Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kyberturvallisuuskeskuksen viikkokatsaus - 16/2023

Tietoturva Nyt!

Tällä viikolla kerromme aktiivisesta turvapostiteemaisesta kalastelukampanjasta ja kyberuhkatason noususta Euroopassa.

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  • Varo turvapostiteemaisia kalasteluviestejä
  • Laskutushuijaukset aktivoitumassa
  • Puolan viranomaisten raportti kyberuhkatoimijan vakoilukampanjasta
  • NCSC-UK tiedottaa uhkatason noususta
  • Digitaalisten palveluiden ja laitteiden käyttöönoton tulee tapahtua hallitusti

Varo turvapostiteemaisia kalasteluviestejä

Viime viikkoina liikkeellä on ollut paljon turvapostiteemaisia kalasteluviestejä. Kyberturvallisuuskeskus on vastaanottanut useita ilmoituksia murretuista käyttäjätileistä turvapostikalasteluun liittyen. Viestien otsikoissa mainitaan esimerkiksi 'lasku' tai 'hakija', ja ne sisältävät aidonnäköisen turvapostipohjan linkkeineen. Ilmoitusten perusteella viime viikkoina on lähetetty tuhansia viestejä murrettujen sähköpostitilien yhteystiedoille.

"Tuoreessa turvapostikalastelukampanjassa on useita uhriorganisaatioita. Kalastajat ovat teroittaneet koukkujaan aidon näköisten viestipohjien ja organisaatioiden logojen avulla", kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Olli Hönö.

Jos käyttäjä syöttää tietonsa huijaussivustolle ja tietomurto onnistuu, rikollinen vaihtaa turvapostien viestipohjaa. Useissa tapauksissa murretun organisaation logo on lisätty organisaation nimissä lähetettyjen uusien kalasteluviestien pohjaan.

Kyberturvallisuuskeskus tarkistaa vastaanotetut ilmoitukset linkkeineen. Tarvittaessa haitalliselle sivustolle tehdään alasajopyyntö ja olemme yhteydessä organisaatioon, jonka murretulta sähköpostitililtä on lähetetty kalasteluviestejä eteenpäin. Avoimuutta ei voi liikaa korostaa - tilimurrosta on syytä ilmoittaa välittömästi omalle organisaatiolle sekä sähköpostista löytyville yhteystiedoille. Tarvittaessa tapauksesta voi viestiä myös organisaation verkkosivuilla.

Erilaiset huijaukset ja kalastelut on hyvä ilmoittaa Kyberturvallisuuskeskukselle. Ilmoittamalle parannatte kansallista tilannekuvaa ja autatte muita organisaatioita. Kyberturvallisuuskeskuksen tekemät alasajopyynnöt haitallisille verkkosivuille katkaisevat kalastelukampanjalta siimat ja Kyberturvallisuuskeskus ottaa yhteyttä murrettuihin organisaatioihin tarkistaakseen, onko tapaus huomattu ja tarvitseeko organisaatio apua.

Turvapostiteemainen kalasteluviesti
Esimerkki turvapostikalasteluviestistä. Useissa tapauksissa viesteihin on lisätty murretun organisaation logo.

Laskutushuijaukset aktivoitumassa

Kyberturvallisuuskeskus on saanut kuluneella viikolla useita ilmoituksia laskutushuijausten yrityksistä eri puolilta Suomea. Kaikkien organisaatioiden tulisi olla varuillaan ja kouluttaa henkilöstöä laskutushuijausten varalta.

Laskutushuijaukset kohdistuvat usein organisaatioiden laskutusta ja rahaliikennettä hoitaviin henkilöihin. Rikollinen lähestyy sähköpostilla ja esiintyy esimerkiksi yrityksen toimitusjohtajana tai yhteistyökumppanin edustajana. Tämän jälkeen vastaanottajaa pyydetään tekemään tilisiirto tai maksu. Huijari yrittää kiirehtiä asiaa ja saattaa neuvoa ohittamaan tavalliset prosessit esimerkiksi kertomalla olevansa kokouksessa. Sähköposti voi saapua murretulta sähköpostitililtä tai sähköpostiosoitteesta, joka on väärennetty näyttämään toisen henkilön sähköpostiosoitteelta.

Organisaatiot voivat suojautua näitä huijauksia vastaan tiedottamalla henkilöstöä. On tärkeää luoda selkeät käytännöt ja prosessit siitä, miten laskut käsitellään ja niiden oikeellisuus varmistetaan. Poikkeamien estämiseksi henkilöstöä on syytä neuvoa suhtautumaan yllättäviin maksupyyntöihin varauksella.

Huijausviesti: Mikä on käytettävissä oleva saldomme? Meidän on maksettava 39.612,10 euroa, voimmeko maksaa tänään? Se on kiireellistä. Terveisiä, toimitusjohtaja.
Esimerkki sähköpostiin saapuneesta laskutushuijauksesta toimitusjohtajan nimissä.

