Cybersäkerhetscentrets veckoöversikt – 6/2025

Försök att komma åt e-postanvändarnamn via Dropbox – dataintrång görs allt snabbare

Cybersäkerhetscentret har under den senaste tiden fått flera anmälningar om dataintrång i Microsoft 365-användarkonton. För att komma åt e-postanvändarnamn utnyttjar brottslingarna i synnerhet pdf-filer som delas via Dropbox. I de fall som Cybersäkerhetscentret fått kännedom om har försök att logga in på användarkontot gjorts till och med inom några minuter efter att användaridentifikationen har matats in på nätfiskesidan.

Så här görs nätfisket:

1. I en del fall skickas ett e-postmeddelande till den person som är föremål för nätfisket. I meddelandet underrättas mottagaren om att hen snart kommer att få ett meddelande från tjänsten Dropbox.
2. Ett bluffmeddelande skickas till personens e-postadress från Dropbox. Meddelandet innehåller en länk till en pdf-fil som delats till Dropbox. Namnet på pdf-filen som delats kan vara till exempel LASKU_INV_PO300125.PDF. Avsändaren av e-postmeddelandet kan vara en bekant person.
3. Länken i e-postmeddelandet leder till sidan DropBox. I stället för den utlovade .pdf-filen delas en blankettfil på sidan och personen ombeds meddela användarnamnet och lösenordet till sin e-post för att personens "identitet" ska kunna bekräftas innan .pdf-filen öppnas.
4. Om personen meddelar sitt användarnamn och sitt lösenord på blanketten får brottslingarna tillgång till kontot och kan använda det till exempel för bedrägerier och för att skicka nya bluffmeddelanden. Konton som blivit föremål för intrång har använts för att sprida till och med tusentals bluffmeddelanden.
5. I de fall som Cybersäkerhetscentret fått kännedom om har det kapade e-postkontot försetts med en meddelandehanteringsregel som flyttar alla meddelanden som kommer som ordet "dropbox" till mappen RSS-flöde. Målet är att användaren inte ska märka suspekt verksamhet på kontot.

Förebygg, rapportera, reagera

• Cybersäkerhetscentret uppmanar alla Microsoft 365-kunder att varna sina anställda för nätfiske.
• Obligatorisk multifaktorautentisering är ett effektivt sätt att skydda sig mot nätfiske. 
• Vi rekommenderar också att organisationen internt kontrollerar om användaren behöver rättigheten att kunna installera olika applikationer direkt i Microsoft 365-abonnemanget.
• I den mån det är möjligt är det bra att införa villkorliga regler i M365-tjänsterna. Med hjälp av villkorliga regler kan du förhindra ett dataintrång även om brottslingarna har kommit åt e-postanvändarnamnet.

Om du misstänker att du har fått ett nätfiskemeddelande ska du meddela IT-stödet i din organisation. Du kan också anmäla nätfiskemeddelandet och länken till Cybersäkerhetscentret. Cybersäkerhetscentret undersöker länken i meddelandet och inleder åtgärder för att stänga de skadliga webbplatserna.

Jira Service Management som inte konfigurerats kan ge utomstående tillgång till miljön 

Cybersäkerhetscentret har underrättats om att en Jira Service Management-miljö med standardinställningar kan göra det möjligt för en utomstående att skapa lokala användarnamn och till exempel kringgå en dåligt konfigurerad SSO. På detta sätt kan en utomstående ha tillgång till uppgifter som inte är avsedda att vara offentligt tillgängliga. Vi rekommenderar att ni utan dröjsmål kontrollerar och vid behov konfigurerar er Jira Service Desk-miljö.

Jira Service Desk är öppen mot det offentliga nätet, vilket gör att utomstående kan skapa ett lokalt användarnamn med sina standardinställningar. Beroende på miljön kan det hända att en utomstående aktör som skapat ett nytt användarnamn kan göra åtminstone följande:

• Komma åt interna uppgifter och uppgifter om företagets personal
• Komma åt blanketter som kan användas för att till exempel
  • Beställa nya användarnamn
  • Beställa nollställning av lösenord
  • Begära ändringar i SAP master data
  • Beställa nya servrar
  • Beställa ändringar i brandväggen
  • Beställa ändringar i användarrättigheterna

Utnyttjandet av denna egenskap kan också öka risken för olika nätfiskekampanjer där information från Jira utnyttjas.

Vi rekommenderar att organisationerna begränsar möjligheten att skapa nya användarnamn och Jiras synlighet på internet. Det är bra att kontrollera och ta bort eventuella överflödiga användarkonton i en miljö med standardkonfiguration. 

Riskhantering är nyckeln till programvarubaserat skydd

Cyberbrottslingarna är mycket intresserade av programvarors sårbarheter och till exempel ouppdaterade komponenter kan göra att ett system är utsatt för angrepp. En säker programvaruutveckling är inte bara ett tekniskt krav, utan den säkerställer kontinuiteten i affärsverksamheten och kundernas förtroende.

Med riskhantering av programvara avses identifiering, bedömning och hantering av risker under programvarans hela livscykel. EU:s  nya rättsakt om cyberresiliens (Cyber Resilience Act, CRA) skärper kraven och förpliktar företagen att beakta informationssäkerheten redan i början av utvecklingen.

Riskhantering är emellertid inte bara en skyldighet som grundar sig på regleringen, utan också en konkurrensfördel. Förutseende riskhantering hjälper till att i tid identifiera risker i programvaruutvecklingen och i upphandlingar, vilket minskar reparationskostnaderna och informationssäkerhetshoten.

Riskerna är olika i olika skeden av programvarans livscykel. I utvecklingsfasen är det viktigt att ställa tydliga säkerhetskrav, i upphandlingar är det viktigt att säkerställa tillförlitligheten hos tredje parters komponenter och under användningen är det viktigt att göra uppdateringar och hantera föråldrade teknologier så att programmet hålls säkert och fungerar utan problem.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.