CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2024-06-13 15:20

Pågående nätfiskekampanj riktad mot kommuner och skolor

E-post Nätfiske Phishing Utpressningsangrepp Kommuner Skolor SharePoint OneDrive

CERT-SE har den senaste tiden observerat flera fall där kommuner och skolor drabbats av vad vi bedömer vara samma nätfiskekampanj.

Det rör sig om mejl som innehåller länkar till SharePoint- eller OneDrive-ytor och som kommer från personliga e-postadresser som verkar överensstämma med en faktisk anställd hos en kommun eller skola. Mejlen framstår som trovärdiga; de är välformulerade och har relevant innehåll som stämmer överens med avsändaren.

I de fall som CERT-SE fått kännedom om är moduset likartat. Det handlar inte om felkonfigurering av system, utan om användarkonton och lösenord som utnyttjats. När mottagaren sedan lockats att klicka på länken i mejlet så har ett “nätfiskepaket” laddats upp på deras SharePoint- eller OneDrive-konto. Detta paket har sedan använts vidare i händelseförloppet, vid vidare kontakt med andra verksamheter.

CERT-SE vill uppmana till ökad vaksamhet, särskilt för användare inom kommuner och/eller skolverksamheter. Var allmänt uppmärksam på länkar som delas via e-post, särskilt från okända användare eller personer som man normalt inte har kontakt med. Om avsändaren delar en länk till SharePoint eller OneDrive bör mottagaren motringa eller på annat sätt kontrollera med avsändaren att hen avsåg att dela informationen.

CERT-SE vill även uppmana verksamheter att dela observationer av nätfiske med CERT-SE för att vi inom ramen för vårt uppdrag ska kunna varna och ge stöd till andra som drabbats eller riskerar att drabbas. Om ni drabbas uppmanar CERT-SE även till att dela information om företeelsen med andra kommunala verksamheter.

Rekommendationer

Se CERT-SE:s temasida med generella råd gällande nätfiske: https://www.cert.se/tema/natfiske

Förutom att byta lösenord och lägga till multifaktorautentisering på konton, rekommenderar vi även i detta fall att man söker efter tecken på att sessionskapning (session/cookie hijacking) använts för att få tillgång till it-miljön.

Bakgrund och vidare läsning

Nätfiske mot svenska verksamheter är vanligt förekommande. Tekniken används av angripare i flera olika syften, exempelvis för att komma över känslig information som kan användas för att genomföra bedrägerier. Nätfiske används också som redskap för att få initial tillgång till it-miljöer som förberedelse till andra typer av cyberangrepp (exempelvis utpressningsangrepp).

Allt nätfiske leder inte till negativa konsekvenser, men den stora volymen av utskick gör att det alltid finns en viss risk att bedragaren lyckas.

Se CERT-SE:s temasida med generella råd gällande nätfiske: https://www.cert.se/tema/natfiske