Cybersäkerhetscentrets veckoöversikt – 19/2026

Den här veckan berättar vi hur man skyddar sina konton i snabbmeddelandetjänster. Kapningar av M365-konton fortsätter i stadig takt, och multifaktorsautentisering erbjuder inte ett fullständigt skydd mot moderna nätfiskeattacker. Försörjningsberedskapscentralen har publicerat ett scenarioverktyg som stöd för organisationers beredskap. Bekämpningen av sms-bedrägerier tog ett steg framåt genom Traficoms föreskrift som trädde i kraft den 4 maj 2026. Traficom har också infört en ny behörighet för informationssäkerhetsbedömningar, som möjliggör fallspecifik bedömning av krypteringslösningar vid behandling av säkerhetsklassificerad information.

Ämnen

Konton i snabbmeddelandetjänster intresserar kriminella – lär dig de viktigaste skyddsåtgärderna
Nätfiskeattacker i flera steg kapar M365-konton utan att användaren märker det
Försörjningsberedskapscentralen publicerade ett nytt scenarioverktyg som stöd för organisationers beredskap
Traficoms nya föreskrift motverkar sms-bedrägerier effektivare
Fallspecifik bedömning av krypteringslösningar utvidgar behörigheten för bedömningsorgan för informationssäkerhet
Aktuella bedrägerier
Sårbarheter

Konton i snabbmeddelandetjänster intresserar kriminella – lär dig de viktigaste skyddsåtgärderna

Cybersäkerhetscentret har den senaste tiden fått anmälningar om kapade konton i snabbmeddelandetjänster. Kapningar av Telegram- och WhatsApp-konton observerades särskilt i början av året.

Telegram- och WhatsApp-konton i snabbmeddelandetjänster utsatta för kapningsförsök

Även Signal-konton är av intresse för kriminella, och angripare försöker allt oftare manipulera användare för att kapa deras konton. Därför är det viktigt att förstå hur du i praktiken kan skydda ditt Signal-konto, det vill säga vilka inställningar och tillvägagångssätt som kan minska riskerna betydligt.

Den här veckan publicerade vi en artikel i serien Informationssäkerhet nu! om hur man skyddar sig mot försök att kapa konton i snabbmeddelandetjänster. De viktigaste skyddsåtgärderna är att aktivera multifaktorsautentisering och att vara uppmärksam vid oväntade kontakter, till exempel förfrågningar om PIN-koder via Signal-meddelanden. I artikeln berättar vi också vad man ska göra om ens konto har blivit kapat.

Ny Informationssäkerhet nu!-artikel: Konton i snabbmeddelandetjänster intresserar kriminella – lär dig de viktigaste skyddsåtgärderna

Nätfiskeattacker i flera steg kapar M365-konton utan att användaren märker det

Kapningar av Microsoft 365-konton riktade mot finländska organisationer är fortfarande vanliga. I april 2026 rapporterades 87 fall till Cybersäkerhetscentret vid Traficom. Angreppen inleds ofta med trovärdiga nätfiskemeddelanden som kan komma från ett kapat konto hos en samarbetspartner och handla om ämnen som man normalt kommunicerar om med parten, till exempel delning av filer. Detta gör meddelandena svåra att identifiera och ökar sannolikheten för att nätfisket lyckas.

En färsk analys från Microsoft beskriver en angreppskedja i flera steg. I det första steget leds offret via en länk till en sida som ser ut som en äkta inloggningssida. I bakgrunden används så kallad Adversary-in-the-Middle-teknik (AiTM). Bluffsidan vidarebefordrar inloggningen till den riktiga tjänsten, vilket leder till att en legitim MFA-begäran skickas till offrets enhet. När offret godkänner begäran får angriparen tillgång till kontot och kapar samtidigt sessionstoken. På så sätt kan angriparen senare kringgå multifaktorsautentisering utan att behöva fiska lösenordet på nytt.

Breaking the code: Multi-stage ‘code of conduct’ phishing campaign leads to AiTM token compromise (microsoft.com, på engelska)

När ett konto väl har komprometterats försöker angriparen ofta hålla sig dold. Angripare söker vanligtvis efter kommunikation som rör pengar och fakturor och som kan utnyttjas för fakturabedrägerier. De kan skapa regler för hantering av e-post som flyttar undan meddelanden från användarens inkorg och skicka nya nätfiskemeddelanden till offrets kontakter från det kapade kontot. Dessutom kan skadliga filer sparas i offrets OneDrive och delas vidare via länkar. Angreppet sprider sig därmed som en kedja från organisation till organisation.

