IT-säkerhetsföretaget Proofpoint varnar nu för en uppgång av e-postbedrägerier riktade mot universitet.
De kriminella bakom bedrägerierna är ute efter att stjäla inloggningsuppgifter och använder sig av mejl med information och falska testresultat om den nya covid-19-mutationen Omicron.
Sedan pandemins start har Proofpoint observerat bedrägerier med covid-19-teman som riktats mot utbildningsinstitutioner. Efter tillkännagivandet av den nya Omicron-varianten i slutet av november uppkom nya versioner av bedrägerierna. De kriminella aktörerna började då utnyttja den nya Omicron-varianten i kampanjer för identitetsstöld. Hittills har tusentals mejl skickats ut till ett dussintal universitet.
Attackerna som riktats mot universitet är intressanta på grund av bedragarnas ansträgningar för att efterlikna legitima inloggningportaler, samt hur specifika de är i val av målgrupp.
Detaljerat om attackerna
Mejlen innehåller bilagor eller länkar till sidor som är avsedda att samla in autentiseringsuppgifter för universitetskonton. Sidorna imiterar universitetens officiella inloggningsportaler. I vissa fall, såsom mejlen gällande Omicron-varianten, omdirigeras mottagarna till en legitim universitetssida efter att uppgifterna samlats in.
Ett av mejlen som upptäckts innehåller ämnesraden: ”VIKTIGT – Information angående covid-19-varianten Omicron – 29 november”. Mejlet innehåller även en länk till den förfalskade inloggningsportal de cyberkriminella använder för att samla mottagarnas inloggningsuppgifter.
I vissa attacker försöker kriminella aktörer stjäla multifaktorautentiseringsuppgifter (MFA) genom att imitera MFA-leverantörer som Duo. När dessa försök lyckas möjliggör det för angriparna att kringgå det andra säkerhetsskiktet som är utformat för att hålla ute hotaktörer som redan känner till ett offers användarnamn och lösenord.
Många meddelanden skickas via falska avsändare, men Proofpoint har också upptäckt hotaktörer som hackat sig in på legitima universitetskonton. Sannolikt stjäl de kriminella aktörerna uppgifter från universitet och använder sedan de hackade mejladresserna för att sprida falska mejl till andra universitet.
Än så länge har Proofpoint inte tillskrivit denna aktivitet någon känd aktör eller kriminell grupp. Vad hotaktörerna är ute efter eller vad som är det slutgiltiga målet för är för närvarande okänt.