Cybersäkerhetscentrets veckoöversikt – 16/2023

I denna veckas översikt behandlas följande

• Se upp för nätfiskemeddelanden med temat krypterad e-post
• Fakturabedrägerierna blir aktivare
• Rapport från polska myndigheter om en cyberaktörs spionkampanj
• NCSC-UK informerar om att hotnivån höjts
• Ibruktagandet av digitala tjänster och enheter ska ske på ett kontrollerat sätt

Se upp för nätfiskemeddelanden med temat krypterad e-post

Under de senaste veckorna har det cirkulerat många nätfiskemeddelanden med temat krypterad e-post. Cybersäkerhetscentret har tagit emot flera anmälningar om kapade användarkonton i samband med nätfiske med temat krypterad e-post. I rubrikerna på meddelandena anges till exempel ”faktura” eller ”sökanden”, och de innehåller en verklighetstrogen mall för krypterad e-post jämte länkar. På basis av anmälningarna har tusentals meddelanden under de senaste veckorna skickats till kontaktuppgifterna i kapade e-postkonton.

”I den senaste nätfiskekampanjen i anknytning till krypterad e-post har flera organisationer blivit utsatta. Fiskarna har vässat sina krokar med hjälp av meddelandemallar och organisationers logotyper som ser äkta ut”, säger Olli Hönö, informationssäkerhetsexpert på Cybersäkerhetscentret.

Om användaren anger sina uppgifter på en falsk webbplats och ett dataintrång görs byter brottslingen ut meddelandemallen för krypterad e-post. I flera fall har logotypen för den organisation som är föremål för intrång lagts till i mallen för de nya nätfiskemeddelanden som skickats i organisationens namn.

Cybersäkerhetscentret granskar de mottagna anmälningarna inklusive länkarna. Vid behov görs en begäran om nedkörning av den skadliga webbplatsen och vi kontaktar organisationen från vars kapade e-postkonton nätfiskemeddelandena har skickats vidare. Man kan inte nog betona vikten av öppenhet: Det är skäl att omedelbart anmäla ett kapat konto till den egna organisationen och till kontaktuppgifterna i e-posten. Vid behov kan man informera om händelsen även på organisationens webbplats.

Det är bra att anmäla olika slags bedrägerier och nätfiske till Cybersäkerhetscentret. Genom att anmäla förbättrar ni den nationella lägesbilden och hjälper andra organisationer. Cybersäkerhetscentrets begäranden om nedkörningar av skadliga webbplatser kapar av nätfiskekampanjens revar, och Cybersäkerhetscentret kontaktar de organisationer som det gjorts intrång i för att kontrollera huruvida händelsen har upptäckts och huruvida organisationen behöver hjälp.

Fakturabedrägerierna blir aktivare

Cybersäkerhetscentret har under den gångna veckan tagit emot flera anmälningar om försök till fakturabedrägerier från olika håll i Finland. Alla organisationer borde vara på sin vakt och utbilda sin personal i händelse av fakturabedrägerier.

Fakturabedrägerier riktar sig ofta mot de personer som ansvarar för organisationens fakturering och penningrörelse. Brottslingen kontaktar organisationen per e-post och utger sig för att vara till exempel företagets vd eller en representant för en samarbetspartner. Därefter ombeds mottagaren att göra en kontoöverföring eller en betalning. Bedragaren försöker skynda på ärendet och kan föreslå att mottagaren förbigår de vanliga processerna till exempel genom att säga att hen sitter i ett möte. E-postmeddelandet kan komma från ett kapat e-postkonto eller en kapad e-postadress som har förfalskats för att likna en annan persons e-postadress.

Organisationer kan skydda sig mot dessa bedrägerier genom att informera personalen. Det är viktigt att skapa tydliga rutiner och processer för hur fakturor ska hanteras och hur deras riktighet kan säkerställas. För att förhindra avvikelser är det skäl att ge personalen rådet att förhålla sig försiktigt till överraskande betalningsförfrågningar.