Konsekvenserna kan bli allvarliga: fakturabedrägerier, läckage av känslig information och skadat anseende. Därför kräver skydd mot sådana attacker åtgärder på organisationsnivå, såsom starka autentiseringsrutiner, övervakning av inloggningar och identifiering av avvikande aktivitet.

Försörjningsberedskapscentralen publicerade ett nytt scenarioverktyg som stöd för organisationers beredskap

Försörjningsberedskapscentralen har publicerat scenariopaketet ”Användning av militärt våld mot Finland och försörjningsberedskap”. Scenariot är inte en prognos, utan ett verktyg för beredskap och planering som syftar till att stödja myndigheters, företags och andra kritiska aktörers förmåga att förstå extrema men möjliga utvecklingsförlopp och de ömsesidiga beroenden som hör samman med dem.

Scenariot beskriver hur ett militärt hot stegvis skulle utvecklas från en tilltagande kris till en allvarlig och långvarig konflikt, och hur konsekvenserna också i stor utsträckning skulle påverka cybermiljön. Cyberpåverkan skulle redan i ett tidigt skede framträda i form av underrättelseverksamhet, störningar och belastning på digital infrastruktur, och i takt med att konflikten eskalerar utvecklas till omfattande avbrott och osäkerhet i kritiska digitala tjänster. Störningarna skulle särskilt drabba energi-, kommunikations-, finans-, logistik- och hälso- och sjukvårdssystem och snabbt få konsekvenser för människors vardag och ekonomins funktion.

Scenariot visar att cybermiljön inte är en separat del av krisen, utan en central genomgående faktor i alla skeden av scenariot. Störningar i digitala system försvårar lägesbilden, fördröjer återställningsåtgärder och undergräver förtroendet, även om den fysiska infrastrukturen inte kollapsar helt. I en långvarig kris framhävs dessutom bristen på experter och komponenter samt svårigheterna att återhämta sig under fortsatta störningar.

Den viktigaste cybersäkerhetsrelaterade lärdomen i scenariot är att samhällets kristålighet avgörs av förmågan att hålla samhället fungerande i en situation där systemen störs, organisationer fungerar med begränsad kapacitet och människors förtroende samtidigt sätts på prov. Förlusten av digital handlingsförmåga urholkar snabbt hela samhällets resiliens. Beredskap inför cyberhot handlar inte bara om teknik, utan om långsiktig utveckling av förmågor, samarbete och upprätthållande av förtroende även under långvariga kriser.

Läs hela scenariot som publicerats av Försörjningsberedskapscentralen här (huoltovarmuuskeskus.fi, på finska)

Traficoms nya föreskrift motverkar sms-bedrägerier effektivare

Måndagen den 4 maj 2026 trädde Traficoms reviderade föreskrift i kraft. Den ålägger teleoperatörer att verifiera avsändaridentifikationer för textmeddelanden. Syftet med föreskriften är att förhindra bluffmeddelanden som skickas i organisationers namn. Reformen påverkar inte meddelandetrafiken mellan telefonabonnemang avsedda för konsumenter.

För konsumenten märks förändringen genom att avsändaren visas som ”Okänd” om operatören inte med säkerhet kan identifiera avsändaren. Sådana meddelanden bör man förhålla sig försiktigt till. Särskild försiktighet behövs alltid om meddelandet innehåller en länk eller uppmanar till att lämna ut personuppgifter.

Skyldigheterna i Traficoms föreskrift trädde i kraft den 4 maj 2026. Från och med nu blockeras alla meddelanden utan tillstånd, eller så ändras deras avsändaridentifikationer enligt följande:

Från och med den 4 maj 2026 ändras avsändaridentifikationen till "Okänd".
Från och med den 2 november 2026 ändras identifikationen till ”Skräppost”.

Dessa avsändaridentifikationer informerar mottagaren om att avsändaren inte har identifierats och att rätten att använda identifikationen inte har verifierats. Sådana meddelanden bör behandlas med försiktighet, eftersom det mycket väl kan röra sig om ett bedrägeriförsök.

