Aktiivista kalastelua ja tietomurtoja
Tietoturva Nyt!
Kyberturvallisuuskeskukseen on tullut tätä 11.4.2019 kirjoittaessa huomattava määrä yhteydenottoja aktiivisesta Office 365 -tunnusten kalastelusta ja onnistuneista tietomurroista. Kyberturvallisuuskeskus kehottaa käyttäjiä nyt erityiseen varovaisuuteen avatessaan linkkejä ja syöttäessään tunnuksiaan palveluihin kirjautuessa.
Office 365 -palvelun tunnusten väärinkäytöksiä koskeva varoitus on ollut voimassa kesäkuusta 2018 eteenpäin, eikä ilmiö tunnusten kalastelun ja niillä tehtävien tietomurtojen osalta näytä laantumisen merkkejä.
Tilastotietojen valossa kuluneen viikon aikana Kyberturvallisuuskeskukseen on tullut yhteensä 22 ilmoitusta aiheeseen liittyen, ja näistä seitsemässä on varmistetusti vähintään yksi tietomurron uhri. Tilasto ei ole täysin kattava koko Suomen tilanteesta, mutta antaa suuntaa ilmiön laajuudesta.
Päivän trendinä on jakaa linkkejä aiemmin saatujen uhrien nimissä joko heidän OneDrive-tilastaan tai Sharepoint-tilastaan, tai sitten ottaa mahdollinen olemassa oleva Dropbox-tili haltuun salasanan nollauksella, ja levittää kalasteludokumentteja sitä kautta edelleen.
Toimintametodi on lähes kaikissa tapauksissa sama: uhrin nimissä lähetetään jokin PDF-tiedosto, joka sisältää oikeasti vain linkin "Open document / Avaa dokumentti", ja linkistä uhri ohjautuu hyökkääjän määrittelemälle sivustolle.
Jos uhri syöttää tunnuksensa kyseiselle sivustolle, siirtyvät ne sieltä eri tavoin hyökkääjän haltuun. Tämän jälkeen hyökkääjä voi suorittaa tunnuksilla mielivaltaisesti toimenpiteitä uhrin nimissä, jos organisaatiossa ei ole käytössä monivaiheista tunnistautumista estämässä pelkällä käyttäjätunnus-salasana -parilla kirjautumista.
Kyberturvallisuuskeskus kehottaakin nyt käyttäjiä olemaan erityisen valppaana liitteitä ja linkkejä avatessaan, ja tarkastamaan selaimen osoiteriviltä erikseen, mihin palveluun tunnukset syötetään. Microsoftin aidolla kirjautumissivustolla osoite alkaa https://login.microsoftonline.com/ (Ulkoinen linkki), ja sivuston sertifikaatti on myönnetty Microsoftin toimesta; kaikki muut vaihtoehdot ovat lähtökohtaisesti epäilyttäviä ja mahdollisesti haitallisia. Jos epäilet syöttäneesi tunnuksesi vahingossa haitalliselle sivustolle, ota välittömästi yhteyttä oman organisaatiosi ylläpitoon tai tietoturvatoimijoihin.
Kyberturvallisuuskeskus pyytää myös käyttäjiä ilmoittamaan vastaanottamistaan kalasteluviesteistä tai mahdollisista kalastelusivustoista. Ilmoituksen voi tehdä Kyberturvallisuuskeskuksen verkkosivuilla alta löytyvästä linkistä tai vapaamuotoisesti sähköpostilla osoitteeseen cert@traficom.fi .
Päivitetty PDF-dokumentin kuvaa.