Puolan viranomaisten raportti kyberuhkatoimijan vakoilukampanjasta

Puolan armeijan vastatiedustelu SKW ja CERT.PL julkaisivat raportin laajasta vakoilukampanjasta. Puolan viranomaisten raportissa kampanjaan linkitetään kyberuhkatoimija APT29. Kampanjan tarkoituksena oli raportin mukaan kerätä tietoja muun muassa ulkoministeriöistä ja diplomaattisista yksiköistä sähköpostitse tapahtuvan kohdistetun tietojenkalastelun avulla. Suurin osa kampanjan tunnistetuista kohteista sijaitsee NATOn jäsenvaltioissa, Euroopan unionissa ja osin Afrikassa.

Raportissa kuvattu kampanja pyrkii levittämään haittaohjelmaa sähköpostin välityksellä. Kampanjoissa hyödynnetään sähköpostissa toimitettavaa linkkiä tai liitetiedostoa, joka johdattaa käyttäjän haittaohjelman lataussivulle. Sivulta latautuva haittaohjelma voi olla paketoitu esimerkiksi ISO- tai IMG-levykuvatiedostoon. Tiedoston avatessa haittaohjelma aktivoituu.

Levykuvatiedoston käyttäminen haittaohjelman levityksessä on tapa välttää tiedostoihin tulevaa "mark-of-the-web" -varoitusta, joka kertoisi käyttäjälle tiedostojen olevan ladattuja Internetin kautta. Raportissa suositellaan estämään tai rajoittamaan levykuvatiedostojen käyttämistä työasemilla.

Valtiomyönteisten ryhmittymien uhka kriittistä infrastruktuuria kohtaan noussut länsimaissa

Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus (NCSC-UK) varoittaa kohonneesta valtiomyönteisten ryhmittymien uhkasta länsimaista kriittistä infrastruktuuria kohtaan. Uudentyyppiset uhkatoimijat eroavat aiemmista siten, että vaikka ne mukautuvat Venäjän oletettuihin tavoitteisiin, ne eivät usein ole valtion virallisessa ohjauksessa. Niiden toiminta on vähemmän rajoitettua ja kohteet laajempia kuin perinteisillä kyberrikollisilla, mikä niistä vähemmän ennustettavia.

Tiedotteessa kerrotaan myös, että näiden ryhmittymien toiminta keskittyy yleensä palvelunestohyökkäyksiin, verkkosivujen turmelemiseen sekä väärän tiedon levittämiseen. Jotkin ryhmittymät haluavat aiheuttaa enemmän häiriötä länsimaista kriittistä infrastruktuuria kohtaan.

Yhdistyneiden kuningaskuntien kyberturvallisuuskeskus pitää epätodennäköisenä, että lyhyellä aikavälillä näillä ryhmittymillä olisi kykyä saada aikaan tuhoisaa vaikutusta ilman ulkopuolista apua. Hyökkäykset voivat kuitenkin pitkällä aikavälillä kehittyä tehokkaammiksi. NCSC-UK kehottaa toimimaan nyt, jotta organisaatiot voisivat hallita riskiä tulevia onnistuneita hyökkäyksiä vastaan.

Digitaalisten palveluiden ja laitteiden käyttöönoton tulee tapahtua hallitusti

Kyberturvallisuuskeskus vastaanottaa toisinaan ilmoituksia, joiden mukaan organisaatioiden henkilöstölle markkinoidaan laajasti ja aggressiivisesti erilaisia digitaalisia palveluita tai laitteita. Hyvin usein kyseiset tuotteet ovat pilvipohjaisia ja helposti käyttöönotettavissa ilman organisaation oman tietohallinnon tukea. Tämän tyyppisten ilmoitusten joukossa ei toistaiseksi ole havaittu varsinaisesti haitallista toimintaa, mutta Kyberturvallisuuskeskus haluaa kuitenkin muistuttaa tähän liittyvien riskien hallinnasta.

Jokainen organisaation tietoverkkoon tai palveluympäristön (esimerkiksi sen keskitetyn käyttäjä- ja käyttövaltuushallinnan) piiriin liitetty laite tai palvelu kasvattaa myös organisaation kyberriskejä. Tämän takia organisaatioiden johdon pitäisi varmistaa, että käytössä ovat riittävät hallintakeinot näiden riskien hallitsemiseksi.

Organisaatioiden tulisi varmistaa, että

  • Kaikki digitaaliset tuotteet ja palvelut otetaan käyttöön ainoastaan ennalta määriteltyjen prosessien mukaisesti, jossa huomioidaan organisaation omat tietoturvaperiaatteet sekä -vaatimukset.
  • Edellä mainitut periaatteet tulisi olla viestittynä organisaation henkilöstölle, jolloin esimerkiksi erilaiset markkinointiyhteydenotot osataan ohjata hankinnoista vastaaville tahoille.
  • Kunkin tuotteen tai palvelun tapauksessa tulisi arvioida myös sen toimittajan kyberturvallisuuden taso. Pystyykö toimittaja esittämään selkeästi millä tavalla se huolehtii tietoturvallisuudesta.

Haavoittuvuudet

CVE: CVE-2023-2033
CVSS: 8.8
Mikä: Google korjasi aktiivisesti hyväksikäytetyn nollapäivähaavoittuvuuden Chrome-selaimesta
Tuote: Google Chrome -selain
Korjaus: Päivitä Chrome versioon 112.0.5615.121

Tutustu Viikkokatsaukseen

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 13.04.-20.04.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.