Phishingadvarsel: Skatterefusjon

Publisert 13/05/2024 av Harald Eilertsen

phishing spam

Om du har fått en epost fra "Skatteetaten" om skatterefusjon, så er dette er svindel. Ikke klikk på lenker i eposten, men skulle du være i tvil, så logg deg inn direkte på skatteetaten sine sider.

Melding om evt skatt tilgode skal du få via altinn, ikke direkte i eposten din. (Igjen, logg inn direkte hos altinn, ikke klikk på lenker i epost eller andre steder for å komme dit!.)

Her er utdrag av eposten som dukket opp i en av mine honningfeller:

Date: Sun, 12 May 2024 23:16:23 +0200
From: Skatteetaten <skat[at]mehrdadjannesar[.]com>
Subject: VIKTIG: Du har rett til skatterefusjon på 620 NOK
X-Mailer: MailEnable WebMail.NET

Refusjonsvarsel:
Melding Ref: 505/NO705896

Skatterefusjonsbeløp: 6.200 kroner. (verdi for 2024)

Du er nesten på slutten av fristen.

Vennligst klikk her og fyll ut skjemaet riktig innen utgangen av januar.
Unnlatelse av å gjøre dette vil føre til tap av denne refusjonen og eventuelle
fremtidige krav.

Vennlig hilsen,

© Skatteetaten 2024

Siden du kommer til om du skulle klikke er hxxps://ficexpress[.]ca/sk/. Altså ikke skatteetaten.

På tross av at de ber deg klikke innen utgangen av januar(!), så er det altså best å la være, og vente på det egentlige skatteoppgjøret.

Videre analyse

Når du klikker på lenken, blir du sendt videre til hxxp://annova[.]biz/sk som er merket som en phishing side hos Virustotal.

Der får du opp følgende skjermbilde:

Skjermbilde av phishing side som ligner på skatteetatens forside. — Skjermbilde av websiden som dukker opp om man klikker på lenken. Den ligner til forveksling på skatteetaten sine sider.

Legg merke til adresselinjen øverst, og hvor lenken til knappen under markøren fører (nederst til venstre.)

Klikker du på knappen så kommer du til en tilsynelatende litt en innloggingsside som ligner på den nå utdaterte innloggingssiden for BankID på mobil:

Skjermbilde av falsk BankID på mobil innloggingsside — En falsk (og litt utdatert) BankID på mobil innloggingsside.

Ved å fylle inn falske data (12345678 som telefonnummer, og 12345678901 som personnummer) kommer vi til kjernen av kampanjen:

Skjembilde av webside som ber om detaljer for betalingskort. — Phishingside som ber om betalingsdetaljer, kontrnummer, fullt navn, osv.

Her burde det være klart for de aller fleste at dette ikke er skatteetaten som er på ferde. Fyller du inn dataene de ber om her, så er det gode sjanser for at bankkontoen din blir tømt relativt umiddelbart. Ikke gjør det!

Helt til slutt: Jeg er en profesjonell IT-sikkerhetsutøver, og har både rutiner, kunnskap og verktøy for å beskytte meg mot evt ondsinnede sider. Ikke følg slike lenker med mindre du vet hva du gjør!

Jeg valgte å gjøre det her, for å vise hvordan mafiaen bak disse kampanjene opererer, og hvor lett det kan være å la seg lure om man først klikker på en lenke ved en feiltagelse.

De første sidene ser til forveksling like ut som du ville forvente, og når du først har begynt å fylle inn data, er det lett å la seg lure videre til å oppgi litt mer.