Cybersäkerhetscentrets veckoöversikt – 3/2023 | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Cybersäkerhetscentrets veckoöversikt – 3/2023

27. januari 2023 kl 14:12

Det här är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 13.1–19.1.2023). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.

TLP:CLEAR

I denna veckas översikt behandlas följande

  • Nätfiske efter Microsoft M365-användaridentifikation
  • Identifiering med flerfaktorsautentisering hjälper mot nätfiske
  • ”Hej mamma”-bedrägeri blir vanligare

Nätfiske efter Microsoft M365-användaridentifikation

Flera finländska organisationers Microsoft 365-användarkonton har återigen råkat ut för dataintrång. Konton som råkat ut för dataintrång används för faktureringsbedrägeri och för att skicka tusentals nya meddelanden för nätfiske av användarnamn. Cybersäkerhetscentret uppmanar alla Microsoft 365-kunder att använda tvåfaktorsautentisering och begränsa användningen av vidarebefordring av e-post.

Nätfiskemeddelanden som skickats per e-post har förfalskats, så att de ser ut som krypterade e-postmeddelanden med till exempel Folkpensionsanstaltens, en läkarstations, ett välfärdsområdes eller försäkringsbolags logotyp. Ett bedrägerimeddelande som ger intrycket av att vara ett viktigt krypterat e-postmeddelande lurar mottagaren att mata in e-post och lösenord på en nätfiskesida som kontrolleras av en bedragare. Nätfiskeoffret tror att han eller hon matar in användarnamnet och lösenordet på Microsoft 365-inloggningsida, men i stället är det en brottsling som kommer över identifikationsuppgifterna.

E-postkonton som kapats i företag och andra organisationer är värdefulla tillgångar för kriminella. Den kriminella ställer in vidarebefordringsregler för det kapade kontot för att kunna läsa och följa e-posttrafiken. E-postkonton för handläggning av bland annat fakturor eller penningrörelse används av kriminella för faktureringsbedrägeri. Konton man kommer över i intressanta organisationer köps och säljs i olika kriminella forum och resten av kontona används för att sprida nya nätfiskemeddelanden till personer i adressboken. Det är mer sannolikt att man läser ett bedrägerimeddelande från en bekant adress än sporadisk skräppost.

Identifiering med flerfaktorsautentisering hjälper mot nätfiske

Aggressivt nätfiske har medfört dataintrång i flera organisationers Microsoft 365-e-postkonton. Med nätfiske kommer en kriminell över användarnamn och lösenord som används för att försöka få tillgång till kontot. Flerfaktorsautentisering (MFA) förhindrar emellertid effektivt ett dataintrång i e-postkontot. Även den här veckan har vi fått flera meddelanden om att flerfaktorsautentisering skulle ha skyddat e-postkontot från dataintrång och kapning.

Länken i e-postmeddelandet leder till en inloggningssida gjord av kriminella. Sidan kan se nästan likadan ut som den verkliga nättjänstens inloggningssida. Den enda skillnaden kan vara URL-adressen. Användarnamn och lösenord som matas in på sidan förmedlas till kriminella som snabbt kontrollerar användaridentifikationen, vanligen redan inom några minuter.

Ett nätfiskemeddelande till e-posten kan komma från en bekant samarbetspartner. Nätfiskemeddelandet kan ge intrycket av att vara ett krypterat e-postmeddelande. Meddelandets ämne kan hänföra sig till ett aktuellt ämne eller rubriken kan vara faktura eller indrivning, varvid mottagaren vill klarlägga vad det är fråga om.

De kriminella använder kapade e-postanvändarnamn för nätfiske av nya användarnamn och lösenord eller väntar på möjligheten att ändra kontouppgifterna på en faktura eller ber i ditt namn att få pengar överförda till de kriminellas konto. I samband med dataintrången strävar man även efter att få tillgång till så mycket känslig information som möjligt från e-posten, som senare kan användas för fortsatta brott eller till och med för att möjliggöra en kommande attack med utpressningsprogram.

Förutom tekniska återställningsarbeten orsakar ett dataintrång dessutom skada för anseendet, förlorat kundförtroende och ekonomiska förluster som till och med leder till konkurs.

Nu är det dags att ta i bruk flerfaktorsautentisering

Företag bör omgående ta i bruk flerfaktorsautentisering åtminstone för alla tjänster som används via externa förbindelser, såsom molnbaserade e-posttjänster.

Flerfaktorsautentisering innebär att en användare som loggar in i en tjänst autentiseras med flera identifieringsmetoder. I praktiken innebär det att inloggningen efter inmatning av användarnamn och lösenord kontrolleras med en applikation i en smarttelefon som är ansluten till tjänsten, principen är liknande som vid inloggning till banktjänster.

Ibruktagande av flerfaktorsautentisering måste först göras av tekniska personer innan det kan tas i bruk av användarna. Administrationen kan även kontrollerat uppmana alla användare att övergå till flerfaktorsautentisering. Åtminstone för företagets kritiska funktionärer bör man ta i bruk så effektiv flerfaktorsautentisering som möjligt. Den enklaste lösningen är SMS-baserad, därefter följer olika autentiseringsapplikationer och slutligen WebAuthn i enlighet med den så kallade FIDO-standarden.

”Hej mamma”-bedrägerier blir vanligare

”Hej mamma”-bedrägeriet som förekommit i hela världen har observerats igen som finsk version.

De kriminella strävar hela tiden efter att hitta nya metoder för att vinna sina offers förtroende och ”Hej mamma”-bedrägeriet som cirkulerar i applikationen WhatsApp för tillfället utgör inget undantag. I dessa bedrägerimeddelanden försöker bedragaren att ge sig ut för att vara mottagarens barn och förklara att orsaken till att barnet tar kontakt från ett främmande nummer är till exempel att telefonen gått sönder. När diskussionen framskrider ber den kriminella, som ger sig ut för att vara en familjemedlem, mottagaren att överföra pengar till ett bankkonto. Orsaken till överföringen av pengar kan till exempel vara för att skaffa en ny telefon. Det är emellertid fråga om ett bedrägeri och pengarna överförs i själva verket till ett konto som används av den kriminella.

Bedrägerimeddelanden kan skickas både från finländska och utländska riktnummer. Om du får ett meddelande av en familjemedlem som påstår sig ta kontakt från sitt nya nummer lönar det sig ännu att försäkra sig om det via det gamla numret. Du kan även försöka ställa frågor utan att uppge dina personliga uppgifter. Om du inte får direkta svar eller meddelandena är skrivna på dålig finska eller är ologiska kan du vara säker på att du inte pratar med din familjemedlem. Öppna inte länkar i meddelandena och uppge inte dina personliga uppgifter innan du är säker på att det är fråga om personen du känner.

Det lönar sig även att anmäla försök till bedrägeri till polisen. Om en girering hinner genomföras ska du genast kontakta din bank och därefter polisen.

Följ oss på sociala medier

Har du redan hittat oss i olika sociala mediekanaler? Vi delar information bland annat om vilka bedrägerier som cirkulerar, om aktuella samtalsämnen inom cybersäkerhet och om våra lediga arbetsplatser.

Visste du att vi på Traficom arbetar med trafik och kommunikation på många olika sätt? I dessa sociala mediekanaler rör vi oss på land, till sjöss, i luften och i datanät.

Prenumerera på Cybersäkerhetscentrets nyhetsbrev eller RSS-flöden för att få information genast när den publiceras.

Prenumerera på Cybersäkerhetscentrets nyhetsbrev eller RSS-flöden för att få information genast när den publiceras.