En användare lockas via mejl att besöka en falsk webbsida där hen uppmanas lämna ifrån sig inloggningsuppgifter till sitt mejlkonto. Bedragarna loggar sedan själva in på mejlkontot via OWA. Om kontot ser tillräckligt intressant ut ändrar de inställningarna för kontot så att inkommande mejl, eller en kopia av mejlen, eftersänds till bedragarnas mejlkonto. Inställningar för eftersändning syns inte i administrationsgränssnittet för kontot varför användaren inte känner till att så sker.

Det övertagna mejlkontot kan därefter användas av bedragarna för att skicka nya meddelanden till andra användare inom samma företag eller till exempel dess affärspartner. Avsändaren är då legitim och betrodd av mottagarna. Sådana mejl kan innehålla nya nätfisken eller begäran om utbetalningar av pengar (så kallade VD-bedrägerier), inköp av varor, förfalskade fakturor etc. Det kan inte uteslutas att även information stjäls från, eller via, övertagna mejlkonton.

Sveriges computer emergency response team, CERT-SE, som drivs av MSB, rekommenderar först och främst att implementera tvåfaktorsautentisering för all inloggning, även för extern åtkomst till mejltjänsten.

”Kontrollera aktivitetsloggar efter annorlunda nätverk och tider för inloggningar. Befintliga eftersändningar bör kontrolleras för alla användare i systemet. Behovet av att fortsatt kunna sätta egna eftersändningsregler bör övervägas. Antalet skickade meddelanden per tidsenhet kan begränsas”, skriver CERT-SE.

CERT-SE rekommenderar också att man utvecklar användares vaksamhet och upplyser om nätfiskarnas metodik. Om möjligt, menar de också att man bör använda DMARC som minskar risken att ta emot mejl från förfalskade avsändare.

”Anmäl alltid misstänkt dataintrång, eller försök därtill, till Polisen. CERT-SE önskar också att drabbade företag tar kontakt med oss så att vi kan få en bättre lägesbild av omfattning och skilda modus. Vi bistår också med råd vid sådan incident”, skriver CERT-SE.