Cybersäkerhetscentrets veckoöversikt – 4/2026

Nätfiskemeddelanden maskerade som tandläkartidsbokningar i omlopp

Under den gångna veckan observerades flera nätfiskemeddelanden där mottagaren kontaktas och uppges ha ett ärende som rör tandläkartidsbokning. Meddelandena är omsorgsfullt utformade och utnyttjar en vardaglig och för många välbekant situation: ett kommande besök, en bekräftelse av tiden eller en påstådd avbokning.

Typiskt uppmanas mottagaren att klicka på en länk för att kontrollera tiden eller genomföra en betalning. I vissa fall skapas en känsla av brådska, till exempel genom att påstå att tiden avbokas om mottagaren inte reagerar snabbt. Länkarna leder dock till förfalskade webbplatser där man försöker fiska efter bankkoder, betalkortsuppgifter eller andra personuppgifter. Det är anmärkningsvärt att meddelandena ofta saknar mottagarens namn samt information om behandlande tandläkare eller klinik. Avsändaradressen kan likna en äkta adress, men vid närmare granskning framträder avvikelser.

Om du får ett meddelande som rör ett tandläkarbesök, klicka inte på länkarna i meddelandet. Kontrollera tidsbokningen direkt via vårdinrättningens officiella kanaler eller genom att kontakta mottagningen. Misstänkta nätfiskemeddelanden bör raderas och vid behov rapporteras till organisationens informationssäkerhetsansvariga.

Om du misstänker att du har blivit lurad:

• Kontakta omedelbart din bank om du har angett bank- eller betalkortsuppgifter på en bluff­sida.
• Gör en polisanmälan.
• Du kan också göra en anmälan till Cybersäkerhetscentret.

Kontokapningar i snabbmeddelandetjänster har ökat

Cybersäkerhetscentret har under de senaste veckorna tagit emot ett stort antal anmälningar om kapningar och kapningsförsök av WhatsApp- och Telegram-konton. Brottslingar utnyttjar särskilt WhatsApps funktion för länkning av enheter samt telefonabonnemangens svagt skyddade röstbrevlådor. Konton kan kapas antingen genom att angriparens enhet länkas till ett befintligt konto eller genom att kontot registreras på nytt på angriparens enhet med hjälp av en verifieringskod.

WhatsApps länkning av enheter utnyttjas i så kallade GhostPairing-attacker. Attacken inleds ofta med ett kort lockmeddelande som innehåller en länk. Länken leder till en bluff­sida där användaren ombeds ange sitt telefonnummer för ”verifiering”. Därefter visas en kod för användaren som i själva verket hör till länkningen av en ny enhet. När användaren anger koden i WhatsApp-appen får angriparen parallell och för användaren osynlig åtkomst till kontot. På så sätt kan brottslingen läsa och skicka meddelanden samt sprida bluffmeddelanden i offrets namn.

Telegram-konton har också kapats via röstbrevlådan. Om röstbrevlådan har en svag eller förvald PIN-kod kan angriparen få tillgång till verifieringskoden genom att lyssna på det verifieringssamtal som hamnar i röstbrevlådan. En del aktiveringsförsök har skett nattetid, då det är mindre sannolikt att samtalet besvaras.

För att förebygga kontokapningar rekommenderas att tvåsfaktorsautentisering aktiveras i alla snabbmeddelandetjänster, att verifieringskoder inte delas, att länkade enheter kontrolleras regelbundet samt att röstbrevlådans PIN‑kod byts eller att röstbrevlådan inaktiveras helt. Om ett konto har kapats ska länkade enheter kopplas bort omedelbart och kontakter varnas för eventuella bedrägerier.

Skadeprogrammet Kimwolf ansluter enheter till ett omfattande botnät

Kimwolf är ett storskaligt Android-baserat botnät. Med botnät avses infekterade datorer eller enheter som fungerar automatiskt tillsammans utan att ägarna är medvetna om det. Under hösten 2025 rapporterades skadeprogrammet som ansluter enheter till Kimwolf-botnätet ha infekterat över två miljoner enheter världen över. Särskilt utsatta är bristfälligt skyddade Android-baserade enheter, såsom tv-boxar och andra internetanslutna smarta enheter. Det är även möjligt att den skadliga koden har funnits på enheten redan i tillverkningsskedet innan användaren tagit den i bruk. Upptäckten av skadeprogrammet kan vara svår, eftersom den infekterade enheten till det yttre verkar fungera normalt, medan ett skadeprogram i bakgrunden obemärkt är aktivt och kommunicerar med fjärrservrar.

