Cybersäkerhetscentrets veckoöversikt – 16/2024

Informationssäkerhet Nu!

Publicerad 23.04.2024 13:41

Denna vecka berättar vi om en kritisk sårbarhet i Palo Alto-nätutrustning och den gula varning som utfärdats om den. Nätfiskemeddelanden cirkulerar i kreditupplysningsregistrets namn och organisationer har mottagit olika faktureringsbedrägerier.

I denna veckas översikt behandlas följande

Den kritiska sårbarheten i Palo Alto har lett till dataintrång även i Finland
Bluffmeddelanden i det positiva kreditupplysningsregistrets namn
Finländska organisationer har råkat ut för faktureringsbedrägerier
Aktuella bedrägerier

Den kritiska sårbarheten i Palo Alto har lett till dataintrång även i Finland

Den 18 april utfärdade vi en varning (Extern länk) om en sårbarhet i Palo Altos GlobalProtect-produkter. Sårbarheten förutsätter omedelbar uppdatering och undersökning av utrustningar. Palo Alto GlobalProtect Gateway och för dess administration använda GlobalProtect Portal är produkter som organisationer använder till exempel för säkra VPN-distansarbetslösningar. Sårbarheten utnyttjas aktivt och det finns skäl att misstänka intrång i sårbar utrustning.

Fredagen den 12 april publicerade vi ett sårbarhetsmeddelande om Palo Altos kritiska sårbarhet CVE-2024-3400. Palo Alto meddelade till en början att en liten konfigurationsändring förhindrade utnyttjande av sårbarheten. Detta stämmer inte längre och flera lyckade dataintrång har upptäckts även i Finland. Organisationer ska uppdatera sårbar Palo Alto-utrustning till nyare versioner och det rekommenderas att undersöka utrustningen för ett eventuellt dataintrång. Till exempel i utrustningens logg och nya tillagda filer i utrustningen kan man få reda på om dataintrång gjorts.

Vi tar gärna emot anmälningar om utnyttjande av sårbarheten om ni har upptäckt sådana i er organisation. Observationerna kan meddelas via blanketten på vår webbplats eller via e-post till cert@traficom.fi.

Informationssäkerhetsbolaget Rapid7 har gett ut omfattande anvisningar (Extern länk) om undersökning av utrustning.

Bluffmeddelanden i det positiva kreditupplysningsregistrets namn

Cybersäkerhetscentret har fått flera anmälningar om bluffmeddelanden som skickats i det positiva kreditupplysningsregistrets namn, som öppnades i början av april. Bluffmeddelandena har innehållit en påminnelse om att mottagaren har en dag på sig att bekräfta sina positiva kreditupplysningsuppgifter. Länken i meddelandet leder till en bluffwebbplats för nätfiske av bankkoder. Bankkoder som matats in på bluffwebbplatsen hamnar hos brottslingar.

Genom att hänvisa till kort tid att reagera och brådska är typiska kännetecken för bedrägerier. Därför ska man vara särskilt uppmärksam när det gäller sådana meddelanden. Du kan läsa mer om aktuella bedrägerier i slutet av denna veckoöversikt.

En privatperson kan kontrollera uppgifterna i registret via dess egen e-tjänst, och det lönar sig att logga in via registrets webbplats (Extern länk). För att undvika bluffwebbplatser lönar det sig att skriva webbadressen i en webbläsare och inte använda sökmotorer.

Det förekommer även andra typer av bedrägerier i det positiva kreditupplysningsregistrets namn som det har informerats skilt om på registrets webbplats (Extern länk).

Finländska organisationer har råkat ut för faktureringsbedrägerier

Cybersäkerhetscentret har fått flera anmälningar om försök till faktureringsbedrägeri som har riktats mot finländska organisationer. Brottslingar försöker med olika svepskäl utgöra sig för att vara en direktör som kräver betalningar eller en anställd som vill byta de egna kontouppgifterna.

Det handlar om fakturerings- och vd-bedrägerier där en brottsling försöker få sektorn som ansvarar för HR- och ekonomiärenden inom en organisation att göra ändringar i betalningsuppgifterna för fakturor eller löner. Avsikten är att styra betalningen till ett konto som administreras av brottslingen. I vissa fall kan man även be att betala en helt och hållet påhittad avgift.

Brottslingarna kan ha gjort ett omfattande bakgrundsarbete och fått reda på namnet på en person som är verksam i organisationen och använder namnet för bedrägerierna. Det är möjligt att ta reda på organisationens struktur genom offentliga källor och via det styra meddelandet till den sektor som arbetar med HR- eller ekonomiärenden.

Så här kan du identifiera ett faktureringsbedrägeri

Avsändarfältet kan innehålla namnet på en person som arbetar i organisationen, men e-postadressen motsvarar inte den modell som används i organisationen.
Meddelandet innehåller skrivfel.
Meddelandet ger mottagaren intrycket av att det är bråttom.
Man vill byta kontonummer till ett utländskt kontonummer. Det har även förekommit finländska kontonummer i vissa fall.
Om någon av dessa förekommer i meddelanden som hänför sig till betalningsärenden är det bra att kontrollera saken innan avgiften betalas. Det lönar sig inte att utreda frågan genom att svara på meddelandet, utan till exempel genom att ringa till avsändaren.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Kontakta din bank utan dröjsmål om du har gjort en betalning på grund av bedrägeri, eller om en brottsling har fått tillgång till din nätbank eller fått tag på dina betalkortsuppgifter.
Gör en polisanmälan till polisen. Du kan göra en elektronisk polisanmälan på nätet. (Extern länk)
Du kan också meddela Cybersäkerhetscentret om saken.

Läs mer om olika metoder för att identifiera och skydda sig mot nätbedrägerier

Goda tips för att skydda dina konton

Allmän information om sårbarheter och de termer som används finns i vår artikel Cybersäkerhetscentrets sårbarhetskoordination i ett nötskal i serien Informationssäkerhet nu!

Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 12.4–18.4.2024). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.