Kyberturvallisuuskeskuksen viikkokatsaus - 27/2025

Tietoja varastavien haittaohjelmien riskit

Kyberturvallisuuskeskus käsittelee paljon ilmoituksia, jotka liittyvät tietoja varastaviin haittaohjelmiin (“infostealer”). Erilaiset haittaohjelmat ovat lisääntyneet ja monipuolistuneet viime vuosien aikana. Haittaohjelmien levityksen tavoitteena on kerätä tietoa kohteista ja mahdollistaa uusia hyökkäyksiä. Vaikutuksilta voi suojautua pitämällä huolta omien laitteiden turvallisuudesta ja rajoittamalla pääsyä arkaluonteisiin tietoihin.

Mitä ovat tietoja varastavat haittaohjelmat?

Tietoja varastavat haittaohjelmat vievät käyttäjien laitteista arkaluontoista tietoa. Näitä ovat esimerkiksi laitteelle tallennetut kirjautumistiedot, maksukorttitiedot, selainistunnot, selaimen automaattisen täytön tiedot ja kryptolompakot. Haittaohjelmat jäävät usein huomaamatta, mutta kerättyä tietoa hyödynnetään järjestelmällisesti. Tietoja myydään rikollisverkostoille tai käytetään suoraan yritysten järjestelmiin tunkeutumiseen.

Riski nousee tilanteissa, joissa yrityksen työntekijä käyttää itse ostamaansa laitetta työskentelyyn. Oma laite voi olla heikosti suojattu eikä sitä valvota yrityksen määrittelemillä turvallisuusominaisuuksilla. Henkilökohtaiselta laitteelta voidaan näin viedä tietoja varastavan haittaohjelman aktivoituessa niin työntekijän henkilökohtaisia kuin yrityksenkin tietoja.

Miten tietojen varastaminen vaikuttaa organisaatioihin?

Onnistuneen haittaohjelman levityksen seurauksena voi olla uusia tietomurtoja tai taloudellisia vahinkoja. Kun haittaohjelmien kautta saadaan pääsy yrityksen tietoihin, se mahdollistaa:

• Tietojen vaarantumisen: Varastetut kirjautumistiedot, taloudelliset tiedot ja henkilökohtaiset tiedot voivat johtaa luvattomiin tilisiirtoihin, tietomurtoihin ja maineen vahingoittumiseen.
• Taloudelliset vahingot: Tietoja varastavat haittaohjelmat voivat avata väylän kiristysohjelmahyökkäyksille, jotka voivat lamauttaa liiketoiminnan ja johtaa merkittäviin taloudellisiin menetyksiin.
• Hyökkäysten kohdentamisen: Varastettuja tietoja voidaan hyödyntää kohdennetuissa hyökkäyksissä, joissa yrityksiä lähestytään aidoilla tiedoilla esimerkiksi asiakaspalvelun tai IT-tuen kautta.

Kuinka suojaudut tietoja varastavilta haittaohjelmilta?

Organisaatiolle:

• Vahva tunnistautuminen: Käytä monivaiheista tunnistautumista monipuolisesti (esim. passkeys, fyysinen avain).
• Erota käyttöympäristöt: Salli työjärjestelmiin pääsy vain valvotuilta tai hallinnoiduilta laitteilta.
• Päivitä ja suojaa järjestelmät: Pidä käyttöjärjestelmät, ohjelmistot ja laiteohjelmistot ajan tasalla.
• Verkkosegmentointi ja valvonta: Segmentoi verkko ja seuraa poikkeavaa liikennettä lokituksen ja valvonnan avulla.
• Koulutus ja ohjeistus: Kouluta työntekijät tunnistamaan uhat ja käyttämään turvallisia käytäntöjä.

