Öka motståndskraften mot bedräglig e-post

Att e-post utnyttjas för olika typer av bedrägerier är tyvärr ett vanligt förekommande problem. I det vardagliga inflödet av e-post är det därför viktigt att vara uppmärksam på bedrägliga mejl. 

För alla som förvaltar domäner är det viktigt att se till att säkerhetsåtgärder som bidrar till att stoppa skräppost och bedrägerimejl är aktiverade, så att skräppost inte sprids med till synes legitima avsändare genom falska, så kallade spoofade, e-postadresser. 

Vad som utnyttjas när e-postadresser spoofas är att mejlklienter hanterar från-fältet på olika och ibland felaktiga sätt. Mejlet kan ha en helt korrekt avsändaradress från någon man litar på men ändå vara förfalskat. Detta kan utnyttjas för nätfiske, bedrägerier, sprida falsk information eller för att sprida skadlig kod till mottagaren.

CERT-SE vill belysa detta problem och har sammanställt några förslag på åtgärder, samt generella tips för alla som hanterar e-post. 

Rekommenderade åtgärder för användare

För användare gäller det att vara uppmärksam på om e-postmeddelandet på något sätt avviker från det normala. Några exempel:

* Dubbelkolla med avsändaren om du är minsta tveksam till varför du har fått mejlet. Är det en hög chef som normalt inte hör av sig direkt till dig, särskilt om mejlet gäller en uppmaning om exempelvis utbetalning av en faktura eller liknande, är det bra att säkerställa legitimiteten i mejlet. Särskilt om det gäller en brådskande transaktion där det meddelas att det är okej att frångå ordinarie rutiner kring utbetalningar.

* Var vaksam om mejlet är skrivet på slarvigt eller styltigt språk, även om detta "ursäktas" genom att det framgår att avsändaren skriver från sin mobil.

* Var vaksam med att klicka på länkar eller öppna bilagor i mejl, särskilt om du i nästa steg blir ombedd att logga in i något system. Avbryt då genast inloggningsprocessen och skriv inte in någon användarinformation.

Rekommenderade åtgärder för administratörer

* Håll mejlklienter och telefonappar uppdaterade med den senaste versionen av relevant programvara och spamskydd.

* Om det är möjligt, blockera externt inkommande e-post vars avsändaradress ser ut att tillhöra den egna organisationen.

* Se över alla domäner, med tillhörande e-postadresser, som verksamheten hanterar för att säkerställa att domänen/erna har SPF (Sender Policy Framework) påslaget. Titta även specifikt på domäner som inte används för att skicka ut mejl. [1]

SPF är ett protokoll utformat för att begränsa vem som kan använda en organisations domän som avsändare på ett e-postmeddelande. SPF blockerar angripare från att skicka e-post som verkar vara från en legitim organisation. SMTP (Simple Mail Transfer Protocol) sätter inga begränsningar för källadressen för e-postmeddelanden, så SPF definierar en process för domänägarna för att identifiera vilka IP-adresser som är behöriga att vidarebefordra e-post för deras domäner.

* Inför DMARC (Domain-based Message Authentication, Reporting & Conformance), som minskar risken att ta emot mejl från förfalskade avsändare. Först i monitor mode, i syfte att få rapporter om hur ens domän utnyttjas, därefter för att bedöma om blockering kan behöva införas. Se ytterligare vägledning i en rapport från CERT-EU, där DMARC förklaras, hur det kan användas för att stoppa skräppost och bedrägerimejl osv. [2]

DMARC är en teknisk specifikation som beskriver hur e-postsystem ska hantera mottagna meddelanden. Den bygger på två befintliga mekanismer, ovan nämnda Sender Policy Framework (SPF) samt Domain Keys Identified Mail (DKIM) för e-postvalidering och autentisering av avsändare.

* Se till att användare inom organisationen får relevant och regelbunden utbildning och övningar i säkerhetsarbete, särskilt säker e-posthantering och angripares metodik för exempelvis nätfiske och bedrägerimejl.

* Inför tvåfaktorsautentisering för all inloggning, även extern åtkomst till mejltjänster.

* Om ni misstänker att ni har blivit utsatta för bedrägeriförsök så rekommenderar vi att en polisanmälan görs. Även om ärenden inte alltid kan utredas så kan det finnas information i mejlen som är av värde. CERT-SE önskar också att drabbade företag tar kontakt med oss så att vi kan få en bättre lägesbild av omfattning och skilda modus.

Ytterligare råd är att ta del av rapporterna Cybersäkerhet i Sverige 2022: Rekommenderade säkerhetsåtgärder [3] och Säkerhetsåtgärder i informationssystem [4] samt se över cyberhygien och hur man kan skydda sig som användare [5, 6].

Källor

[1] https://www.gov.uk/guidance/protect-domains-that-dont-send-email
[2] https://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf
[3] https://www.ncsc.se/siteassets/publikationer/ncsc-rapport-2-cybersakerhet-i-sverige-2022-rekommenderade-sakerhetsatgarder.pdf
[4] https://rib.msb.se/filer/pdf/30128.pdf
[5] https://www.cert.se/2022/02/dags-att-se-over-cyberhygienen-i-verksamheten
[6] https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-natfiske/

Kritisk sårbarhet i VMware Aria Operations for Networks (uppdaterad 2023-09-04)

VMware har publicerat säkerhetsuppdateringar som hanterar flera sårbarheter i Aria Operations Networks, varav en är kritisk (CVE-2023-34039) och har en CVSSv3-score på 9.8 [1].

Ett lyckat angrepp möjliggör för en angripare med nätverksaccess att kringgå SSH-autentisering för att komma åt Aria Operations for Networks CLI.

