Kyberturvallisuuskeskuksen viikkokatsaus - 21/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Sometilejä kaapataan huijausviestien avulla 
• Uudet ylätason verkkotunnukset herättävät huolta
• Kyberturvallisuuskeskuksen asiantuntijoiden esityksiä Disobeysta
• Haavoittuvuudet

Sometilejä kaapataan huijausviestien avulla

Facebook-tilimurtojen ja murtojen yritysten ilmoitusten määrä Kyberturvallisuuskeskukselle on ollut nousussa. 

Facebookin-tilin kaappaus alkaa usein niin, että saat Facebook-ystävältäsi Messenger-pikaviestimessä viestin, jossa hän kysyy puhelunnumeroasi. Jos vastaat ystävällesi puhelinnumerosi, pian saat samalta kaverilta ilmoituksen kuvitteellisesta arpajaisvoitosta. Voiton lunastamiseen hän väittää tarvitsevansa puhelimeesi tulevan Facebookin numerokoodin. Todellisuudessa kyseinen koodi liittyy tilille kirjautumiseen ja sen avulla tilin hallinnan siirtämiseen rikollisten haltuun. Jos lähetät hänelle koodin - rikollinen kaappaa todennäköisesti Facebook-tilisi. Tilin haltuunoton jälkeen rikollinen vaihtaa tilitietojasi, kuten tilin nimen sekä yhteystiedot. Tämän jälkeen et todennäköisesti saa tiliäsi haltuun ilman Facebookin apua. 

Jos saat ystävältäsi Facebook Messenger- pikaviestimen kautta poikkeuksellisen tai epäilyttävän viestin, kuten yllättävän puhelinnumeron kyselyn, kerro hänelle toisella viestintävälineellä asiasta. Ystäväsi voi kertoa, onko hän oikeasti lähettänyt kyseinen viestin ja tarkistaa oman Facebook-tilinsä tilan.

Mitä voit tehdä, jos tilisi kaapataan?

Ainoastaan Facebook voi palauttaa menetetyn Facebook-tilin. Internetissä liikkuu myös rikollisia, jotka vaanivat jo kertaalleen tilimurron uhriksi joutuneita. Vaikka he väittävät auttavansa menetetyn tilin palauttamisessa, todellisuudessa heidän tavoitteenaan on rahallinen hyötyminen huijauksen uhriksi joutuneen kustannuksella. Ole siis varovainen, jos haet ongelmaasi apua muualta internetistä. Ainoa rehellinen keino sosiaalisen median tilien palauttamiseen on kyseisen palvelun viralliset kanavat.

1. Tarkista (Ulkoinen linkki), onko tilisi kaapattu. Voit myös kokeilla palauttaa salasanasi Facebookin kirjautumissivulla (Ulkoinen linkki) olevan "onko salasana kateissa"-linkin kautta. 

Facebookin sivuilta (Ulkoinen linkki) löydät ohjeita joiden avulla voit tarkistaa onko Facebook-tilisi kaapattu. Sivujen avulla voit vaihtaa salasanasi ja saat näkyviin viimeisimmät tapahtumat Facebook-tilissäsi.

2. Kirjaa kaappaaja ulos Facebook tililtäsi. 

Jos sinulla on esimerkiksi puhelimessasi vielä pääsy Facebook-tiliisi, tarkista, että tilillä sähköpostiosoitteesi ja puhelinnumerosi ovat sinun. Facebookin sivuilta (Ulkoinen linkki) löytyy ohje tilin uloskirjaamiseen.

4. Varoita Facebook-kavereitasi. 

Varoita ystäviäsi tapahtuneesta ja kerro, etteivät tililtäsi tulevat viestit ole todellisuudessa sinulta. Mikäli kaappaaja on jo ehtinyt tehdä postauksia, tai lähettänyt Messenger-pikaviestimestä viestejä ystävillesi - varoita heitä, etteivät he avaa linkkejä tai asenna haitallisia sovelluksia.

5. Ilmoita Facebookille kaappauksesta.

Ilmoita Facebookille, että tilisi on kaapattu. Ilmoituksen voi tehdä Facebookin sivuilla (Ulkoinen linkki) kirjautumatta.

6. Tarkista onko Facebook tilillesi asennettu haitallisia sovelluksia.

Tarkista onko Facebook-tilillesi tehty roskapostijulkaisuja tai asennettu jotain ohjelmia. Tarkistuksen voi tehdä Facebookin sivuilta (Ulkoinen linkki)löytyvien ohjeiden mukaan.

7. Tarkista tilisi turvallisuus asetukset.

Ota käyttöön turvallisuusasetuksista kirjautumisilmoitukset. Siten saat ilmoituksen Facebookilta, kun uusi tunnistamaton kirjautuminen tapahtuu tililläsi. Ota käyttöön kaksivaiheinen tunnistautuminen. Ohjeet siihen löytyvät Facebookin sivuilta. (Ulkoinen linkki)

Mitä kaapatulla tilillä tapahtuu? 

Facebook-tilin kaappauksella rikolliset saavat haltuunsa henkilötietoja, tunnuksia ja salasanoja. He käyttävät kaapattua Facebook-tiliä edelleen uusien Facebook-tilien kaappaukseen. Haltuun saadun tilin kavereille lähetetään Messenger-pikaviestimestä huijausviesti jossa kysytään puhelinnumeroa. Facebook-tilisi tietoja käytetään myös muihin palveluihin kirjautumiseen, joten kaappaajalla voi olla pääsy useampaan palveluun tunnuksellasi. Tämän vuoksi eri palveluissa tulisi käyttää aina eri salasanaa.

