Många funderar ju vad som händer om en webbplats blir hackad. Gammalt i tiden gjorde ju hackare detta dels för att visa att dom kan men sen även för att visa någon typ av budskap på hemsidan. Med tiden har detta förändrats. Nu ligger det en hel del ekonomiska motiv bakom det hela, jag ska ge ett litet exempel här:

Häromdagen fick jag ett mail från ”Netflix” med ärendet konto upphängd – kod 99006

Så här såg det ut:

Netflix scam mail

Om man försiktigt pekar på länken (Klicka INTE) logga in till Netflix, går det snabbt att konstatera att länken minsann inte går till Netflix utan till en helt annan webbplats som jag inte nämner vid namn. Då jag inte heller klickat på länken så vet jag förstås inte riktigt hur sidan ser ut, men kan förstås ana att de vill ha mina inloggningsuppgifter till netflix, där man kan ha lagrat sina kortuppgifter förstås.

Var kommer mailet ifrån då?

Nå, hur kom det sig att det här dök upp i min inkorg, och varför har regeringen skickat det? Det förefaller som att faktura@government.se faktiskt skickat det här mailet. En snabb till på whois visar ju att government.se faktiskt ägs av Regeringskansliet, så det är ju en seriös domän eller hur?

Naturligtvis dyker det ju upp en del frågor och funderingar, varför skulle regeringens fakturaavdelning vilja be dig uppdatera betalningsinformationen på Netflix? Haha, lite får man ju skratta i alla fall. Men som sagt, det är en seriös domän och den finns och fungerar….. fast, den har ingeting med det här att göra, alls.

Vem som helst kan sätta avsändare till vad som helst!

Tänk, och märk väl mina ord. Vem som helst kan sätta en avsändare till vad som helst, det är skitenkelt och alla som har outlook kan faktiskt göra det!

Vi tar en djupdykning i meddelandets ursprung och kollar lite

Jag raderar en del rappakalja, men tar med det jag tycker är lite intressant.

Först ser vi att det kommer in till outook.com där jag har min mail

Received: from DB6PR0601MB2375.eurprd06.prod.outlook.com (10.169.213.18) by
Authentication-Results: spf=none (sender IP is 80.88.126.9)
smtp.mailfrom=government.se; vildmarksdata.se; dkim=none (message not signed)
header.d=none;vildmarksdata.se; dmarc=none action=none
header.from=government.se;
Received-SPF: None (protection.outlook.com: government.se does not designate
permitted sender hosts)

Bakåtspårar…

Här ser vi att det gått genom vårt mailfilter

Received: from mail.vildmarksdata.net (80.88.126.9) by
AM5EUR03FT057.mail.protection.outlook.com (10.152.17.44) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.20.239.4 via Frontend Transport; Sun, 3 Dec 2017 23:27:23 +0000
Received: from smtpfilter.vildmarksdata.net ([80.88.126.19])
by mail.vildmarksdata.net (IceWarp 12.0.2.0 x64) with SMTP id 201712040027248596
for <niklas@vildmarksdata.se>; Mon, 04 Dec 2017 00:27:24 +0100
X-Halon-ID: 804a2ebf-d881-11e7-ade2-00155dfc07cb

Här ser vi nåt intressant, mailets ursprung är ifrån en mailserver som heter s2.mydevil.net

Received: from s2.mydevil.net (unknown [212.91.26.159])
by smtpfilter.vildmarksdata.net (Halon) with ESMTPS
id 804a2ebf-d881-11e7-ade2-00155dfc07cb;
Mon, 04 Dec 2017 00:27:17 +0100 (CET)

Här ser vi att det skickas från s2-servern och taggar från-adressen till faktura@government.se

Received: from localhost
([127.0.0.1] helo=s2.mydevil.net ident=aukcje)
by s2.mydevil.net with esmtp (Exim 4.89 (FreeBSD))
(envelope-from <faktura@government.se>)
id 1eLdfJ-000Elv-CK
for niklas@vildmarksdata.se; Mon, 04 Dec 2017 00:27:17 +0100
To: <niklas@vildmarksdata.se>
Subject: =?UTF-8?B?S29udG8gdXBwaMOkbmdkIC0ga29kOTkwMDY=?=

Här har vi då äntligen hittat källan till eländet! Vi har en webbplats i WordPress som är hackad. Den heter zaklejki.pl (toppdomän i polen) och kör uppenbarligen WordPress, då man ser wp-content i sökvägen, dessutom ser vi ip-nummret på siten!

X-PHP-Script: zaklejki.pl/wp-content/plugins/apikey/w1w.php for 91.142.209.122, 91.142.209.122
X-PHP-Originating-Script: 12939:w1w.php
From: =?UTF-8?B?TmV0ZmxpeCs=?= <faktura@government.se>

Vad kan vi lära oss av detta då?

Säkra upp din WordPress webbplats och se till att alla dina plugins också är uppdaterade. Det kan faktiskt vara så att den här skadliga koden finns på din sida utan att du eller dina kunder vet om det!