Informationssäkerhet Nu!
Den har veckan berättar vi om publikevenemanget Var försiktig på webben! Identifiera och stoppa nätbedrägerier - som arrangeras den 2 december i centralbiblioteket Ode. Vi berättar också om angrepp med digital skimming som riktas mot nätbutikers betalningssidor samt om enheter som har exponerats för det skadliga programmet BadBox 2.0 och som har hamnat till försäljning i välkända amerikanska butikskedjor. Dessutom presenterar vi den nya masken Shai Hulud, som sprids i utvecklingsmiljöer och stjäl inloggningsuppgifter. Vi lyfter också fram de senaste intrång i Microsoft 365-konton och i vår veckovisa översikt över skadliga program bekantar vi oss med PromptLock.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Var försiktig på webben! Publikevenemanget Identifiera och stoppa nätbedrägerier i Ode den 2 december
- Nätbutikers betalningssidor som mål för angrepp – så fungerar digital skimming
- Enheter som har exponerats för det skadliga programmet BadBox 2.0 säljs också i välkända amerikanska butikskedjor
- Den nya masken Shai Hulud sprids i utvecklingsmiljöer och stjäl inloggningsuppgifter
- Varningen om dataintrång i Microsoft 365-konton har tagits bort
Var försiktig på webben! Publikevenemanget Identifiera och stoppa nätbedrägerier i Ode den 2 december
Vilka typer av bedrägerier som brottslingar begår kan du stöta på nätet och i sociala medier? Hur har de bedrägerimetoder som brottslingar använder förändrats och utvecklats under det gångna året och vad kan du förvänta dig år 2026? Hur bekämpas nätbedrägerier och vad kan du själv göra för att skydda dig mot bedrägerier?
Bland annat dessa teman behandlas i evenemanget Var försiktig på webben! Identifiera och stoppa nätbedrägerier. Evenemanget arrangeras av Cybersäkerhetscentret vid Traficom, polisen, Myndigheten för digitalisering och befolkningsdata samt Aalto-universitetet den 2 december kl. 11.30-13.00 i Maijansali på Centralbiblioteket Ode i Helsingfors.
Evenemanget är öppet för alla och streamas också på Yle Arenan. Helsingfors Centrumbibliotek Ode finns vid Tölöviken på adressen Tölöviksgatan 4.
Evenemanget börjar kl. 11.30 med en diskussion om cybersäkerhet i litteraturen och gästerna är författarna Helena Immonen och Christian Rönnbacka. Intervjuare är Marianne Lindroth från Aalto-universitetet.
Kl. 12.00 fortsätter evenemanget med temat Observationer av bedragare och bedrägerier där Merja Mähkä och Sonja Nylander delar de delar med sig av sina erfarenheter. Diskussionen leds av Kimmo Rousku från Myndigheten för digitalisering och befolkningsdata.
Avslutningsvis kl. 12.30–13.00 får du höra myndigheternas aktuella tips för en trygg julsäsong, med experter från Cybersäkerhetscentret vid Traficom, polisen, Aalto-universitetet samt Myndigheten för digitalisering och befolkningsdata.
Nätbutikers betalningssidor som mål för angrepp – så fungerar digital skimming
Vid digital skimming smyger någon in skadlig kod i nätbutiken, som samlar in kundernas betalningsuppgifter utan att de märker det. Ofta möjliggörs angreppet via ett skript som smygs in på webbplatsen eller via ett tillägg i nätbutiken. Det skadliga programmet som har smygits in på webbplatsen aktiveras när kunden går vidare till betalningssidan och då förmedlar det betalningsuppgifterna direkt till brottslingarna.
Den omfattande användningen av tillägg i e-handelsplattformar och bristfälliga uppdateringsprocesser kan göra det möjligt för brottslingar att smyga in skadlig kod. Det som gör det här fenomenet svårt att upptäcka är att kunder som handlar i nätbutiken ofta inte märker något avvikande i betalningsprocessen. Beställningen i nätbutiken kan verka ha gått igenom helt normalt, fastän betalningsuppgifterna har stulits i samband med köpet.
Det är bra om ägare av nätbutiker använder verktyg som övervakar webbplatsens filer och upptäcker förändringar i dem, såsom ändrade eller nya filer. Dessutom lönar det sig att hålla ett öga på andra tecken, såsom att betalningsuppgifter styrs till en okänd domän samt ovanliga HTTP-förfrågningar. Dessutom är det bra att hålla e-handelsplattformen och dess tillägg uppdaterade.
Läs mer om sätten att förebygga digital skimming i Informationssäkerhet Nu!-artikeln som publicerades den här veckan (på finska):
Enheter som har exponerats för det skadliga programmet BadBox 2.0 säljs också i välkända amerikanska butikskedjor
På konsumentmarknaden har man upptäckt Android-smartapparater som redan är infekterade med ett skadligt program vid inköpstillfället. Problemet gäller särskilt Android-baserade tv-apparater, TV-boxar och annan terminalutrustning som används i hemnätverk. För att möjliggöra installationen av skadlig kod har en bakdörr integrerats i enheterna redan i tillverkningskedjan, och den kan inte tas bort. Av skadeprogram av det här slaget har BadBox 2.0 varit det mest betydelsefulla under det gångna året.
BadBox 2.0 representerar ett hot som börjar redan innan användaren startar enheten. Det är fråga om en kampanj med skadlig kod där den skadliga koden är förinstallerad i Android-enheter, t.ex. Android TV-boxar, surfplattor eller smarta enheter som säljs på olika webbutiker och distributionskanaler.
