Kyberturvallisuuskeskuksen viikkokatsaus - 26/2025

Tietoturva Nyt!

Julkaistu 27.06.2025 9:30

Microsoft siirtyy Entra ID -todentamismenetelmien käyttöön syksyllä 2025. Valmistautuminen kannattaa aloittaa hyvissä ajoin. Kerromme myös BadBox2.0-haittaohjelmasta, joka voi päätyä uuteen laitteeseen jo valmistusvaiheessa.

Tällä viikolla katsauksessa käsiteltäviä asioita

Haittaohjelma voi lymyillä laitteessa jo ostovaiheessa – harkitse tarkkaan millaisia laitteita kotiin hankitaan
Microsoftin vanhoista MFA- ja SSPR-käytännöistä tulee siirtyä uusiin Entra ID -todentamismenetelmiin 30.9.2025 mennessä
Ole valppaana tekoälyn käytön kanssa
Ajankohtaiset huijaukset
Haavoittuvuudet

Haittaohjelma voi lymyillä laitteessa jo ostovaiheessa – harkitse tarkkaan millaisia laitteita kotiin hankitaan

Suomen kuluttajamarkkinoilla on havaittu valmiiksi haittaohjelmalla saastuneita Android-älylaitteita. Ongelma koskee erityisesti Android-pohjaisia televisioita, TV-bokseja ja muita päätelaitteita, joita suomalaiset kuluttajat käyttävät kotiverkoissaan. Haittaohjelman asentamista varten laitteisiin on upotettu takaovi jo tuotantoketjussa, eikä sitä voi poistaa. Jos laitteen valmistaja ei tarjoa virallista korjausta, laite on poistettava verkosta.

Yksi keskeinen haittaohjelma näissä tapauksissa on ollut BadBox 2.0. Kyseessä on haittaohjelma, jota on havaittu erityisesti edullisissa ja tuntemattomampien valmistajien Android-laitteissa.

Laitteet näyttävät usein toimivan normaalisti, mutta ovat tosiasiassa osa rikolliseen toimintaan käytettävää infrastruktuuria. Haittaohjelmalla laite voidaan liittää osaksi bottiverkkoa. Bottiverkkoon liitettyjä laitteita voidaan käyttää rikolliseen toimintaan, esimerkiksi palvelunestohyökkäyksiin.

Toimi näin, jos epäilet laitteesi olevan saastunut:

Poista laite välittömästi verkosta.
Tarkista laitekohtaiset valmistajan ohjelmistopäivitykset.
Mikäli valmistajalta ei ole saatavilla korjausta tai muuta virallista ohjeistusta, laite on toimitettava sähkö- ja elektroniikkaromun keräyspisteeseen, koska haittaohjelmaa ei tässä tapauksessa pysty poistamaan.

Saastuneen laitteen tunnistaminen voi olla haastavaa, mutta seuraavat merkit voivat auttaa:

Teleoperaattori kertoo, että internet-liittymästä on havaittu haittaohjelman aiheuttamaa liikennettä.
Laitteella ei ole tunnettua ja luotettavaa valmistajaa.
Laite uudelleenohjaa väärille sivuille tai näyttää mainoksia epäilyttävästi.

Kyberturvallisuuskeskus kehottaa kuluttajia harkitsemaan tarkoin, millaisia laitteita kotiin hankitaan. Erityisesti nimettömät, halvat tai heikosti tuetut tuotteet sisältävät piileviä riskejä, jotka ovat vaikeita itse havaita. Verkkolaitteissa turvallisuus, ohjelmistotuki ja päivitysmahdollisuudet ovat ratkaisevia ominaisuuksia.

Lue lisää: Haittaohjelma voi lymyillä laitteessa jo ostovaiheessa – laitteet on poistettava käytöstä, jos valmistaja ei tarjoa korjausta

Microsoftin vanhoista MFA- ja SSPR-käytännöistä tulee siirtyä uusiin Entra ID -todentamismenetelmiin 30.9.2025 mennessä

Microsoft on ilmoittanut siirtyvänsä Entra ID:ssä uusiin todentamismenetelmiin 30.9.2025, jolloin vanhat MFA (Multi-Factor Authentication) ja SSPR (Self-Service Password Reset) -politiikat poistuvat käytöstä. Tämä koskee kaikkia organisaatioita, mukaan lukien globaalien ylläpitäjien tunnukset. Varmistathan, että organisaationne Microsoft 365 -tilauksessa uusien todentamismenetelmien käyttöönotto on jo tehty tai se on suunnitteilla.

