Cybersäkerhetscentrets veckoöversikt – 34/2023

I denna veckas översikt behandlas följande

• Nätfiskemeddelanden maskerade som krypterad e-post sprids igen
• Hotellbokningstjänst har använts för nätfiske
• Kritisk sårbarhet i Junipers nätverksutrustning

Nätfiskemeddelanden maskerade som krypterad e-post sprids igen

Bedrägerimeddelanden maskerade som krypterad e-post leder till en nätfiskewebbplats där man snokar efter användarnamn och lösenord. Bedrägerimeddelanden sprids som bäst från en organisation till en annan inom kommunsektorn. Om man gör misstaget att ange användarnamnet och lösenordet för sitt e-postkonto på webbplatsen som öppnas, tar brottslingar över kontot och använder det för bedrägerier samt för att skicka nya nätfiskemeddelanden.

Bedrägerimeddelandena har haft olika trovärdiga rubriker, till exempel ”Vuokrarästi” (Hyresskuld) eller ”Arkistomateriaalitilaus” (Beställning av arkivmaterial). En saklig rubrik ökar bedrägerimeddelandets trovärdighet. Varningsklockorna borde börja ringa om någon via en länk i ett krypterat e-postmeddelande frågar efter användarnamn och lösenord.

Tvångsinförande av tvåfaktorsautentisering är ett effektivt skydd mot nätfiskekampanjer. Om användning av tvåfaktorsautentisering är frivillig ger den inte fullständigt skydd. 

Cybersäkerhetscentret skrev om nätfiske med temat krypterad e-post senast i april. Läs mer: 

Nätfiskemeddelanden med temat säker e-post resulterar till intrång i e-postkonton

Hotellbokningstjänst har använts för nätfiske

I hotellbokningstjänsten booking.com, som är populär även bland finländare, har det rapporterats om flera fall där meddelanden till kunder via tjänsten i själva verket inte har kommit från något hotell, utan från bedragare. Målet med bedrägerimeddelandena har varit att fiska efter bland annat kreditkortsnummer.

Ars Technica rapporterade om bedrägerimeddelanden som förmedlats via bokningstjänsten redan i februari 2023. Även Cybersäkerhetscentret har fått anmälningar om bedrägerimeddelanden som finländska kunder fått. Tidigare har det kommit in anmälningar då och då, men nu i augusti har flera fall rapporterats.

Bedrägerimeddelandena verkar mycket trovärdiga, eftersom de innehåller korrekt hotellinformation och riktiga namn på kunder samt hänvisar till riktiga hotellbokningar som kunderna gjort. Meddelandena kommer också via den äkta tjänsten booking.com, på samma sätt som äkta meddelanden som hotellen skickar. Länkarna i meddelandena leder till en falsk webbplats, som kan ge intryck av att vara hotellets eller bokningstjänstens webbplats. Kreditkortsuppgifter som angetts på den förfalskade webbplatsen hamnar i händerna på brottslingar.

Det har redan i flera år rapporterats om liknande fall med jämna mellanrum, men booking.com har inte bekräftat några dataläckage eller dataintrång. Det är möjligt att den kriminella aktören har haft tillgång till en del uppgifter om hotellbokningar i tjänsten, men att kreditkortsuppgifter inte har läckt till brottslingarna. Därför försöker brottslingarna använda den information de fått för att fiska efter kreditkortsuppgifter.

Ytterligare information: 

Kritisk sårbarhet i Junipers nätverksutrustning

CVE: CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 

CVSS: 9,8

Vad: I hanteringssystemen för Junipers brandväggar i serien SRX och switchar i serien EX har fyra separata små sårbarheter konstaterats. De enskilda sårbarheterna verkar i sig rätt ofarliga, men när de kopplas samman är det möjligt att använda dem för att kringgå inloggning och köra godtycklig kod på enheterna. En kombination av sårbarheterna är därför kritisk och kräver snabb uppdatering. 

Produkt: Juniper SRX-brandväggar, Juniper EX-switchar

Korrigering: Uppdatering av operativsystemet

Ytterligare information (på finska): https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_14/2023