Uppdatering 2023-09-04

Proof-of-concept-kod för sårbarheten har publicerats. [2]

Påverkade produkter

VMware Aria Operations for Networks 6.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt. 

Källor

[1] https://www.vmware.com/security/advisories/VMSA-2023-0018.html
[2] https://summoning.team/blog/vmware-vrealize-network-insight-rce-cve-2023-34039/

CERT-SE:s veckobrev v.35

Nyheter i veckan

Data breach at French govt agency exposes info of 10 million people (25 aug)
https://www.bleepingcomputer.com/news/security/data-breach-at-french-govt-agency-exposes-info-of-10-million-people/

Sveriges skolor, universitet och forskningscenter utsätts för färre cyberattacker än i resten av världen (25 aug)
https://www.aktuellsakerhet.se/sveriges-skolor-universitet-och-forskningscenter-utsatts-for-farre-cyberattacker-an-i-resten-av-varlden/

Met Police investigating suspected data breach (28 aug)
https://www.bbc.com/news/uk-england-london-66631386

Kraftig ökning av ransomware i sommar – här är ligan som dominerar just nu (28 aug)
https://computersweden.idg.se/2.2683/1.779831/stor-okning-av-ransomware-i-sommar–har-ar-ligan-som-dominerar-just-nu

Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege (28 aug)
https://thehackernews.com/2023/08/experts-uncover-how-cybercriminals.html

Attacks on Citrix NetScaler systems linked to ransomware actor (28 aug)
https://www.bleepingcomputer.com/news/security/attacks-on-citrix-netscaler-systems-linked-to-ransomware-actor/

Microsoft will enable Exchange Extended Protection by default this fall (28 aug)
https://www.bleepingcomputer.com/news/security/microsoft-will-enable-exchange-extended-protection-by-default-this-fall/

Manufacturing companies hit by the worst encryption rate in three years (29 aug)
https://manufacturing-today.com/news/manufacturing-companies-hit-by-the-worst-encryption-rate-in-three-years/

Hackers infiltrated Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) for months (29 aug)
https://securityaffairs.com/150041/intelligence/japan-nisc-infiltrated.html

University of Michigan shuts down network after cyberattack (29 aug)
https://www.bleepingcomputer.com/news/security/university-of-michigan-shuts-down-network-after-cyberattack/

National Grid plots ‘honeypots’ to catch hackers as cyber attacks ramp up (29 aug)
https://www.telegraph.co.uk/business/2023/08/29/national-grid-honeypots-catch-hackers-cyber-attacks-infra/

Grave flaws in BGP Error handling (29 aug)
https://blog.benjojo.co.uk/post/bgp-path-attributes-grave-error-handling

FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown (29 aug)
https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown

Qakbot botnet infrastructure shattered after international operation (30 aug)
https://www.europol.europa.eu/media-press/newsroom/news/qakbot-botnet-infrastructure-shattered-after-international-operation

Data From The Qakbot Malware is Now Searchable in Have I Been Pwned, Courtesy of the FBI (30 aug)
https://www.troyhunt.com/data-from-the-qakbot-malware-is-now-searchable-in-have-i-been-pwned-courtesy-of-the-fbi/

Montreal electricity organization latest victim in LockBit ransomware spree (30 aug)
https://therecord.media/montreal-electricity-organization-lockbit-victim

Data om 186 000 svenska pensionskunder har läckt ut (30 aug)
https://www.svt.se/nyheter/inrikes/svt-avslojar-data-om-186-000-svenska-pensionskunder-rojdes

Hackers attack 2 of the world’s most advanced telescopes, forcing shutdown (30 aug)
https://www.livescience.com/space/astronomy/hackers-attack-2-of-the-worlds-most-advanced-telescopes-forcing-shutdown

Healthcare Organizations Hit by Cyberattacks Last Year Reported Big Impact, Costs (30 aug)
https://www.securityweek.com/healthcare-organizations-hit-by-cyberattacks-last-year-reported-big-impact-costs/

Rapporter och fördjupningar

MalDoc in PDF – Detection bypass by embedding a malicious Word file into a PDF file (28 aug)
https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868) (29 aug)
https://www.mandiant.com/resources/blog/unc4841-post-barracuda-zero-day-remediation

Dive into the Deep Sea: A View of the Subsea Cable Ecosystem (31 aug)
https://www.enisa.europa.eu/news/dive-into-the-deep-sea-a-view-of-the-subsea-cable-ecosystem

Malware Analysis Report: Infamous Chisel (31 aug)
https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/infamous-chisel/NCSC-MAR-Infamous-Chisel.pdf

Informationssäkerhet och blandat

The Cheap Radio Hack That Disrupted Poland’s Railway System (27 aug)
https://www.wired.com/story/poland-train-radio-stop-attack/

Global cybercrime treaty could be ‘disastrous for human rights,’ NGOs warn (28 aug)
https://therecord.media/global-cybercrime-treaty-disastrous-rights-orgs

Trygg-Hansa tvingas betala 35 miljoner efter säkerhetsbrister (30 aug)
https://www.svt.se/nyheter/inrikes/trygg-hansa-tvingas-betala-35-miljoner-efter-sakerhetsbrister

CERT-SE i veckan

Kritisk sårbarhet i VMware Aria Operations for Networks

Vanligare med bedrägerier på ehandelssajter som använder AI

I takt med att ehandelssajter använder AI i allt större utsträckning ökar också risken för att kunderna utsätts för bedrägerier. Flera utländska ehandelssajter lurar sina kunder genom att tillåta att partners säljer falska kopior på dyra designprodukter som lampor, möbler och klockor. För konsumenten kan det vara svårt att avgöra om man köper en äkta vara. Hos Konsumentverket växer nu antalet klagomål.