Mitä tapahtuu, jos siirtoa ei tee ajoissa?

Vanhojen MFA- ja SSPR-käytäntöjen poistuessa käytöstä 30.9.2025 käyttäjät voivat menettää mahdollisuuden kirjautua tai palauttaa salasanojaan, mikäli uusia todennusmenetelmiä ei ole otettu käyttöön. Tämä koskee myös pääkäyttäjiä. Global Admin -tilit voivat menettää pääsyn Microsoft 365 -ympäristöön, jos todennusmenetelmiä ei ole määritelty uusissa Authentication Methods Policy -asetuksissa.

Suositukset

Tee siirto uuteen Authentication Methods Policy -käytäntöön hyvissä ajoin ennen 30.9.2025.
Käytä siirrossa apuna Migration Wizardia, joka mahdollistaa vaiheittaisen ja turvallisen siirtymän.
Vanhat asetukset ovat voimassa siirron ajan, mutta poistuvat lopullisesti määräajan jälkeen.

Yhteenveto

Deadline: 30.9.2025
Toimi ennen sitä, jotta vältät kirjautumis- ja hallintaongelmat.
Myös ylläpitäjien tilit on huomioitava siirrossa.
Suositellaan hallittua siirtymää hyvissä ajoin käyttämällä Microsoftin tarjoamaa työkalua.

Lue lisää:

How to migrate MFA and SSPR policy settings to the Authentication methods policy for Microsoft Entra ID (Ulkoinen linkki)

Migrating from Legacy MFA and SSPR Policy Settings to New Authentication Methods in Entra ID (Ulkoinen linkki)

julistemainen piirroskuvitus uutuuttaan kiiltävistä lukoista ja avaimista muistuttaa: "ota käyttöön Microsoftin uudet todentamismenetelmät 30.9.2025 mennessä.

Ole valppaana tekoälyn käytön kanssa

Erilaiset tekoälysovellukset kasvattavat jatkuvasti suosiotaan. Uutena teknologiana tekoäly tarjoaa hienoja mahdollisuuksia, mutta sen kanssa on myös syytä olla varovainen, koska kaikkia riskejä ei vielä tunneta kattavasti.

Ilmaisten tekoälypalveluiden suosio on kiinnittänyt rikollisten huomion, ja trendiä on hyödynnetty maailmalla haittaohjelmien levittämiseen. Tietoturvayhtiö Mandiantin artikkelin (Ulkoinen linkki) mukaan kyberrikolliset ovat ylläpitäneet haitallisia, tekoälyteemaisia verkkosivuja, joiden kautta pyritään levittämään haittaohjelmia. Haitallisilla verkkosivuilla käyttäjille on tarjottu näennäisesti toimivia tekoälypalveluita, joiden mainostetaan tuottavan videoita tai kuvia. Käyttäjän näkökulmasta palvelut vaikuttavat toimivan normaalisti, mutta lopputuloksena ne antavatkin ladattavaksi haittaohjelman sisältävän tiedoston. Ilmiö on kytkeytynyt etenkin videota tuottavien tekoälyjen suureen kysyntään. Haitallisia verkkosivuja ja palveluita on mainostettu sosiaalisen median sekä hakukoneiden manipuloinnin avulla.

Ole valppaana tekoälyn kanssa

Tekoälyllä generoitu "kuvakaappaus" valeverkkosivusta, joka on naamioitu videogeneraattoripalveluksi. Pop Up -ikkuna väittää, että käyttäjän video on valmis ja kehottaa lataamaan tiedoston. Näin sivusto houkuttelee käyttäjää lataamaan haittaohjelman.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
Ohjeet tietovuodon uhrille (Ulkoinen linkki)

Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta

Haavoittuvuudet

Viikon aikana julkaistiin kaksi haavoittuvuustiedotetta kriittisistä haavoittuvuuksista laajasti käytetyissä tuotteissa, nämäkin haavoittuvuudet on järkevää korjata viipymättä asentamalla tarjolla olevat päivitykset.

Kriittinen ja hyväksikäytetty haavoittuvuus NetScaler ADC- ja NetScaler Gateway -tuotteissa

Kriittisiä haavoittuvuuksia Cisco Identity Services Engine- ja Cisco ISE Passive Identity Connector -tuotteissa

Yleistietoa haavoittuvuuksista ja käytetyistä termeistä löydät Tietoturva Nyt! -artikkelistamme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 19.06.-26.06.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.