Yksittäiselle työntekijälle:

• Älä tallenna salasanoja selaimeen: Älä käytä automaattista täyttöä tai tallenna työtunnuksia henkilökohtaiseen laitteeseen.
• Vältä epäluotettavia lähteitä: Älä lataa ohjelmistoja tai laajennuksia tuntemattomista lähteistä. Noudata organisaatiosi ohjeistuksia.
• Pidä laitteesi ajan tasalla: Päivitä käyttöjärjestelmät ja ohjelmistot aina kun päivityksiä on tarjolla.
• Ole valpas sähköposteissa ja linkeissä: Tunnista tietojenkalasteluyritykset, älä klikkaa epäilyttäviä liitteitä tai linkkejä. Ilmoita epäilyttävistä havainnoista ylläpidolle.
• Käytä vain sallittuja laitteita työhön: Älä käytä henkilökohtaisia laitteita työjärjestelmien käyttöön ilman erillistä lupaa ja suojausta.

Lomakausi käynnissä - muista tietoturva myös kesällä!

Kesä tuo tullessaan rentoutumista, lomamatkoja ja mökkielämää, mutta myös tietoturvauhkia silloin, kun organisaatioiden normaali arki hidastuu ja henkilöstö vaihtuu sijaisiin. Yrityksen rahaliikenteeseen kohdistuvat huijaukset lisääntyvät kesän lomakauden aikana. Tietoturva ja -suoja on tärkeä huomioida myös työskennellessä esimerkiksi mökiltä käsin. Organisaatioiden tulee huolehtia tietoturvapäivityksistä ja tietoturvallisen työskentelyn edellytyksistä myös lomakauden aikana.

Esimerkiksi toimitusjohtajahuijaukset voivat yleistyä lomakaudella. Toimitusjohtajahuijauksissa rikolliset esiintyvät organisaation johdon nimissä ja pyytävät kiireellisiä taloudellisia toimia, kuten laskujen maksamista. Näitä toimia vaativia yhteydenottoja voi tulla puhelimitse, sähköpostilla tai viesteillä. Uhrin näkökulmasta viestit voivat vaikuttaa saapuvan tutulta henkilöltä ja näyttää aidoilta. Usein viesteissä vedotaan esimerkiksi kiireeseen ja siihen, että asia tulee hoitaa pikaisesti. Huijareiden tavoitteena on saada uhri ohittamaan normaalit tarkistusprosessit. Myös palkkojen ja HR-asioiden hoitajat ovat rikollisille kiinnostavia. Huijari voi esimerkiksi tekeytyä työntekijäksi ja pyytää vaihtamaan tilinumeron palkanmaksua varten. Huijarit tietävät, että lomakaudella organisaation johto voi olla lomalla, eikä tästä syystä ole tavoitettavissa. Sisäiset prosessit voivat olla kevyemmät ja epäselvät kesäsijaisille, jotka eivät välttämättä tunne normaaleja käytäntöjä eivätkä osaa epäillä poikkeavaa pyyntöä.

Paras suoja huijauksia vastaan on tarkkuus: Jos et ole varma pyynnön aitoudesta, voit tarkastaa asian soittamalla viestin lähettäjälle. Muista samalla noudattaa organisaation sisäisiä ohjeita, varmistuskäytäntöjä ja prosesseja. Työnantajien on hyvä muistuttaa kaikkia työntekijöitä säännöllisesti ohjeistuksien ja prosesssien noudattamisesta. Lisäksi kesätyöntekijät ja sijaiset on hyvä perehdyttää tietoturvalliseen työskentelyyn sekä antaa heille vain tarvittavat käyttöoikeudet.

Loma-aikana etätyön tekeminen esimerkiksi vapaa-ajan asunnolta saattaa lisääntyä. Huolehdi tässä tapauksessa myös siellä käyttämiesi laitteiden tietoturvasta asentamalla niihin viimeisimmät päivitykset. Huolehdi myös siitä, että noudatat työnantajan antamia ohjeita tietoturvallisesta etätyöstä. On syytä varmistua, että tilat soveltuvat etätyön tekemiseen myös tietosuojan näkökulmasta. Kyberturvallisuuskeskus on tuottanut ohjeita turvalliseen etätyöhön niin työntekijöille kuin organisaatioillekin.