Uudet ylätason verkkotunnuspäätteet herättävät huolta

.zip tulee, oletko valmis? 

Aiemmin tässä kuussa muun muassa Google on aloittanut uusien ylätason verkkotunnuspäätteiden (top level domain) jakamisen jotka käyttävät uusia verkkotunnuspäätteitä. Näitä uusia päätteitä ovat .dad, .phd, .prof, .esq, .foo, .zip, .mov ja .nexus. Näistä päätteistä kaksi on herättänyt erityistä huomiota tietoturva-asiantuntijoiden keskuudessa, .zip ja .mov. Tämä johtuu siitä, että nämä uudet verkkotunnuspäätteet ovat myös tunnettuja tiedostopäätteitä, zip-tiedostopääte viittaa yleensä pakattuun tiedostoon ja mov-pääte taas usein viittaa videotiedostoon. Rikolliset voivat hyödyntää näitä luomalla sekaannusta aiheuttavia verkkotunnuksia, esimerkiksi luomalla kalastelusivun, jolla erehdytetään käyttäjää joka luulee lataavansa jonkin ihan muun tiedoston.

Kyberturvallisuuskeskukselle ei ole tullut ilmoituksia uusista verkkotunnuspäätteitä hyödyntävistä kalastelu- tai huijausviesteistä. Tietoturvatutkijat ovat kuitenkin jo löytäneet muutamia uusia verkkotunnuspäätteitä hyödyntäviä sivustoja, joilla yritetään kalastella sähköpostitunnuksien salasanoja. Tietoturvatutkijat ovat myös esitelleet muita mahdollisia tapoja, joilla uusia päätteitä voi käyttää erehdyttämään käyttäjää lataamaan haitallisia tiedostoja.

Tavallisen internetin käyttäjän ei kannata asiasta kuitenkaan huolestua. On kuitenkin hyvä tiedostaa, että vaikka linkki päättykin esimerkiksi .zip tai .mov päätteeseen, ei tämä tarkoita välttämättä linkin takana olevan tiedosto vaan takana voi myös olla verkkosivu. Eri sovellukset voivat myös ymmärtää viesteissä olevat viittaukset tiedostoihin "(tiedosto.zip)" linkeiksi verkkosivuihin. Mikäli vastaanotat epäilyttävän viestin jossa on linkki, kannattaa varmistua mihin verkko-osoitteeseen linkki oikeasti osoittaa. Kyberturvallisuuskeskus on julkaissut artikkelin epäilyttävien verkkosivujen tunnistamiseen osoitteen perusteella (Ulkoinen linkki). Voit myös ilmoittaa epäilyttävistä viesteistä kyberturvallisuuskeskukselle.

Kyberturvallisuuskeskuksen asiantuntijoiden esityksiä Disobeysta

Helmikuussa Kaapelitehtaalla järjestettiin vuosittainen tietoturvatapahtuma Disobey. Tapahtumassa tuodaan yhteen alan ammattilaisia ja hakkerinmielisiä erilaisten asiantuntijaesitysten ja työpajojen ääreen. Useiden laadukkaiden esitysten mukana oli myös Kyberturvallisuuskeskuksen asiantuntijoita jakamissa tietämystään. Disobeyssa pidettyjen esitysten nauhoituksia on nyt julkaistu Youtubessa.

Kyberturvallisuuskeskuksen johtava asiantuntija Jussi Eronen piti esityksen haavoittuvuuskoordinaatiosta Suomessa. Tapausesimerkkien avulla Jussi esitteli vakaviin haavoittuvuustapauksiin reagointia ja niistä palautumista.

Kyberturvallisuuskeskuksen viestintäasiantuntija Lotta Sandroos piti esityksen pohjautuen Pro gradu -tutkielmaansa, jossa hän tutki yksityishenkilöille suunnattua tietoturvaviestintää. Tutkimuksessaan Lotta tarkasteli Kyberturvallisuuskeskuksen viestintämateriaaleja ja niiden viestinnällisiä kehyksiä.

Haavoittuvuudet

CVE: CVE-2023-33009, CVE-2023-33010 
CVSS: 9.8
Mikä: Kriittisiä haavoittuvuuksia Zyxelin palomuurituotteissa - Hyväksikäytöstä viitteitä
Tuote: Useat Zyxelin palomuurituotteet 
Korjaus: Korjaava ohjelmistopäivitys. Lisätietoja Haavoittuvuustiedotteessamme (Ulkoinen linkki) sekä Zyxelin ilmoituksessa (Ulkoinen linkki)

CVE: CVE-2023-2825 
CVSS: 10.0
Mikä: Kriittinen haavoittuvuus GitLabin tuotteissa
Tuote: GitLab Community Edition ja Enterprise Edition 16.0.0
Korjaus: Korjaava ohjelmistopäivitys, päivitä GitLab versioon 16.0.1. Lisätietoja Haavoittuvuustiedotteessamme (Ulkoinen linkki) sekä GitLabin ilmoituksesta (Ulkoinen linkki)