Rapport från polska myndigheter om en cyberaktörs spionkampanj

Den polska arméns kontraspionage SKW och CERT.PL har publicerat en rapport om en omfattande spionkampanj. I de polska myndigheternas rapport kopplas cyberaktören APT29 ihop med kampanjen. Enligt rapporten var syftet med kampanjen att samla in information om bland annat utrikesministeriet och diplomatiska enheter med hjälp av en riktad nätfiskekampanj per e-post. Största delen av de identifierade målen för kampanjen finns i Natos medlemsländer, i Europeiska unionen och i Afrika.

Målet för kampanjen som beskrivs i rapporten är att sprida ett skadeprogram via e-post. I kampanjerna utnyttjas en länk eller en bilaga som skickas i ett e-postmeddelande och som leder användaren till en webbplats för nedladdning av ett skadeprogram. Skadeprogrammet som laddas ner på webbplatsen kan vara paketerat i exempelvis en ISO- eller IMG-skivavbildsfil. När filen öppnas aktiveras skadeprogrammet.

Användning av en skivavbildsfil för att sprida ett skadeprogram är ett sätt att undvika varningen ”mark-of-the-web” som anges på filerna och som skulle avslöja för användaren att filerna är nedladdade via internet. I rapporten rekommenderas att man förhindrar eller begränsar användningen av skivavbildsfiler på arbetsstationer.

Hotet från statsvänliga grupperingar mot kritisk infrastruktur har ökat i västländerna

Storbritanniens nationella cybersäkerhetscenter (NCSC-UK) varnar för ett ökat hot från statsvänliga grupperingar mot kritisk infrastruktur i västländerna. De nya typerna av hotaktörer skiljer sig från tidigare aktörer i det att de ofta inte omfattas av Rysslands officiella styrning, även om de förlikar sig med statens förmodade mål. Deras verksamhet är mindre begränsad och målen större än för traditionella cyberbrottslingar, vilket gör dem mindre förutsägbara.

I meddelandet berättas även att fokus för dessa grupperingars verksamhet i allmänhet är överbelastningsangrepp samt att skada webbplatser och sprida desinformation. En del grupperingar vill orsaka mer störningar i kritisk infrastruktur i västländerna.

Storbritanniens cybersäkerhetscenter anser att det är osannolikt att dessa grupperingar på kort sikt skulle ha förmågan att åstadkomma några förödande effekter utan hjälp utifrån. Angreppen kan dock utveckla sig och bli effektivare på lång sikt. NCSC-UK uppmanar oss att agera nu, så att organisationerna kan hantera risken i händelse av kommande lyckade angrepp.

Då och då tar Cybersäkerhetscentret emot varningar om att olika slags digitala tjänster eller enheter marknadsförs aggressivt till personalen i olika organisationer. Väldigt ofta är produkterna i fråga molnbaserade och enkla att ta i bruk utan stöd från organisationens informationsförvaltning. Bland anmälningarna av det här slaget har man tills vidare inte upptäckt någon egentlig skadlig verksamhet, men Cybersäkerhetscentret vill ändå påminna om hanteringen av riskerna i anknytning till detta.

Varje enhet eller tjänst som är ansluten till en organisations datanät eller servicemiljö (till exempel dess centraliserade användar- och behörighetsadministration) ökar även cyberriskerna för organisationen. Därför borde organisationernas ledning säkerställa att tillräckliga metoder används för att hantera dessa risker.

Organisationerna ska säkerställa att

• alla digitala produkter och tjänster tas i bruk endast i enlighet med i förväg definierade processer, där organisationens principer och krav för informationssäkerheten beaktas
• ovan nämnda principer ska ha kommunicerats till organisationens personal, så att exempelvis olika kontakttillfällen i marknadsföringssyfte kan styras till de enheter som ansvarar för inköp
• cybersäkerhetsnivån för leverantören av varje produkt eller tjänst bedöms. Kan leverantören tydligt visa på vilket sätt den sörjer för informationssäkerheten?

Sårbarheter

CVE: CVE-2023-2033
CVSS: 8.8
Vad: Google åtgärdade en nolldagssårbarhet i webbläsaren Chrome som utnyttjats aktivt
Produkt: Webbläsaren Google Chrome
Korrigering: Uppdatera Chrome till version 112.0.5615.121