Kyberturvallisuuskeskuksen viikkokatsaus - 08/2024

Sähköpostitilimurtoja jälleen liikkeellä

Kyberturvallisuuskeskus on jälleen saanut ilmoituksia Microsoft 365 -tilimurroista. Turvapostiksi naamioidut huijausviestit johtavat tietojenkalastelusivulle, jossa kalastellaan käyttäjätunnuksia ja salasanoja. Jos huijausviestistä avautuvalle verkkosivulle erehtyy syöttämään sähköpostitilinsä käyttäjätunnuksen salasanoineen, rikollinen saa tilin haltuunsa ja käyttää sitä petoksiin sekä uusien tietojenkalasteluviestien lähettämisen edelleen. Murrettuja tilejä voidaan käyttää tuhansien uusien tunnuskalasteluviestien lähettämiseen.

Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita viestimään sisäisesti kalasteluviestien uhista. Suosittelemme käyttämään kaksivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä. Kaksivaiheisen tunnistautumisen pakotettu käyttöönotto on tehokas suojautumiskeino tietojenkalastelukampanjoita vastaan. Jos kaksivaiheisen tunnistautumisen käyttö jätetään vapaaehtoiseksi, se ei tuo täyttä suojaa.

Lue lisää: Viikkokatsaus 04/2024 ja Varoitus 1/2023

Petoksen yrityksiä toimitusjohtajaksi tekeytymällä

Toimitusjohtajahuijauksia on jälleen raportoitu Kyberturvallisuuskeskukselle runsaasti. Viime viikkoina on nähty eri yhteisöjen taloushallintoon osuneita samantyyppisiä sähköposteja, joissa toimitusjohtajan tai pääjohtajan nimissä kysellään saldoa ja pyydetään tekemään kiireellinen kymmenien tuhansien eurojen siirto ulkomaiselle tilille. Myös kotimaisia tilejä on käytetty maksupetoksiin. Huijausviesteissä käytetään kohtuullisen hyvää suomen kieltä ja lähettäjän osoite saattaa näyttää oikealta. Joukossa on epämääräisempiä satunnaisista gmail-osoitteista lähetettyjä viestejä, mutta ei pidä luulla, että väärä lähettäjän osoite on varma tapa erottaa huijausviesti aidosta.

Joissain tapauksissa organisaation sähköpostitili on murrettu ja sitä kautta johtajan osoite on rikollisten käytössä. Aidosta johtajan osoitteesta lähetetty aito Teams-viesti tai sähköposti lisää huijauksen uskottavuutta. Jos sähköpostilaatikko on murrettu, sähköpostitse lähetettyihin varmistusviesteihin vastaakin huijari, joka vakuuttaa kaiken olevan kunnossa. Epäilyttävät viestit voi varmistaa soittamalla lähettäjälle puhelimitse. Usein huijausviesteissä vedotaan kiireeseen tai salaisuuteen tai väitetään, että puhelimessa ei juuri nyt voi puhua, mutta rahasiirto olisi saatava tehtyä pikaisesti. Taloushallinnolta tarvitaan malttia ja pidättäytymistä organisaation normaaleissa maksuhyväksyntäkäytännöissä, vaikka huijausviestissä vaadittaisiinkin ohittamaan normaalit tarkistukset ja hyväksynnät.

Tavanomaisten toimitusjohtajahuijausten lisäksi on nähty myös palkanmaksuhuijauksia. Niissä huijari lähettää palkanlaskijalle johtajan nimissä viestin, jossa pyytää vaihtamaan palkkatilinsä toiseksi. Myös näissä tapauksissa on tarpeen pitää kiinni organisaation turvallisista varmistuskäytännöistä eikä vaihtaa kenenkään palkkatiliä pelkän viestin perusteella.

Matkahuollon ja Postin nimissä maksupetosyrityksiä

Uutena ilmiönä kahden edellisen viikon aikana saamissamme ilmoituksissa on ollut Matkahuollon ja Postin nimissä tapahtuvat maksupetosten yritykset erilaisilla verkon kauppapaikoilla. Saamissamme ilmoituksissa korostuu huijausten ja petosyristen kohdentaminen myyjiä kohtaan. Tietojemme mukaan halukas ostaja lähestyy myyjää ja tarjoutuu maksamaan tuotteen Matkahuollon tai Postin kautta. Todellisuudessa maksua osoittava sivusto on rikollisten luoma tiedon kalastelusivusto, jonne myyjä uskotellaan täyttämään maksuvälinetietonsa ja antamaan verkkopankkitunnuksensa maksun vastaanottaakseen.

Olemme saaneet ilmoituksia huijauksista ja petosten yrityksistä ainakin Tori.fi-palveluiden ja Facebook MarketPlacen käyttäjiltä. Uhreille lähetetyissä viesteissä käytetty suomen kieli on ollut kohtuullisen vakuuttavaa. Huijari saattaa perustella ehdottamansa maksupalvelun käyttöä sillä, että häntä on huijattu aiemmin toisissa palveluissa.

Mikäli syötät epähuomiossa omat tietosi kalastelusivulle, ota välittömästi yhteyttä omaan pankkiisi, tämän lisäksi suosittelemme tekemään asiasta rikosilmoituksen sekä ilmoituksen meille (ilmoita tästä ).

Suosittelemme tutustumaan myös ohjeeseemme Näin suojaudut nettihuijaukselta

Yhdessä tekstiviestihuijauksia vastaan – jo 70 lähettäjätunnusta on suojattu

Moni meistä on viime vuosina saanut aidon näköisiä huijausviestejä, joissa tekstiviestin lähettäjätunnus antaa ymmärtää, että viesti on tullut esimerkiksi omalta pankilta tai pakettia toimittavalta logistiikkayhtiöltä. Viestin ja niiden sisältämien linkkien takana on kuitenkin ollut huijaussivustoja, joiden avulla rikolliset kalastelevat esimerkiksi verkkopankkitunnuksia.

Liikenne- ja viestintävirasto Traficomin ja operaattoreiden yhteistyön ansiosta tekstiviestihuijausten tehtaileminen on rikollisille taas hitusen hankalampaa. Traficom on 9.11.2023 alkaen tarjonnut organisaatioille mahdollisuuden suojata oman lähettäjätunnuksensa.Tähän mennessä eri organisaatiot ovat suojanneet jo 70 tekstiviestin lähettäjätunnusta. Mukana ovat mm. Nordea, OP, S-Pankki, Posti, Kansaneläkelaitos, Verohallinto ja Poliisi. Voit tarkistaa suojatut tunnukset ja suojauksen voimaantulopäivän Traficomin verkkosivuilta (Ulkoinen linkki).

Mitä suojaus käytännössä tarkoittaa ja edellyttää hakijalta? Lue lisää uutisestamme (Ulkoinen linkki).

Laita kalenteriin: Kansallisen koordinointikeskuksen kumppanuustapahtuma 23.–24.4.2024

Laita päivämäärä kalenteriin! Kansallinen koordinointikeskus (NCC-FI) järjestää kansainvälisen kumppanuustapahtuman 23.–24.4.2024 Helsingissä. Tarkempi kutsu ja ohjelma päivittyy tapahtumasivulle pian!