Digitalisering

Krismyndigheten själv utsatt för dataintrång

Foto: Drago Prvulovic / TT
Foto: Drago Prvulovic / TT

Myndigheten för samhällsskydd och beredskap (MSB) har utsatts för ett e-postbedrägeri som ledde till att tusentals falska mejl skickades ut i myndighetens namn, rapporterar Ekot.

Publicerad

Samtidigt har MSB bland annat ansvar för att informera andra myndigheter och allmänheten hur de ska undvika nätfiske – och har även internutbildningar.

– Vi kommer självklart att se över hur vi hanterar situationer som den här och om vi kan se över våra utbildningsinsatser, säger Tim Georgiou, it-säkerhetsansvarig på MSB, till Ekot.

En person på MSB utsattes för identitetskapning och identiteten användes sedan för att skicka mejl till drygt 8 000 mottagare. Mejlen som spreds försökte få mottagaren att uppge sitt lösenord, en vanlig form av bedrägeri.

”Så varnas svenska medier, företag och myndigheter”

Uppgifter om sårbarheter rörande svenska datorer och nät, får Cet.se via stiftelser, organisationer eller företag såsom Shadowserver, Zeustracker, Malwarepatrol, DroneBL och Autoshon. 

De mejlas vidare till ägarna av de berörda ip–adresserna. Det sker form av så kallade säkerhetsmeddelanden, som antingen sänds automatiskt via systemet Megatrone eller manuellt av MSB–anställda, och når kontaktpersoner på exempelvis statliga myndigheter, banker, kommuner, webbhotell, samhällsviktiga företag, mediehus, landsting, riksdagspartierna eller internetleverantörer.

Det finns i dag ip–adresser som hör till omkring 700 svenska verksamheter inlagda i Megatrone.

 

Exempel på säkerhetsmeddelande:

---

Det tyska företaget Nextcloud GmbH har utfört skanningar efter installationer med gamla versioner av ownCloud som finns öppet tillgängliga på Internet. ownCloud är en programsvit för att köra egna instanser av molntjänster för synkronisering och delning av data.

Den innehåller sårbarheter som kan utnyttjas för att få obehörig åtkomst till data som lagras i systemet.

En angripare kan potentiellt få tillgång till känslig information så som privata dokument, bilder eller kunddata från företag.

Säkerhetsbristerna kan även utnyttjas för att exekvera godtycklig kod på molnservern vilket potentiellt leda till en full kompromettering av systemet.

Nedan listas de system som påträffats i ert nätverk.

Tidsstämpeln (tidszon UTC) visar när den sårbara installationen identifierades. Dessutom visas även en angiven risknivå för varje påträffat system. Sårbara installationer i ert nät:

P-adress: IP-ADRESS

Port: 80

Datornamn: XXX

Alt. datornamn: XXX.XXX

Tidsstämpel: 2017–04–03 01:54:49 UTC

Installerad version: 6.0.2.2

Risknivå: critical

Kontakta oss gärna vid frågor.

Vanliga frågor och svar

–-

CERT–SE har funnit att en eller flera datorer i ert nätverk finns med i en RBL–lista (realtime blacklist).

En IP–adress kan hamna i en RBL–lista om skräppost (spam) har skickats från adressen eller om e–postservern är felkonfigurerad.

I vissa fall rör det sig om infekterade klientdatorer som ingår i ett botnät, men i allvarligare fall kan e–postservern ha tagits över av "spammare".

Det kan också röra sig om så kallat "backscatter" då även korrekt konfigurerade e–postservrar kan hamna i en RBL–lista.

Mer info: Wikipedia.  http://en.wikipedia.org/wiki/Backscatter_%28e–mail%29.

Det finns en antal webbplatser där en IP–adress kan kontrolleras mot ett flertal RBL-listor: Mtoolbox och Antiabuse.

IP-block: XXXX