It-kriminelle er konstant på udkig efter nye måder, hvorpå de kan få deres spam- og phishing e-mails sendt ud. De gør hvad de kan for at få deres meddelelser til at ligne noget, der kommer fra en legitim kilde med et godt omdømme, så modtageren ikke ignorerer e-mailen. Og det er et problem for de berørte virksomheder, da spam og mails med ondsindede links sendt på deres vegne, kan kompromittere kundernes tillid til virksomheden og endda føre til lækage af personlige data.

Metoden er ligeså enkel, som den er effektiv

I dag er de fleste virksomheder interesseret i at modtage feedback fra deres kunder, så de kan forbedre kundeservice, kundefastholdelse og deres omdømme. Derfor beder virksomheder deres kunder oprette en personlig konto, abonnere på nyhedsbreve eller give feedback via formularer på hjemmesiden. Og det er præcis de mekanismer, som de it-kriminelle udnytter. Alle tre slags formularer kræver kundernes navn og e-mail-adresse, så de kan få en bekræftelsesmail eller feedback.

Ifølge Kasperskys it-sikkerhedsforskere, er det nemt for it-kriminelle at tilføje spam-indhold og phishing-links i denne type e-mails. Det eneste de skal gøre, er at skrive ofrets e-mailadresse i registrerings- eller abonnementsformularen og dernæst tilføje deres egen tekst, hvor kundens navn normalt skal stå. Hjemmesiden vil derefter sende en modificeret bekræftelses-e-mail til modtageren med reklame eller phishing-link.

"De fleste af disse modificerede e-mails er knyttet til online-undersøgelser, der er designet til at indhente personoplysninger fra de besøgende. De it-kriminelle ved, at meddelelser fra en pålidelig og velrenommeret virksomhed normalt går lige igennem spam-filtrene. Dette er grunden til, at denne nye metode til uønsket spam og phishing er så effektiv og bekymrende," bemærker Thomas Damsgaard, Head of Enterprise, Kaspersky i Norden.

For at beskytte virksomheden mod tab af omdømme, anbefaler Thomas Damsgaard, at virksomhederne:

• Kontrollerer hvordan feedback-formularerne fungerer på deres websites

• Indlejrer flere verifikationsregler, så man f.eks. ikke kan registrere et navn med upassende symboler eller links

• Foretager en sårbarhedsvurdering af hjemmesiden, hvis muligt.