Cybersäkerhetscentrets veckoöversikt – 21/2023

I denna veckas översikt behandlas följande

• Sociala mediekonton kapas med hjälp av bedrägerimeddelanden 
• Nya domännamn på toppnivå väcker oro
• Anföranden av Cybersäkerhetscentrets sakkunniga på Disobey
• Sårbarheter

Sociala mediekonton kapas med hjälp av bedrägerimeddelanden

Antalet anmälningar till Cybersäkerhetscentret om intrång och försök till intrång i Facebook-konton har varit på uppgång. 

Kapning av ett Facebook-konto startar ofta så att du får ett meddelande från en av dina Facebook-vänner via snabbmeddelandeappen Messenger där hen frågar efter ditt telefonnummer. Om du skickar ditt telefonnummer till din vän får du av samma vän snart ett meddelande om en påhittad lotterivinst. För att lösa in vinsten påstår hen att hen behöver den sifferkod till Facebook som skickas till din telefon. I verkligheten kan den aktuella koden användas för att logga in på kontot och överföra kontrollen över det till brottslingar. Om du skickar koden till vännen kapar en brottsling sannolikt ditt Facebook-konto. Efter att tagit över kontot ändrar brottslingen uppgifterna om kontot, till exempel kontots namn och dina kontaktuppgifter. Efter det kan du troligtvis inte få tillbaka kontrollen över ditt konto utan Facebooks hjälp. 

Om du får ett ovanligt eller misstänkt meddelande, till exempel en överraskande förfrågan om ditt telefonnummer, från en vän via snabbmeddelandeappen Facebook Messenger ska du berätta för hen om saken via ett annat medium. Din vän kan berätta för dig om hen verkligen har skickat det aktuella meddelandet och kontrollera statusen för sitt eget Facebook-konto.

Vad kan du göra om ditt konto kapas?

Endast Facebook kan återställa ett förlorat Facebook-konto. På internet rör sig även brottslingar som ligger på lur efter personer som redan en gång blivit utsatta för kontointrång. Även om de påstår sig hjälpa till med att återställa ett konto, är deras mål i verkligheten ekonomisk vinning på bekostnad av någon som fallit offer för bedrägeri. Var därför försiktig om du söker hjälp för ditt problem någon annanstans på internet. Det enda ärliga sättet att återställa konton på sociala medier är via den aktuella tjänstens officiella kanaler.

1. Kontrollera (Extern länk) om ditt konto är kapat. Du kan även prova att återställa ditt lösenord via länken ”Har du glömt lösenordet?” på Facebooks inloggningssida (Extern länk). 

I Facebooks hjälpcenter (Extern länk) hittar du anvisningar för hur du kontrollerar om ditt Facebook-konto är kapat. Med hjälp av hjälpcentret kan du ändra ditt lösenord och se de senaste händelserna på ditt Facebook-konto.

2. Logga ut kaparen från ditt Facebook-konto. 

Om du ännu har tillgång till ditt Facebook-konto på till exempel din telefon, kontrollera att e-postadressen och telefonnumret på kontot är dina. I Facebooks hjälpcenter (extern länk) (Extern länk) hittar du anvisningar för hur du loggar ut från kontot.

4. Varna dina Facebook-vänner. 

Varna dina vänner för det inträffade och berätta att meddelanden från ditt konto egentligen inte kommer från dig. Om kaparen redan har hunnit publicera inlägg eller skicka meddelanden till dina vänner via Messenger, varna dem så att de inte öppnar länkar eller installerar skadliga applikationer.

5. Anmäl kapningen till Facebook.

Anmäl till Facebook att ditt konto har kapats. Du kan göra anmälan på Facebooks webbplats (Extern länk) utan att logga in.

6. Kontrollera om några skadliga applikationer har installerats på ditt Facebook-konto.

Kontrollera om det har publicerats inlägg med skräppost eller installerats några program på ditt Facebook-konto. Du kan göra kontrollen enligt anvisningarna på Facebooks webbplats (Extern länk).

7. Kontrollera säkerhetsinställningarna för ditt konto.

Aktivera varningsmeddelanden om inloggningar i säkerhetsinställningarna. Då får du ett meddelande från Facebook när en okänd inloggning görs på ditt konto. Aktivera tvåfaktorsautentisering. Anvisningar för det finns i Facebooks hjälpcenter (Extern länk).

Vad händer på ett kapat konto? 

