Torsdagens phishing-mail, der giver sig ud for at være fra det amerikanske postfirma FedEx, har meget tilfældes med sidste måneds Tele2-mail.
Men i modsætning til tidligere phishingforsøg prøver FedEx-ormen at videresende sig selv via instant Messenger-systemer som eksempelvis MSN Messenger og ICQ.
Det fortæller Peter Kruse fra sikkerhedsfirmaet Csis.
Firmaet har i løbet af torsdagen analyseret koden, og det står nu klart, at den server som koden ringer op til, det såkaldte command and control center, er placeret i Rusland.
”Vi har henvendt os til udbyderen med bevismateriale, så den kan blive pillet ned,” siger Peter Kruse.
Imidlertid kan det tage alt fra minutter til måneder før ejerne af en inficeret server reagerer på en henvendelse.
Blokeret fra fredag
Men ifølge Peter Kruse kan danske brugere allerede fra i morgen føle sig bedre beskyttet fordi de danske internetudbydere sammen med myndighederne har blokeret forbindelsen til den russiske server.
”Serveren rummer intet andet end skadelig kode. Så den kan man med god samvittighed blackliste,” siger Peter Kruse.
Koden er skrevet så den er i stand til at sprede sig til andre via ICQ og MSN Messenger og andre instant messenger programmer.
Desuden kan den sprede sig selv via webbaserede mailservices som eksempelvis Yahoomail, Hotmail og Gmail.
”Desuden bruger den skabeloner, hvilket faktisk er snedigt,” siger Peter Kruse.
Tegn på samme bagmænd
I forbindelse med Tele2 phishingforsøget sendte bagmændende også skabeloner ud.
Derfor er der meget, der tyder på, at det er den samme gruppe af mennesker, fortæller Peter Kruse.
Det nye phishing- angreb kan kun ramme computere, der benytter Windows og som ikke er opdateret. Mac- eller Linux-maskiner er ifølge Peter Kruse slet ikke i fare.
Torsdagens phishing-angreb har endnu ikke haft nogen direkte konsekvenser for netbankkundernes konti. Og hvis det får det, kan der gå noget tid før der sker noget.
Angreb kan vente i uger
Spørgsmålet er nemlig om de oplysninger ormen indsamler fra de danske computere skal sælges videre til andre.
Er dette tilfældet, kan der gå uger, før netbanker og kunder mister penge.
”Vi taler fra få dage til uger. Men ikke timer,” siger Peter Kruse.
Det er endnu for tidligt at sige om nattens angreb har en relation til den baltiske bande, der tidligere på året drænede danske netbanker for op mod tre millioner.
”Men det tyder på at der kunne være tale om konstellationen af den samme bande,” siger Peter Kruse, der vurderer at et kommende angreb meget vel kan gøre brug af FedEx navnet eller et andet kendt brand, som danske brugere kender og har tillid til.
