Cybersäkerhetscentrets veckoöversikt – 47/2025

Var uppmärksam på paketbedrägerier! Bedrägerierna ökar i takt med att Black Friday och julsäsongen närmar sig

Paketbedrägerier har blivit ett vanligt bedrägerisätt i takt med att nätshoppingen ökat. Brottslingar skickar textmeddelanden eller e-postmeddelanden där man påstår att ett paket är på väg, sitter fast i tullen eller kräver en extra avgift. Meddelandet innehåller en länk som leder till en nätfiskesida. Målet är att lura offret att lämna ut betalningsuppgifter, bankkoder eller andra inloggningsuppgifter. Bedrägerimeddelandena kan se mycket äkta ut och särskilt inför Black Friday väntar många på paketleveranser. Mitt i brådskan, förväntan eller spänningen kan bedrägerier vara svåra att känna igen.

Det viktigaste för att undvika bedrägerier är lugn och källkritik. Ett äkta logistikföretag ber aldrig om bankkoder via textmeddelande eller e-post. Kontrollera också avsändarens adress, nummer eller annan identifikator. Om den ser märklig ut eller innehåller långa sifferkombinationer är det sannolikt fråga om ett bedrägeri. Klicka inte direkt på länken i meddelandet. Om du faktiskt väntar på ett paket, gå själv till transportföretagets officiella webbplats eller använd deras app.

Även betalningsuppmaningar bör bedömas noggrant. En liten och oväntad extraavgift är ett vanligt lockbete som får offret att agera snabbt. Tullavgifter och tilläggskostnader visas alltid när beställningen görs – inte i efterhand via ett sms. Om meddelandet hotar med att paketet returneras eller att leveransen avbryts kan det vara ett försök till påtryckning.

Om du misstänker att du fått ett bedrägerimeddelande, radera det utan att klicka på länkar. Om du har angett exempelvis dina bankkoder på en sådan sida, meddela banken och vid behov polisen. Försiktighet, lugn och användning av officiella kanaler är de mest effektiva sätten att skydda sig mot paketbedrägerier.

Microsoft 365-kontointrång hotar företag och organisationer

Microsoft 365-konton utsätts kontinuerligt för intrång till följd av lyckade nätfiskeförsök. Nätfiskemeddelandena håller hög kvalitet och är ofta särskilt bedrägliga eftersom de kan skickas från ett kapat konto hos en samarbetspartner. Hotet om M365-kontointrång består, och därför har företag och organisationer ett särskilt ansvar att skydda sin M365-miljö. Konsekvenserna av ett kontointrång kan vara allvarliga: skadat anseende, fakturabedrägerier och nätfiske i organisationens namn, läckage av känslig information eller till och med att viktiga uppgifter för hela organisationen hamnar i kriminellas händer. Microsoft 365-kontointrång sker inom alla sektorer och drabbar aktörer av alla storlekar som använder M365-miljön.

Eftersom meddelanden kan komma från en känd avsändare och innehålla en äkta dokumentlänk som leder till en mycket trovärdig bluff­sida kan det vara extremt svårt för användaren att upptäcka att det rör sig om nätfiske. Det kan också försvåra upptäckten om det kommer en äkta begäran om multifaktorautentisering (MFA), som brottslingar kan kringgå med hjälp av AiTM-teknik. Därför är det viktigt att företag och organisationer tar i bruk alla möjliga skyddsmetoder för att säkra sin M365-miljö.

Säker programvaruutveckling är också en ledningsfråga

Tisdagen den 18 november ordnade vi tillsammans med Försörjningsberedskapscentralen årets sista Kritisk kod-webbinarium om säker programvaruutveckling. Den här gången handlade det om hur säker programvaruutveckling ska ledas. Under morgonen fick deltagarna höra både praktiska fallstudier och fördjupande diskussioner om ledarskapets betydelse för säker programvaruutveckling.

Över hundra deltagare hade hittat till morgonens webbinarium, men om du själv inte hade möjlighet att delta finns både inspelningen av detta webbinarium och tidigare webbinarier tillgängliga på Traficoms YouTube-kanal. Länkar till dessa, liksom mer material om programvarusäkerhet, finns också på webbplatsen ohjelmistoturvallisuus.fi.

Vi vill också påminna om att om du deltog – eller om temat i allmänhet intresserar dig – tar vi gärna emot feedback om vilken typ av innehåll du skulle vilja höra mer om framöver och hur vi kan utveckla våra webbinarier ytterligare inom detta tema.

