Uppdatering: Vi skriver nedan att postnord.se är den enda domänen att lita på, men Postnord använder även postnord.com för vissa tjänster, bland annat spårning av försändelser.

– Phishing i all ära, men detta är sjukt snyggt utfört. Man ska väl egentligen inte bli imponerad, men det är länge sedan jag såg en så här sofistikerad kampanj, säger David Jacoby, it-säkerhetsexpert på Kaspersky.

David Jacoby fick själv ett mejl den 14 november, men det tog ett par dagar innan han upptäckte mejlet i sin skräppostlåda.

Kampanjen är utan tvekan riktad mot Sverige – språket och designen är perfekt. E-postmeddelandet säger att en försändelse till mottagaren inte kunnat levereras trots två försök, och för ytterligare försök krävs att mottagaren betalar 25 kronor med sitt betalkort.

Phishingkampanj fejkar Postnord
Bluffen är ytterst skickligt utformad.

Men innan mottagaren kommer till betalsidan ber landningssidan även om namn, gatuadress, telefonnummer och e-postadress. Bedragarna vill uppenbarligen fylla på data om mottagaren och de extra personuppgifterna bekräftar att mottagarens stulna e-postadress används av en viss individ.

Kan sälja uppgifterna vidare

– Det är hundra procent säkert att kampanjen riktar sig mot svenska mottagare. De samlar in mer än ”bara” kreditkortsnummer för att samla in så mycket data de kan. Då vet de att mottagaren bor i Sverige och de kan sälja uppgifterna vidare till andra cyberkriminella eller utveckla fler kampanjer, säger David Jacoby.

Det bedrägliga e-postmeddelandet har en avsändaradress från domänen postnord.sverige och länken till landningssidan går till en domän i Tjeckien och pekas vidare till en domän i Storbritannien.

– Landningssidan ligger troligen på en hackad Wordpress-sajt, det är så de brukar göra. När jag såg mejlet fick jag titta två gånger innan jag såg att det är fejk. Man kan enkelt se att domänen och länken inte stämmer, men annars är detta otroligt välgjort, säger David Jacoby.

– Problemet är att har du väl klickat på länken så har du så att säga köpt konceptet, då är risken stor att du genomför hela processen. Vart uppgifterna sedan skickas har jag inte hunnit analysera.

Varnar allmänheten

David Jacoby vill varna allmänheten för den nya kampanjen. Med black friday runt hörnet kommer fler människor än vanligt att vänta paket från Postnord.

Phishingkampanj fejkar Postnord

– De cyberkriminella vet att utnyttja de rätta tillfällena. Nu kommer black friday och sedan julen och folk kommer sitta hemma och förvänta sig fler paket än normalt. I dessa tider av corona när man sitter hemma och handlar på nätet måste folk vara än mer försiktiga, de cyberkriminella följer utvecklingen tar alla tillfällen att lura folk, säger David Jacoby.

Alltså: Se upp med mejl från Postnord, även eller särskilt om du beställt paket. Postnords domän i Sverige är postnord.se och ingenting annat. Det gäller både avsändaradressen för mejlet och länken till landningssidan.

Läs också:
Sofistikerad attack mot Office 365 – rundar skydd för företag
Microsoft pekar ut Ryssland och Nordkorea för attacker mot vaccinforskning