Världen befinner sig i ett spänt läge. Olika forskargrupper och myndigheter arbetar hårt för att bromsa in spridningen av COVID-19 och samtidigt ta hand om de som redan är smittade. Viruset är ett stort problem och pandemin har nu även har fått en ”kompis” i cyberrymden.

Vi har under en längre tid övervakat köp av domännamn för att se olika trender kopplat till spridning av malware, phishing samt bedrägerier. Senaste veckan har vi märkt en explosionsartad ökning av antal köpta domännamn med anknytning till COVID-19. Ett stort fokus har lagts på att köpa domännamn som har orden ”covid”, ”coronavirus” och ”WHO” i namnet. På tre dagar från och med onsdag har fler än 5 000 nya domännamn med koppling till pandemin registrerats, och då är det toppdomänerna .COM, .NET och .INFO som är populärast.

Efter en djupare analys på ett urval av domännamnen kan vi konstatera att ett stort antal används för phishingattacker. Phisning (nätfiske) är en typ av bedrägeri där angriparen, med hjälp av e-posten, lurar mottagaren genom att utge sig för att vara en legitim avsändare från exempelvis en bank, myndighet eller företag. Oftast handlar det om att använda ett domännamn som liknar den riktiga, men som har registrerats med en annan toppdomän, exempelvis .INFO eller .NET, eller .ES för att efterlikna .SE.

En del av domännamnen som vi analyserat används också för rena bedrägerier vid köp av vitaminer, desinfektionsprodukter och toalettpapper från olika påstådda försäljare. Några som påträffades sålde också påhittade botemedel för COVID-19.

Ett stort antal människor jobbar hemifrån och är oroade för framtiden, både kopplat till hälsa och ekonomi. Stress och andra mentala påfrestningar tenderar att göra människor mindre kritiska till information som de läser eller hör. Bedragare och kriminella vet detta. De är också väl medvetna om att långt ifrån alla organisationer har de tekniska verktyg och den kompetens som krävs för att tillåta säkert arbete hemifrån. Det har helt enkelt gått för fort att skicka hem anställda, och det är det här kriminella nu utnyttjar.

Kopplat till den ökningen av phishingattacker som vi tror kommer, har vi valt att undersöka svenska myndigheter och deras kommunikation och IT-system. Vi kan konstatera att det i vissa fall ser väldigt illa ut. Vi har varit i kontakt med ett antal myndigheter och meddelat om problematiken kring domännamn. Bland annat har vi kontaktat Folkhälsomyndigheten och pratat kring deras domännamn. Vi har nämligen upptäckt att många domännamn kopplat till Folkhälsomyndigheten fortfarande ligger öppet för försäljning.

Vi måste alla försöka att bidra till ett säkrare samhälle. Efter kontakt med Folkhälsomyndigheten om domännamnen – varpå de insåg problematiken men hindrades av myndighetsbyråkrati – valde vi att köpa ut ett antal domännamn i syfte att förhindra att de användas vid bland annat phishingattacker och andra bedrägerier.

Vi har köpt följande adresser:

folkhalsomyndigheten.com
folkhalsomyndigheten.net
folkhalsomyndigheten.org
folkhalsomyndigheten.info
folkhalsomyndigheten.es

folkhälsomyndigheten.net
folkhälsomyndigheten.org
folkhälsomyndigheten.info
folkhälsomyndigheten.es

När många andra bolag hjälper till med sjukvårdsmaterial vill vi helt enkelt – som informationssäkerhetsbolag – dra vårt strå till stacken. Det sista vi vill är att se människor och företag utsättas för riktade phishingattacker när de har viktigare saker att fokusera på. Problemet kring domännamnen är inte unikt för Folkhälsomyndigheten. Många andra myndigheter och företag står inför samma utmaning.

Guide till ett säkrare arbete:

  • Vänd dig till legitima webbplatser och grupper för information om pandemin. Dessa inkluderar bland annat MSB (https://www.krisinformation.se, https://www.msb.se), Folkhälsomyndigheten (https://www.folkhalsomyndigheten.se) och 1177 Vårdguiden (https://www.1177.se).
  • Var kritisk till den e-post och de SMS som du tar emot och läser. Tänk på att en legitim myndighet aldrig kommer att fråga dig om ditt lösenord eller be dig göra en banköverföring. Verifiera alltid att avsändarens adress är äkta och inte kommer från exempelvis .SITE, .CLUB eller .SHOP, eller andra toppdomäner. I Sverige är det den svenska toppdomänen .SE som oftast gäller för samtliga myndigheters webbplatser och e-postadresser.
  • Uppge aldrig dina bankuppgifter eller annan känslig information om dig via e-post. Myndigheter och kommunala verksamheter har redan allt de behöver veta om dig.
  • Om du misstänker att du har tagit emot ett phishingmeddelande men inte öppnat det bör du omedelbart lägga det i skräpposten och blockera avsändaren. Är meddelandet till din företags e-post bör du direkt rapportera det till din IT-avdelning. Det kan vara andra på företaget som har fått samma meddelande och då är det mycket viktigt att IT-avdelningen känner till problemet.
  • Du som IT-ansvarig eller administratör bör se till så att användare vet hur de ska agera om de utsätts för phishing. Skriv gärna en kort instruktion på hur de ska agera vid en incident. Utvärdera också möjligheten att aktivera tvåfaktorsautentisering på nyckelpersoner och anställda som har tillgång till känslig företagsinformation.

Avslutningsvis kan vi säga att det är svåra tider just nu. Men genom samarbete och rätt kompetensdelning kan vi lösa de flesta problem.

Henrik Petterson