Vi ser just nu att det kommer en stor mängd spam som utger sig för att vara en faktura från Telia.

Information om mejlet:
Avsändare: info@telia.se
Subjekt: Fakturor

Det är olika servrar som används för utskicket men ett par som dyker upp ofta är
mout-xforward.kundenserver.de
smtp-proxy00**(1-4)**.phy.lolipop.jp

Här nedan ser ni ett exempel på hur mejlet ser ut, beloppet och OCR-numret är olika i alla mejl.

Bild på mejlet

Mejlen innehåller sedan länkar som de vill att användaren ska klicka på, dessa länkar byts och verkar inte vara samma i några utav mejlen.

Men när en användare klickar på länken så görs en redirect till följande domän
telia-server7.net

Vår rekommendation är att blocka denna domän i sina skydd där detta är möjligt så som webbfilter, brandväggar och Proxy.

Länken verkar för närvarande inte vara tillgänglig när test gjordes ca kl 14.20 så vidare analys av vad som är det huvudsakliga målet med kampanjen går för närvarande inte att fastställa.

För kunder med SuperVision Mail så har dessa stoppats av spamfiltret dels genom FortiGuard och custom regler som vi har skapat.

Hälsningar
Anders Gunnarsson
Security Analyst