Mejl om oväntad nyårsgåva – för bra för att vara sant

Det hann inte passera många timmar av det nya året innan det började cirkulera mejl om att mottagaren vunnit en gåva.

Det tål att upprepas. Det finns ingen okänd välgörare som vill ge dig en gratis telefon eller ett par hörlurar mot att du betalar en mindre leverans- eller tullavgift.

Det enda som nu behövs är en liten leverans- eller tullavgift – sedan kan den hämtas ut. Haken är att det inte finns något paket. Förutom att spela på det nya året använder bedragarna greppet att det inte sällan förekommer tillkommande avgifter när en försändelse ska hämtas ut.

De som fått ett paket eller annan försändelse skickad till sig vet att dessa ofta behöver hämtas vid ett utlämningsställe. Därför använder sig bedragarna av samma metod. Mottagaren får ett mejl om att ett paket finns att hämta och att det bara behövs en mindre betalning för att lösa ut den. Bedragarna länkar sedan till fejkade landningssidor där mottagaren ska fylla i sina kreditkortsuppgifter.

Verkar trovärdigt – men ingenting är gratis

Även om flertalet genomskådar den här typen av mejl är det uppenbart att en del människor går i fällan. Att det ofta rör sig om en mindre frakt- eller tullavgift gör också att en del mottagare släpper garden och följer instruktionerna.

– En av anledningarna att bluffen fungerar är att de som står bakom lägger sig nära vad som skulle kunna vara en verklig situation och ett legitimt e-postmeddelande. Att spela på olika högtider som exempelvis jul och nyår bidrar också. Dessutom ligger fejkade sidor i dag ofta under en HTTPS-adress med låssymbol. Det invaggar också mottagarna i en falsk trygghet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Ibland får mottagaren ytterligare ett meddelande som säger att betalningen inte kunde genomföras och att ett annat kort behöver användas. Den som följer med så långt har precis gett bedragarna tillgång till två kort.

Sophos tips för att inte gå på bluffmejl:

  • Var särskilt uppmärksam på mejl från transportörer och ombud. Ett telefonsamtal till kundtjänst brukar hjälpa långt för den som kontrollera äktheten i en mejlavisering.
  • Undvik länkar. I stället för att använda den medföljande länken är rådet att själv skriva in adressen till det företag eller ombud som meddelandet skickats från (eller vill ge sken av att ha skickats från).
  • Kontrollera URL:en. Om du ändå väljer att klicka på en länk kommer du sannolikt till en sida som använder HTTPS. Problemet är att det i sig inte är någon garant för säkerheten. Det visar bara att sidan har ett HTTPS-certifikat. Däremot innebär det inte att du hamnat på en legitim sida. I dag använder de flesta bedragare HTTPS.
  • Anmäl kortbedrägeri direkt. Om du kommit så långt som till att uppge dina kortuppgifter och sedan insett att det är en bluff bör du omgående kontakta banken för att spärra kortet.