Anmäl dig till informationsmöten om EU-finansiering för cybersäkerhet

Det nationella samordningscentrumet vid Cybersäkerhetscentret ordnar ett allmänt informationsmöte om finansieringsansökningar tisdagen den 25 november 2025 kl. 10.00–11.00 (på finska, via Teams). Under tillfället presenteras de öppna utlysningarna inom programmet för ett digitalt Europa, ansökningsomgången CYBER-09, och deltagarna får praktiska tips för att förbereda sina ansökningar.

I början av december ordnar vi dessutom riktade informationsmöten den 3–5 december, där vi går djupare in i utlysningstexterna och erbjuder möjlighet till nätverkande kring samma tema. Välkommen att höra om aktuella finansieringsmöjligheter och utveckla din ansökan!

Europeiska kommissionen ordnar ett CRA-intressentmöte den 3 december

Europeiska kommissionen ordnar ett intressentmöte om CRA under rubriken "CRAzy About Product Cybersecurity: From Compliance to Confidence" onsdagen den 3 december kl. 11.00–13.00 UTC+2 (10.00–12.00 CET).

Under evenemanget behandlas följande teman:

• The CRA explained: objectives, scope, and practical implications
• Cooperation across institutions, industry and Member States: who does what
• Turning CRA into reality: key phases of the implementation phase, guidance, and ongoing regulatory efforts
• Making the CRA fit for SMEs: actions to support compliance of smaller businesses
• From compliance to innovation: state of the play of the standardisation work supporting the CRA

Den slutliga agendan och talarlistan publiceras senare.

Enkät om framtida bedömnings- och godkännandebehov för NCSA:s kunder – svara senast den 5 december

Transport- och kommunikationsverket Traficoms NCSA (National Communications Security Authority) kartlägger sina kunders framtida behov av bedömningar och godkännanden samt deras erfarenheter av tidigare bedömningar. Syftet med enkäten är att stödja planeringen av bedömningarna, fördela resurserna rätt och utveckla tjänsterna. Enkäten gäller både informationssystembedömningar och krypterings- och produktbedömningar. Vi ber NCSA:s kunder att fylla i och returnera enkätblanketten senast den 5 december 2025.

Veckans skadeprogramöversikt: Shiz

Shiz är ett skadeprogram av typen bakdörr och infostealer som riktar sig mot Windows-miljöer. Dess syfte är att ge angriparen fjärråtkomst till den infekterade datorn samt att samla in känslig information, såsom användarnamn, bankuppgifter och webbläsardata. Shiz har observerats manipulera registernycklar och möjliggöra fjärrnedladdning och körning av filer. Skadeprogrammet är ofta en del av en större kriminell kedja där den stulna informationen utnyttjas eller säljs vidare.

Shiz sprids ofta via skadliga bilagor, nedladdningsbara filer eller genom utnyttjande av sårbarheter. På en infekterad enhet samlar skadeprogrammet in webbläsardata, systeminformation och eventuella sparade inloggningsuppgifter.

Så skyddar du dig mot skadeprogrammet:

• Håll operativsystemet och applikationerna uppdaterade – åtgärdade sårbarheter förhindrar många infektioner. 
• Öppna inte misstänkta e-postbilagor och ladda inte ner opålitliga körbara filer. Undvik bilagor i formaten .exe/.scr och säkerställ att avsändaren är pålitlig.
• Använd ett uppdaterat antivirusprogram och följ meddelanden och varningar – programmet kan upptäcka onormalt process- eller nätverksbeteende.
• Blockera onödiga utgående anslutningar och övervaka trafik som liknar C2-kommunikation.
• Ta regelbundna och tillräckliga säkerhetskopior. Även om Shiz inte alltid är ransomware begränsar säkerhetskopior skadorna vid dataläckor eller ytterligare skadeprogram.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Sårbarheter

CVE: CVE-2025-64446
CVSS: CVSS 9.1
Vad: Kritisk och utnyttjad sårbarhet i Fortinet FortiWeb-produkten
Produkt: Vissa versioner av Fortinet FortiWeb, en webbapplikationsbrandvägg (WAF), är sårbara.
Korrigering: Tillverkaren uppmanar att installera uppdaterade versioner så snart som möjligt.

Om du inte kan uppdatera systemen omedelbart, inaktivera HTTP eller HTTPS på gränssnitt som är synliga mot internet. Att begränsa åtkomsten till administrationsgränssnitt enbart till interna nätverk är bästa praxis, vilket minskar – men inte eliminerar – risken. Uppdatering är fortfarande nödvändig och det enda sättet att helt åtgärda sårbarheten.

Efter uppdateringen bör du kontrollera konfigurationen och loggarna för oväntade ändringar eller tillägg av administratörskonton.