Genom att kapa Facebook-konton får brottslingar tillgång till personuppgifter, användarkoder och lösenord. De använder kapade Facebook-konton för att kapa nya Facebook-konton. Till vännerna på det övertagna kontot skickas ett bedrägerimeddelande via Messenger där man frågar efter vännernas telefonnummer. Uppgifterna på ditt Facebook-konto används även för inloggning på andra tjänster, vilket innebär att kaparen kan ha tillgång till flera tjänster med dina användarkoder. Därför är det bra att ha olika lösenord till olika tjänster.

Nya domännamn på toppnivå väcker oro

.zip kommer, är du redo? 

Tidigare den här månaden började bland annat Google dela ut nya domännamn på toppnivå (top level domain) som använder nya domännamnsändelser. Dessa nya ändelser är .dad, .phd, .prof, .esq, .foo, .zip, .mov och .nexus. Av dessa ändelser har två väckt särskilt stor uppmärksamhet bland informationssäkerhetsexperter, nämligen .zip och .mov. Det beror på att dessa nya domännamnsändelser även är välbekanta filändelser: .zip är vanligtvis filändelsen för komprimerade filer, medan .mov är ändelsen för videofiler. Brottslingar kan utnyttja dessa genom att skapa domännamn som orsakar missförstånd, till exempel genom att skapa en nätfiskewebbplats som vilseleder användaren att tro att hen laddar ner en helt annan fil.

Cybersäkerhetscentret har inte tagit emot några anmälningar om nya nätfiske- eller bedrägerimeddelanden som utnyttjar domännamnsändelser. Informationssäkerhetsforskarna har dock redan hittat några webbplatser som utnyttjar de nya domännamnsändelserna och som används för att försöka fiska efter lösenord till e-postkonton. Informationssäkerhetsforskarna har även beskrivit en del andra möjliga sätt på vilka de nya ändelserna kan användas för att vilseleda användaren att ladda ner skadliga filer.

Vanliga internetanvändare behöver dock inte bli oroliga över detta. Det är emellertid bra att vara medveten om att trots att en länk slutar på till exempel .zip eller .mov, betyder det inte nödvändigtvis att länken går till en fil, utan den kan också gå till en webbplats. Olika applikationer kan även förstå hänvisningar till filer ”(fil.zip)” i meddelanden som länkar till webbplatser. Om du får ett misstänkt meddelande som innehåller en länk är det bra att kontrollera till vilken webbadress länken egentligen går. Cybersäkerhetscentret har publicerat en artikel om hur du känner igen en säker webbplats utgående från adressen (på finska) (Extern länk). Du kan även anmäla misstänkta meddelanden till Cybersäkerhetscentret.

​​​​​​Anföranden av Cybersäkerhetscentrets sakkunniga på Disobey

I februari ordnades det årliga informationssäkerhetsevenemanget Disobey på Kabelfabriken. Evenemanget sammanför experter och hackersinnade inom området för att lyssna på olika expertanföranden och delta i workshoppar. Bland många högklassiga anföranden fanns även Cybersäkerhetscentrets sakkunniga för att dela med sig av sitt kunnande. Inspelningar av anförandena under Disobey har nu publicerats på YouTube.

Ledande sakkunnig vid Cybersäkerhetscentret Jussi Eronen höll ett anförande om sårbarhetssamordningen i Finland. Med hjälp av fallstudier beskrev Jussi reaktionen på allvarliga sårbarhetshändelser och återhämtningen från dem.

Kommunikationssakkunnig vid Cybersäkerhetscentret Lotta Sandroos höll ett anförande utifrån sin pro gradu-avhandling, där hon undersöker informationssäkerhetskommunikation som riktar sig till privatpersoner. I sin forskning granskade Lotta Cybersäkerhetscentrets kommunikationsmaterial och de kommunikativa ramarna för dem.

Sårbarheter

CVE: CVE-2023-33009, CVE-2023-33010 
CVSS: 9.8
Vad: Kritiska sårbarheter i Zyxels brandväggsprodukter – tecken på missbruk
Produkt: Flera av Zyxels brandväggsprodukter 
Korrigering: Korrigerande programuppdatering. Ytterligare information i vårt sårbarhetsmeddelande (på finska) (Extern länk) och i ett meddelande (på engelska) (Extern länk) från Zyxel

CVE: CVE-2023-2825 
CVSS: 10.0
Vad: Kritisk sårbarhet i GitLabs produkter
Produkt: GitLab Community Edition och Enterprise Edition 16.0.0
Korrigering: Korrigerande programuppdatering, uppdatera GitLab till version 16.0.1. Ytterligare information i vårt sårbarhetsmeddelande (extern länk, på finska) (Extern länk) och i ett meddelande (på engelska) (Extern länk) från GitLab