Kyberturvallisuuskeskuksen viikkokatsaus - 16/2024
Tietoturva Nyt!
Tällä viikolla kerromme Palo Alto -verkkolaitteiden kriittisestä haavoittuvuudesta ja siihen julkaistusta keltaisesta varoituksesta. Luottotietorekisteriin nimissä on liikkeellä tietojenkalasteluviestejä ja organisaatiot ovat vastaanottaneet erilaisia laskutushuijauksia.
Palo Alton kriittinen haavoittuvuus johtanut tietomurtoihin myös Suomessa
Julkaisimme 18.4. varoituksen Palo Alton GlobalProtect-tuotteissa olevasta haavoittuvuudesta, joka vaatii laitteiden välitöntä päivitystä ja tutkintaa. Palo Alto GlobalProtect Gateway ja sen hallintaan käytetty GlobalProtect Portal ovat tuotteita, joita organisaatiot käyttävät esimerkiksi turvallisiin VPN-etätyöratkaisuihin. Haavoittuvuutta käytetään aktiivisesti hyväksi ja sille alttiita laitteita on syytä epäillä murretuiksi.
Perjantaina 12.4. julkaisimme haavoittuvuustiedotteen Palo Alton kriittisestä haavoittuvuudesta CVE-2024-3400. Palo Alto ilmoitti aluksi pienen konfigurointimuutoksen mitigoivan, eli estävän haavoittuvuuden hyväksikäytön. Tämä ei enää pidä paikkaansa ja useita onnistuneita tietomurtoja on havaittu myös Suomessa. Organisaatioiden tulee päivittää haavoittuvat Palo Alto -laitteet uusimpiin versioihin ja on erittäin suositeltavaa tutkia laitteet mahdollisen tietomurron vuoksi. Esimerkiksi laitteen lokista ja laitteelle lisätyistä uusista tiedostoista voi selvitä, mikäli laite on murrettu.
Otamme mielellämme vastaan ilmoituksia haavoittuvuuden hyväksikäytöstä, mikäli organisaatiossanne on niistä havaintoja. Havainnot voi ilmoittaa kotisivujemme lomakkeella tai cert@traficom.fi -sähköpostiosoitteen kautta.
Tietoturvayhtiö Rapid7 on julkaissut kattavat ohjeet (Ulkoinen linkki) laitteiden tutkintaan.
Huijausviestejä positiivisen luottotietorekisterin nimissä
Kyberturvallisuuskeskus on saanut useita ilmoituksia huhtikuun alussa avatun positiivisen luottotietorekisterin nimissä lähetetyistä huijausviesteistä. Huijausviesteissä on ollut muistutus, jonka mukaan vastaanottajalla on päivä aikaa vahvistaa positiivinen luottotietonsa. Viestissä oleva linkki vie huijaussivustolle, jossa kalastellaan pankkitunnuksia. Huijaussivustolle syötetyt pankkitunnukset päätyvät rikollisten käsiin.
Lyhyt reagointiaika ja kiireeseen vetoaminen ovat tyypillisiä tunnusmerkkejä huijauksille. Tällaisten viestien kohdalla kannattaakin olla erityisen tarkkana. Lisää ajankohtaisista huijauksista voit lukea tämän viikkokatsauksen lopusta.
Yksityishenkilö voi tarkistaa rekisterissä olevat tiedot rekisterin omasta sähköisestä asiointipalvelusta, jonne kannattaa kirjautua suoraan rekisterin sivuilta (Ulkoinen linkki). Verkko-osoite kannattaa kirjoittaa selaimeen ja välttää hakukoneiden käyttöä huijaussivustojen välttämiseksi.
Positiivisen luottotietorekisterin nimissä liikkuu myös muunlaisia huijauksia, joista on tiedotettu erikseen rekisterin verkkosivustolla (Ulkoinen linkki).
Suomalaisia organisaatioita laskutushuijauksien kohteena
Kyberturvallisuuskeskus on vastaanottanut useita ilmoituksia laskutuspetosten yrityksistä, jotka ovat kohdistuneet suomalaisiin organisaatioihin. Rikolliset pyrkivät esiintymään eri verukkeilla maksuja vaativana johtajana tai omia tilitietoja vaihtavana työntekijänä.
Laskutus- ja toimitusjohtajahuijaukset ovat huijauksia, joissa rikollinen yrittää saada organisaation HR- tai talousasioista vastaavan tahon tekemään muutoksia laskujen tai palkkojen maksutietoihin. Tavoitteena on saada maksu ohjattua rikollisen hallinnoimalle tilille. Joissain tapauksissa saatetaan myös pyytää suorittamaan jokin täysin tekaistu maksu.
Rikolliset ovat saattaneet tehdä taustatyön kattavasti ja saaneet selvitettyä organisaatiossa toimivan henkilön nimen, jonka nimissä huijauksissa esiinnytään. Julkisia lähteitä käyttäen on mahdollista selvittää organisaation rakennetta ja tätä kautta ohjata viesti HR- tai talous asioiden parissa työskentelevälle taholle.
Näin tunnistat laskutushuijauksen
- Lähettäjä-kentässä saattaa olla oikean organisaatiossa työskentelevän henkilön nimi, mutta sähköpostiosoite ei vastaa organisaatiossa käytettävää mallia.
- Viestissä on kirjoitusvirheitä.
- Viestissä pyritään luomaan vastaanottajalle kiireen tunne.
- Tilinumero halutaan vaihtaa ulkomaalaiseen tilinumeroon. Myös suomalaisia tilinumeroita on ollut joissain tapauksissa.
- Mikäli jokin näistä asioista esiintyy maksuasioihin liittyvässä viestissä, on hyvä tarkistaa asia ennen maksun suorittamista. Asiaa ei kannata selvittää vastaamalla viestiin, vaan esimerkiksi soittamalla lähettäjälle.
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Haavoittuvuudet
CVE: CVE-2024-30407
CVSS: 8.1
Mikä: Useita haavoittuvuuksia Juniperin tuotteessa
Tuote: Juniper Cloud Native Router and Containerized Routing Protocol Daemon
Korjaus: Päivitä tuotteet
CVE: CVE-2024-31497
CVSS: Ei tiedossa
Mikä: Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa
Tuote: PuTTY
Korjaus: Päivitä uusimpaan versioon
CVE: CVE-2024-29204
CVSS: 9.8
Mikä: Useita haavoittuvuuksia
Tuote: Ivanti: Avalanche 6.4.3
Korjaus: Päivitä uusimpaan versioon
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 12.4.-18.4.2024). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.