Det rör sig om mejl som innehåller länkar till SharePoint- eller OneDrive-ytor och som kommer från personliga e-postadresser som verkar överensstämma med en faktisk anställd hos en kommun eller skola. Mejlen framstår som trovärdiga; de är välformulerade och har relevant innehåll som stämmer överens med avsändaren.

I de fall som CERT-SE fått kännedom om är moduset likartat. Det handlar inte om felkonfigurering av system, utan om användarkonton och lösenord som utnyttjats. När mottagaren sedan lockats att klicka på länken i mejlet så har ett “nätfiskepaket” laddats upp på deras SharePoint- eller OneDrive-konto. Detta paket har sedan använts vidare i händelseförloppet, vid vidare kontakt med andra verksamheter.

CERT-SE vill uppmana till ökad vaksamhet, särskilt för användare inom kommuner och/eller skolverksamheter. Var allmänt uppmärksam på länkar som delas via e-post, särskilt från okända användare eller personer som man normalt inte har kontakt med. Om avsändaren delar en länk till SharePoint eller OneDrive bör mottagaren motringa eller på annat sätt kontrollera med avsändaren att hen avsåg att dela informationen..

Förutom att byta lösenord och lägga till multifaktorautentisering på konton, rekommenderas även i detta fall att man söker efter tecken på att sessionskapning (session/cookie hijacking) använts för att få tillgång till it-miljön.

Nätfiske mot svenska verksamheter är vanligt förekommande. Tekniken används av angripare i flera olika syften, exempelvis för att komma över känslig information som kan användas för att genomföra bedrägerier. Nätfiske används också som redskap för att få initial tillgång till it-miljöer som förberedelse till andra typer av cyberangrepp (exempelvis utpressningsangrepp).

Allt nätfiske leder inte till negativa konsekvenser, men den stora volymen av utskick gör att det alltid finns en viss risk att bedragaren lyckas.