Muista ainakin nämä asiat:

• Suosi pitkiä salasanoja ja käytä monivaiheista tunnistautumista
• Varo huijausviestejä - harkitse ennen kuin klikkaat linkkiä tai avaat liitetiedostoja
• Pidä laitteet ja sovellukset päivitettynä
• Varmuuskopioi tärkeät tiedostot
• Noudata etätyöohjeita ja käytä työnantajan tarjoamia laitteita työtehtävien hoitamisessa
• Käytä vain verkkoja, joiden tietoturvaan voit luottaa. Vieraan verkon sijaan voit käyttää esimerkiksi puhelimesi verkkoyhteyttä
• Puhu työasioista vain paikoissa, joissa sivulliset eivät kuule keskustelua tai näe tietokoneesi ruutua silloin kun siinä näkyy luottamuksellisia tietoja

Organisaatioiden on lisäksi hyvä muistaa seuraavat asiat:

• Ylläpidä valmius kriittisten tietoturvapäivitysten asentamiseen myös lomakaudella
• Perehdytä uudet työntekijät ja muistuta ohjeistuksien noudattamisesta
• Varmista, että prosessit ja hyväksyntämenettelyt ovat sijaisten tiedossa
• Varmuuskopioi kriittiset tiedot

Paranna Microsoft 365 -ympäristösi tietoturvaa Admin Consent Workflow’lla ja Unified Audit Logilla

Organisaation tietoturvan parantaminen Microsoft Entra ID:ssä ja Microsoft 365:ssä edellyttää hallittuja prosesseja sovellusten pääsyoikeuksiin ja käyttäjien toiminnan valvontaan. Kaksi keskeistä työkalua tähän ovat Admin Consent Workflow ja Unified Audit Log.

Admin Consent Workflow’n merkitys

Admin Consent Workflow tuo keskitetyn hallinnan siihen, milloin käyttäjät voivat antaa sovelluksille käyttöoikeuksia. Kun käyttäjä yrittää käyttää järjestelmänvalvojan hyväksynnän vaativaa sovellusta, hän voi lähettää automaattisen pyyntölomakkeen valvojille. Nimetyt valvojat saavat sähköpostitse ilmoituksen ja voivat hyväksyä tai hylätä pyynnön.

Ominaisuuden käyttö vähentää riskiä, että käyttäjä myöntää huomaamattaan sovellukselle liian laajoja oikeuksia, esimerkiksi sallien kolmannen osapuolen sovelluksen lukea sähköpostit. Esimerkiksi M365-tilimurroissa hyödynnetyt sähköpostisovellukset pyytävät laajoja käyttöoikeuksia murrettuun sähköpostilaatikkoon. Admin Consent Workflow’n avulla voit rajoittaa sovelluksille myönnettäviä käyttöoikeuksien myöntämäistä vain tarkastajien tai pääkäyttäjien hyväksyttäviksi.

Ominaisuus tukee vähimmän oikeuden periaatetta, sillä Admin Consent Workflow’ssa valvojat voivat hyväksyä käyttäjien käyttöoikeuspyyntöjä ilman Globa Administrator -roolia. Lisäksi kaikki päätökset tallentuvat järjestelmään, mikä helpottaa auditointia ja raportointia.

Onhan teillä Unified Audit Login käytössä jo?

Unified Audit Log (UAL) on Microsoft 365:n tietoturvan kulmakivi. Se tallentaa käyttäjien ja järjestelmänvalvojien toimet M365 ympäristössä, eli esimerkiksi Outlookissa, SharePointissa ja Teamsissa. Lokitiedot ovat perusedellytys oman ympäristön valvontaan ja auttavat selvittämään tietomurtoja, seuraamaan tiedostojen käyttöä ja täyttämään esimerkiksi GDPR:n velvoitteet.

Erityisesti ympäristöissä, jotka on luotu ennen vuoden 2019 alkua, UAL-lokitus ei ole oletuksena päällä. On tärkeää tarkistaa tilanne Microsoft Purview -portaalista ja ottaa lokitus käyttöön, sillä lokit alkavat kerääntyä vasta aktivoinnin jälkeen.

Näiden toimintojen avulla organisaatiosi saa paremman näkyvyyden sovellusten käyttöoikeuksiin ja käyttäjätoimintaan. Tämä vahvistaa tietoturvaa, vähentää riskejä ja helpottaa vaatimustenmukaisuuden osoittamista.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.