Informationssäkerhet Nu!
Denna vecka berättar vi om domännamn som hamnar i fel händer, något som också varit på tapeten i medierna. Vi förklarar skillnaden mellan webbplats och domännamn och ger råd om hur domännamn och hanteringen av dem kan skötas på rätt sätt. Vi berättar också om det skadliga programmet Lumma Stealer som nu sprids med nya metoder, Veckan för digital säkerhet och cybersäkerhetsmånaden som nu börjat och om skyddet av avsändaridentifikationen för textmeddelanden.
Föråldrade domännamn väcker diskussion
Under den gångna veckan har Cybersäkerhetscentret fått anmälningar om föråldrade domännamn som en opportunistisk aktör har registrerat på nytt och skapat webbplatser som liknar de tidigare. Vi har publicerat en Informationssäkerhet nu!-artikel om hanteringen av domännamn.
Ett föråldrat domännamn kan registreras av någon annan. När en utomstående övertar domännamnet är det inte längre ditt och allt från kasinoreklam till pornografiskt material kan dyka upp på webbplatsen. När du skapar ett domännamn ska du noggrant överväga om du eller det varumärke du administrerar kan skadas om du i något skede avstår från domännamnet. Det är klokt att planera på förhand om man kan avstå från domännamnet eller om det är bäst att inte göra det.
Det är alltså viktigt att se till att domännamnen är giltiga. Ett bra sätt är att ha en anteckning i kalendern en månad innan domännamnet måste förnyas.
Ett skadligt program som stjäl information sprids på ett nytt sätt
Det skadliga programmet Lumma Stealer började spridas på ett nytt sätt i augusti. Enligt våra observationer har offren uppmanats att ge ett skadligt kommando i Windows under förevändning att de måste identifiera sig på webbplatsen. Detta har lett till att Lumma Stealer har installerats på deras dator. Information som ett skadligt program har stulit kan säljas eller utnyttjas direkt.
Enligt uppgifter från Cybersäkerhetscentret har det skadliga programmet spridits på följande sätt:
- I popup-reklam på webbplatsen
- Genom att manipulera sökmotorresultaten när användaren har sökt till exempel program eller dokument
- Som ett GitHub-meddelande via e-post
Oberoende av hur programmet sprids begär den sida som sprider det skadliga programmet att besökaren ska bevisa att hen är en verklig användare. Det görs med en Captcha-verifiering som också används på många andra sidor. När användaren trycker på knappen "I'm not a robot" aktiveras en JavaScript-kod på webbplatsen och koden kopierar ett skadligt PowerShell-kommando på offrets klippbord. Därefter ombeds offret öppna Windows-fönstret och lägga till det skadliga kommandot i fönstret som öppnas. Till sist uppmanas offret att ge ett kommando som inte syns helt. Kommandot laddar ner det skadliga programmet Lumma Stealer på offrets dator.
Begäran om autentisering på en webbplats som sprider ett skadligt program. I begäran uppmanas offret att öppna ett fönster och ge ett kommando som aktiverar det skadliga programmet.
Det skadliga programmet Lumma Stealer stjäl inloggningsuppgifter från offrens webbläsare, kakor som används för verifiering i webbtjänster samt webbhistorik. Dessutom kan det skadliga programmet stjäla kryptovalutaplånböcker och filer som finns på offrets dator. Cyberbrottslingar använder ofta detta skadliga program och den stulna informationen kan säljas eller användas för dataintrång eller nätfiske.
Hur kan man skydda sig mot Lumma Stealer? De traditionella bekämpningsmetoderna är viktiga även när det gäller detta program. Se till att alla program är uppdaterade, även antivirusprogrammet. För organisationer är det viktigt med aktuella identifikationsuppgifter i antivirusprogrammet och i terminalernas övervakningsprogram
Veckan för digital säkerhet och den europeiska cybersäkerhetsmånaden
Denna vecka var den traditionella veckan för digital säkerhet. Hundratals organisationer i olika delar av landet deltog i temaveckan som Myndigheten för digitalisering och befolkningsdata ordnade redan för femte gången. Under Veckan för digital säkerhet ges information om konkreta metoder för att förbättra cybersäkerheten och den digitala säkerheten. Under veckan får deltagarna höra inlägg av experter på digital säkerhet och tips om hur de kan främja det egna digitala välbefinnandet. Cybersäkerhetscentret var också en synlig aktör på evenemangen som ordnades under veckan.
På måndagen diskuterade vår informationssäkerhetsexpert Matias Mesiä vilka åtgärder man kan vidta om man fallit offer för nätbrott. Samma dag deltog också vår informationssäkerhetsexpert Samuli Könönen i en paneldiskussion om situationen beträffande nätbrottslighet i Finland. Cybersäkerhetscentrets generaldirektör Jarkko Saarimäki deltog i den klassiska paneldebatten under Veckan för digital säkerhet. Diskussionen gällde då i större utsträckning cybersäkerhetssituationen i Finland.
Veckan för digital säkerhet är också startskottet för den mer omfattande cybersäkerhetsmånaden i hela Europa. Temat för månaden i år är social manipulation. Det kan hända att personer vi möter på Internet är något helt annat än vad de påstår sig vara. Personerna och identiteterna kan vara falska, omändrade med digitala metoder eller så kan någon ge sig ut för att vara en bekant till dig. Genom att använda olika identiteter försöker brottslingarna manipulera andra användare och få dem att handla mot sina egna intressen.
Följ kampanjen i sociala medier med hashtaggarna #ThinkB4UClick och #CyberSecMonth
Stoppa bluffmeddelanden som skickas i falskt namn
Nätbrottslingar fabricerar bedrägerier som har ett penningvärde på flera tiotals miljoner euro per år. Cybersäkerhetscentret har ofta varnat både för bedrägerimeddelanden som skickats i andra organisationers namn och i Traficoms namn.
Tack vare samarbetet mellan Traficom och teleoperatörerna kan avsändaridentifikationen för textmeddelanden skyddas mot förfalskningar i Finland. Organisationerna kan skydda sin avsändaridentifikation (SMS Sender ID) och säkerställa att ingen annan aktör kan använda samma identifikation i Finland. När avsändarens identifikation är skyddad och det har bekräftats att den är äkta kan mottagaren lita på att meddelandet är äkta.
Även Traficom har skyddat sin avsändaridentifikation för textmeddelanden, dvs. SMS Sender ID. Allt som allt har redan nästan 200 organisationer skyddat sin avsändaridentifikation. Vi rekommenderar att alla organisationer som skickar textmeddelanden skyddar sin avsändaridentifikation så snart som möjligt.
Sårbarheter
CVE: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
CVSS: 9.9
Vad: Sårbarheterna i CUPS, ett system för utskrifter, möjliggör en slumpmässig kod
Produkt: Common UNIX Printing System
Korrigering: korrigerande uppdatering
Bekanta dig med veckoöversikten
Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 27.9–2.10.2024). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.