwords. If you have entered your password in the form below, do change your password ASAP. Otherwise, just delete the mail.

From: Nnnnn NNNNN [mailto:Nnnnn.NNNNN@gihs.sa.edu.au]
Sent: 22 July 2019 16:53
To: IT_admin01@outlook.com
Subject: Warning From System Admin
Importance: High

he storage limit of your mailbox is over 80% full on the email server.

Click HERE to visit the new Outlook Storage Access [Which was Created During the recent System upgrade to enable email users increase their storage capacity] and sign in to send a request to service desk admin to adjust and increase your mailbox storage.

© 2019 System Team Admin

Information Technology Services

This message is intended for the addressee named and may contain privileged information or confidential information or both. If you are not the intended recipient please delete it and notify the sender.