Öka motståndskraften mot bedräglig e-post

Att e-post utnyttjas för olika typer av bedrägerier är tyvärr ett vanligt förekommande problem. I det vardagliga inflödet av e-post är det därför viktigt att vara uppmärksam på bedrägliga mejl. 

För alla som förvaltar domäner är det viktigt att se till att säkerhetsåtgärder som bidrar till att stoppa skräppost och bedrägerimejl är aktiverade, så att skräppost inte sprids med till synes legitima avsändare genom falska, så kallade spoofade, e-postadresser. 

Vad som utnyttjas när e-postadresser spoofas är att mejlklienter hanterar från-fältet på olika och ibland felaktiga sätt. Mejlet kan ha en helt korrekt avsändaradress från någon man litar på men ändå vara förfalskat. Detta kan utnyttjas för nätfiske, bedrägerier, sprida falsk information eller för att sprida skadlig kod till mottagaren.

CERT-SE vill belysa detta problem och har sammanställt några förslag på åtgärder, samt generella tips för alla som hanterar e-post. 

Rekommenderade åtgärder för användare

För användare gäller det att vara uppmärksam på om e-postmeddelandet på något sätt avviker från det normala. Några exempel:

* Dubbelkolla med avsändaren om du är minsta tveksam till varför du har fått mejlet. Är det en hög chef som normalt inte hör av sig direkt till dig, särskilt om mejlet gäller en uppmaning om exempelvis utbetalning av en faktura eller liknande, är det bra att säkerställa legitimiteten i mejlet. Särskilt om det gäller en brådskande transaktion där det meddelas att det är okej att frångå ordinarie rutiner kring utbetalningar.

* Var vaksam om mejlet är skrivet på slarvigt eller styltigt språk, även om detta "ursäktas" genom att det framgår att avsändaren skriver från sin mobil.

* Var vaksam med att klicka på länkar eller öppna bilagor i mejl, särskilt om du i nästa steg blir ombedd att logga in i något system. Avbryt då genast inloggningsprocessen och skriv inte in någon användarinformation.

Rekommenderade åtgärder för administratörer

* Håll mejlklienter och telefonappar uppdaterade med den senaste versionen av relevant programvara och spamskydd.

* Om det är möjligt, blockera externt inkommande e-post vars avsändaradress ser ut att tillhöra den egna organisationen.

* Se över alla domäner, med tillhörande e-postadresser, som verksamheten hanterar för att säkerställa att domänen/erna har SPF (Sender Policy Framework) påslaget. Titta även specifikt på domäner som inte används för att skicka ut mejl. [1]

SPF är ett protokoll utformat för att begränsa vem som kan använda en organisations domän som avsändare på ett e-postmeddelande. SPF blockerar angripare från att skicka e-post som verkar vara från en legitim organisation. SMTP (Simple Mail Transfer Protocol) sätter inga begränsningar för källadressen för e-postmeddelanden, så SPF definierar en process för domänägarna för att identifiera vilka IP-adresser som är behöriga att vidarebefordra e-post för deras domäner.

* Inför DMARC (Domain-based Message Authentication, Reporting & Conformance), som minskar risken att ta emot mejl från förfalskade avsändare. Först i monitor mode, i syfte att få rapporter om hur ens domän utnyttjas, därefter för att bedöma om blockering kan behöva införas. Se ytterligare vägledning i en rapport från CERT-EU, där DMARC förklaras, hur det kan användas för att stoppa skräppost och bedrägerimejl osv. [2]

DMARC är en teknisk specifikation som beskriver hur e-postsystem ska hantera mottagna meddelanden. Den bygger på två befintliga mekanismer, ovan nämnda Sender Policy Framework (SPF) samt Domain Keys Identified Mail (DKIM) för e-postvalidering och autentisering av avsändare.

* Se till att användare inom organisationen får relevant och regelbunden utbildning och övningar i säkerhetsarbete, särskilt säker e-posthantering och angripares metodik för exempelvis nätfiske och bedrägerimejl.

* Inför tvåfaktorsautentisering för all inloggning, även extern åtkomst till mejltjänster.

* Om ni misstänker att ni har blivit utsatta för bedrägeriförsök så rekommenderar vi att en polisanmälan görs. Även om ärenden inte alltid kan utredas så kan det finnas information i mejlen som är av värde. CERT-SE önskar också att drabbade företag tar kontakt med oss så att vi kan få en bättre lägesbild av omfattning och skilda modus.

Ytterligare råd är att ta del av rapporterna Cybersäkerhet i Sverige 2022: Rekommenderade säkerhetsåtgärder [3] och Säkerhetsåtgärder i informationssystem [4] samt se över cyberhygien och hur man kan skydda sig som användare [5, 6].

Källor

[1] https://www.gov.uk/guidance/protect-domains-that-dont-send-email
[2] https://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf
[3] https://www.ncsc.se/siteassets/publikationer/ncsc-rapport-2-cybersakerhet-i-sverige-2022-rekommenderade-sakerhetsatgarder.pdf
[4] https://rib.msb.se/filer/pdf/30128.pdf
[5] https://www.cert.se/2022/02/dags-att-se-over-cyberhygienen-i-verksamheten
[6] https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-natfiske/

Kritisk sårbarhet i VMware Aria Operations for Networks (uppdaterad 2023-09-04)

VMware har publicerat säkerhetsuppdateringar som hanterar flera sårbarheter i Aria Operations Networks, varav en är kritisk (CVE-2023-34039) och har en CVSSv3-score på 9.8 [1].

Ett lyckat angrepp möjliggör för en angripare med nätverksaccess att kringgå SSH-autentisering för att komma åt Aria Operations for Networks CLI.

Uppdatering 2023-09-04

Proof-of-concept-kod för sårbarheten har publicerats. [2]

Påverkade produkter

VMware Aria Operations for Networks 6.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt. 

Källor

[1] https://www.vmware.com/security/advisories/VMSA-2023-0018.html
[2] https://summoning.team/blog/vmware-vrealize-network-insight-rce-cve-2023-34039/