Fallspecifik bedömning av krypteringslösningar utvidgar behörigheten för bedömningsorgan för informationssäkerhet

Traficom har infört en ny behörighet för informationssäkerhetsbedömningar, som möjliggör fallspecifik bedömning av krypteringslösningar vid behandling av säkerhetsklassificerad information. Bedömningsorgan för informationssäkerhet som godkänts av Traficom bedömer på uppdrag informationssäkerheten i företags och myndigheters informationssystem, så att dessa på ett tillförlitligt sätt kan visa att den informationssäkerhetsnivå som krävs uppfylls.

Bedömningsorganen kan framöver även utvidga sin behörighet till att omfatta fallspecifik bedömning av krypteringslösningar för behandling av säkerhetsklassificerad information. Behörigheten beviljas högst för säkerhetsklass TL IV. Syftet är att stödja ett smidigt genomförande av informationssystembedömningar samt förbättra tillgången till tjänster. Den första behörigheten har redan beviljats.

Traficom följer bedömningsarbetet kring krypteringslösningar som utförs av de behöriga bedömningsorganen och ger ytterligare vägledning för bedömningsarbetet och utvecklingen av kompetensen. Traficoms CAA-funktion tar också gärna emot synpunkter om ämnet från bedömningsorganens kunder.

Kontaktuppgifter: caa@traficom.fi

Ny Informationssäkerhet nu!-artikel:Fallspecifik bedömning av krypteringslösningar utvidgar behörigheten för bedömningsorgan för informationssäkerhet (på finska)

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Kuvankaappauksia Keskon nimissä tehdyltä huijaussivulta, jossa onnenpyörä-palkkion verukkeella houkutellaan luovuttamaan verkkopankkitunnukset.

Via annonser som sprids på sociala medier lockas människor till ett bluffupplägg med lyckohjulstema i Keskos namn. Efter att användaren har snurrat på ”lyckohjulet” på bedrägeriwebbplatsen uppmanas personen att identifiera sig med bankkoder för att ta emot vinsten. I verkligheten hamnar de angivna bankkoderna i kriminellas händer.

Sårbarheter

CVE: CVE-2026-31431
CVSS: 7.8
Vad: Allvarlig sårbarhet som möjliggör rättighetseskalering i Linux-kärnan
Produkt: En stor del av Linux-distributionerna
Korrigering: Följ uppdateringar för din Linux-distribution och installera dem så snart som möjligt.
Sårbarhetsmeddelande: https://kyberturvallisuuskeskus.fi/fi/haavoittuvuudet/haavoittuvuus-2026-10

CVE: CVE-2026-41940
CVSS: 9.8
Vad: Kritisk sårbarhet som möjliggör kringgående av autentisering i produkterna cPanel och WHM
Produkt: cPanel WHM
Korrigering: Tillverkaren har publicerat korrigerande uppdateringar. De korrigerande uppdateringarna bör installeras omedelbart.
Sårbarhetsmeddelande: https://kyberturvallisuuskeskus.fi/fi/haavoittuvuudet/haavoittuvuus-2026-09

CVE: CVE-2026-0300
CVSS: 9.3
Vad: Kritisk sårbarhet för buffertöverskridning som möjliggör exekvering av godtycklig kod
Produkt: Palo Alto PAN-OS-systemet
Korrigering: Eftersom någon korrigering ännu inte finns tillgänglig uppmanas användare att antingen begränsa åtkomsten till autentiseringsportalen till betrodda interna IP-adresser eller helt stänga av den.
Sårbarhetsmeddelande: https://kyberturvallisuuskeskus.fi/fi/haavoittuvuudet/haavoittuvuus-2026-11

CVE: CVE-2026-6973, CVE-2026-5786, CVE-2026-5787, CVE-2026-5788, CVE-2026-7821
CVSS: 8.9
Vad: Flera sårbarheter, varav en redan utnyttjas i attacker
Produkt: Ivanti EPMM
Korrigering: Installera de korrigerande uppdateringarna utan dröjsmål enligt tillverkarens anvisningar.
Sårbarhetsmeddelande: https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuudet/haavoittuvuus-2026-12

Så fungerar sårbarhetskoordination (på finska)