Kimwolf sprids främst till enheter med bristfälliga säkerhetsinställningar eller öppna fjärradministrationsfunktioner. En infekterad enhet kopplas till botnätet, som brottslingar kan utnyttja till exempel för överbelastningsattacker eller annan skadlig verksamhet. I praktiken kan en infektion märkas som att enheten blir långsammare, genom ovanlig nätverkstrafik eller ökad dataanvändning. Dessutom ökar skadeprogrammet risken för att personlig information, såsom lösenord, personuppgifter och annan information som matas in på enheten, hamnar hos brottslingar och senare missbrukas.

Observationerna kring Kimwolf påminner om att hemmets smarta enheter och underhållningsutrustning är en del av cybersäkerheten. För att skydda sig är det viktigast att hålla enheterna uppdaterade och installera uppdateringar regelbundet. Det rekommenderas att fästa särskild uppmärksamhet vid enhetens ursprung och tillverkare innan köpbeslut fattas. Det är också bra att säkerställa att inga onödiga fjärradministrationsanslutningar är aktiverade. Appar och fast programvara bör endast installeras från pålitliga källor. Byt även routerns standardlösenord och se till att det trådlösa nätverket är skyddat med lämplig kryptering.

Läs mer i Cybersäkerhetscentrets publikation:

Webbinarium om informationssäkerhet i kommunerna 2026 – cyberattacker är vardag och hotar även kommunala organisationer

Cybersäkerhetscentret vid Traficom, Myndigheten för digitalisering och befolkningsdata (MDB), Försörjningsberedskapscentralen, finansministeriet, undervisnings- och kulturministeriet samt Kommunförbundet ordnade fredagen den 16 januari 2026 ett avgiftsfritt webbinarium Kuntien tietoturva 2026 om kommunernas informationssäkerhet, riktat till sakkunniga och ledning inom kommunsektorn. Webbinariet för kommuner har ordnats årligen, och årets evenemang var det tredje i följd. Totalt följde över 300 deltagare webbinariet.

Tillfället fungerade som en start för utvecklingsarbetet inom informationssäkerhet i kommunsektorn under året och gav kommunernas sakkunniga och ledning väsentlig information om utvecklingen i cybersäkerhetens verksamhetsmiljö samt en omfattande översikt över utvecklingsriktningarna för de gemensamma cyber- och digitala säkerhetstjänster som produceras av statsförvaltningen. Webbinariet inleddes av biträdande cybersäkerhetsdirektör Janne Allonen från statens cybersäkerhetsdirektörs byrå. Under webbinariet behandlades bland annat genomförandet av cybersäkerhetsstrategin för kommuner, utvecklingen av lagstiftningen, disruptiva teknologier, nuläget för informationssäkerhet och dataskydd inom småbarnspedagogik samt förskoleundervisning och grundläggande utbildning, möjligheterna till EU-finansiering inom cybersäkerhet samt resultaten av sektorsvisa utredningar om cybermognad. Deltagarna hade även möjlighet att ställa frågor till experterna under tillfället.

Den allmänna hotnivån inom cybersäkerhet har förblivit förhöjd i Finland. Enligt de incidenter som anmälts till Cybersäkerhetscentret vid Traficom är finska organisationer fortfarande föremål för fientlig cyberverksamhet och antalet allvarliga dataintrång och försök till sådana har ökat. Observationerna av sårbarheter i programvaror har också ökat tydligt, vilket avsevärt ökar cyberhotet i samhället. Cyberattacker är vardag och hotar även kommunala organisationer.

Tillställningen har fått ett gott mottagande inom kommunsektorn och responsen har varit positiv. Förhoppningen är att webbinariet fortsätter även i framtiden.

Svara på Cybersäkerhetscentrets responsenkät om lägesbildsprodukter

Cybersäkerhetscentret samlar för närvarande in respons om sina offentliga lägesbildsprodukter. Med hjälp av responsen får vi värdefull information om hur nyttiga våra produkter är, och den hjälper oss att vidareutveckla dem så att de ännu bättre motsvarar våra läsares behov.

Responsenkäten om lägesbildsprodukterna kan besvaras fram till den 29 januari 2026 kl. 12.00. Enkäten besvaras anonymt och det tar i genomsnitt 10–20 minuter att svara.

Länk till enkäten (på finska): https://link.webropolsurveys.com/S/BF7288CF34D73501 (Extern länk)

Enkä­tens dataskyddsbeskrivning finns på Traficoms webbplats (Extern länk).

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.