Nu har produkter som innehåller det skadliga programmet också nått välkända amerikanska återförsäljare, såsom butikskedjorna Walmart och BestBuy. I dessa kedjor säljs olika Android TV-enheter som inte är Google-certifierade och som erbjuder "gratis" streamingtjänster. Dessa enheter kringgår dock den officiella Android TV-enhetens skyddsåtgärder och gör det möjligt att ansluta enheten till ett botnät.
Cybersäkerhetscentret rekommenderar att konsumenter noggrant bekantar sig med den enhet de tänker beställa och att de föredrar tillförlitliga butiker och tillverkare på EU-marknaden. Teleoperatörerna tar också aktivt kontakt med dig som abonnent om det upptäcks skadlig trafik i din internetanslutning. Om en enhet låter för bra eller billig för att vara sann kan den innebära risker, till exempel i form av skadligt program.
Den nya masken Shai Hulud sprids i utvecklingsmiljöer och stjäl inloggningsuppgifter
Den här veckan har det rapporterats brett om spridningen av ett nytt skadligt program i NPM-ekosystemet. Det handlar om en npm-mask som sprids snabbt i utvecklingsmiljöer när användaren installerar ett infekterat npm-bibliotek. Den skadliga koden startar i samband med att paketet installeras utan att användaren behöver göra något.
När den väl har fått fäste letar masken med metoder som liknar TruffleHog-verktyget efter hemligheter, till exempel API-nycklar, GitHub- och npm-konton samt åtkomsträttigheter till molntjänster. De uppgifter som den hittar publicerar den i ett offentligt GitHub-förråd med ett slumpmässigt namn. Därefter försöker masken sprida sig vidare.
Du väljs inte ut som mål för angreppet utifrån individuella faktorer, utan exponering sker om ditt projekt använder infekterade beroenden. Infektioner har upptäckts bland annat i paket som har publicerats av Zapier, ENS Domains, PostHog och Postman, och nya fall identifieras hela tiden.
För att upptäcka och förhindra infektioner bör din organisation gå igenom hela utvecklingsinfrastrukturen och leta efter misstänkta tecken. Särskilt bör du leta efter kända infekterade paket. Infekterade paket bör tas bort omedelbart och automatiska paketuppdateringar bör tillfälligt stängas av.
Vid misstanke om infektion bör administratörerna byta ut alla behörighetsuppgifter. Vi rekommenderar att du tar i bruk multifaktorsautentisering på alla utvecklar- och automationskonton och använder kortlivade åtkomstnycklar med begränsade rättigheter.
Cybersäkerhetscentret vid Traficom tar gärna emot observationer som gäller fenomenet. Läs mer om den andra vågen av Shai Hulud-angreppet i vår Inofrmationssäkerhet nu!-artikel som vi publicerade den här veckan:
Den andra vågen av Shai Hulud-agreppet– rekommenderade åtgärder för organisationer (Extern länk), (på finska)
Varningen om dataintrång i Microsoft 365-konton har tagits bort
Microsoft 365-konton i finländska organisationer kapas fortfarande till följd av nätfiske. På grund av den kraftiga ökningen av antalet fall publicerade Cybersäkerhetscentret en allvarlig varning om ämnet den 9 september 2025. Nätfiskemeddelanden kan vara mycket svåra att känna igen och därför behöver du skydda dig mot kontointrång genom att ta i bruk säkerhetsfunktionerna i M365-miljön på organisationsnivå. Antalet M365-kontointrång som har rapporterats till Cybersäkerhetscentret har planat ut och varningen tas bort, men hotet om M365-kontointrång kvarstår ändå. I augusti 2025 anmäldes 71 kontointrång, i september 117, i oktober 125 och i november cirka 70. Cybersäkerhetscentret har publicerat anvisningar för bättre skydd av M365-miljön.
Vi publicerade en Informationssäkerhet Nu!-artikel om att varningen togs bort (Extern länk), (på finska)
Veckans lärdomar om skadliga program: PromptLock
PromptLock är ett nytt slags utpressningsprogram som utnyttjar generativ artificiell intelligens och som kan förändra cyberbrottslighetens verksamhetssätt avsevärt. Det skadliga programmet använder en lokalt körd språkmodell för att i realtid skapa skadliga Lua-skript och väljer självständigt vilka filer det ska leta efter, kopiera eller kryptera. De skript som PromptLock skapar fungerar på flera plattformar, såsom Windows, Linux och macOS, vilket ökar dess mångsidighet och spridningspotential.
PromptLock bygger på förhandsdefinierade textuppmaningar, så kallade ”prompter”, utifrån vilka det fastställer vilken åtgärd som ska utföras, till exempel dataexfiltrering eller kryptering. Tekniskt använder PromptLock krypteringsalgoritmen SPECK 128 och är skriven i Golang. De första varianterna har redan upptäckts i VirusTotal-tjänsten, vilket tyder på att utvecklingen pågår aktivt.
Det skadliga programmet PromptLock är tills vidare på konceptstadiet och har inte ännu observerats i aktiv användning, men nya skadliga program som utnyttjar artificiell intelligens utvecklas aktivt i och med PromptLock. Att utnyttja artificiell intelligens automatiserar framtagningen av skadlig kod och minskar behovet av erfarna grupper av brottslingar.
Aktuella bedrägerier
I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.
Gör så här om du har blivit lurad
- Kontakta din bank utan dröjsmål om du har gjort en betalning på grund av bedrägeri, eller om en brottsling har fått tillgång till din nätbank eller fått tag på dina betalkortsuppgifter.
- Gör en brottsanmälan till polisen. Du kan göra en elektronisk brottsanmälan på nätet. (Extern länk) (Extern länk)
- Du kan också göra en anmälan till Cybersäkerhetscentret. (Extern länk)
- Råd till offer för informationsläcka (Extern länk)
Bekanta dig med veckoöversikten
Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 21.11–27.11.2025). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.