Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kyberturvallisuuskeskuksen viikkokatsaus - 3/2023

Tietoturva Nyt!

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 13.1. - 19.1.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  • Microsoftin M365-tunnusten kalasteluaalto
  • Monivaiheinen tunnistautuminen pelastaa tietojenkalastelulta
  • "Hei äiti"-huijaukset yleistyvät

Microsoftin M365-tunnusten kalasteluaalto

Useiden suomalaisten organisaatioiden Microsoft 365 -käyttäjätileille on taas murtauduttu. Murrettuja tilejä käytetään laskutuspetoksiin ja tuhansien uusien tunnuskalasteluviestien lähettämiseen. Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita käyttämään kaksivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä.

Sähköpostitse lähetettyjä kalasteluviestejä on väärennetty näyttämään turvaposti-ilmoituksilta, joihin on lisätty esimerkiksi Kansaneläkelaitoksen, lääkäriaseman, hyvinvointialueen tai vakuutusyhtiön logo. Tärkeäksi turvapostiksi naamioitu huijausviesti houkuttelee vastaanottajaa syöttämään sähköpostitunnuksen ja salasanan huijarin hallitsemalle kalastelusivulle. Kalastelun uhri luulee syöttävänsä tunnuksia Microsoft 365 -kirjautumissivulle, mutta tunnukset päätyvätkin rikollisen haltuun.

Yritysten ja muiden organisaatioiden kaapatut sähköpostitilit ovat rikollisille rahanarvoisia hyödykkeitä. Rikollinen asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata. Laskutuspetoksiin rikolliset käyttävät sellaisia sähköpostitilejä, joissa käsitellään mm. laskuja tai rahaliikennettä. Hallintaan saatuja kiinnostavien organisaatioiden tilejä ostetaan ja myydään rikollisten foorumeilla ja loput tilit käytetään uusien kalasteluviestien levittämiseen osoitekirjasta löytyville henkilöille. Tutusta osoitteesta tuleva huijausviesti luetaan varmemmin kuin sattumanvarainen roskaposti.

Monivaiheinen tunnistautuminen pelastaa tietojenkalastelulta

Aggressiivisesta tietojenkalastelusta on seurannut tietomurtoja monien organisaatioiden Microsoft 365 -sähköpostitileihin. Kalastelun avulla rikollinen saa haltuunsa tunnukset, joilla se yrittää päästä tilille. Monivaiheinen tunnistautuminen (MFA) kuitenkin estää tehokkaasti tilimurron. Tälläkin viikolla olemme saaneet useita ilmoituksia, joissa monivaiheinen tunnistautuminen olisi suojannut sähköpostitilin murrolta ja kaappaamiselta.

Sähköpostiviestissä oleva linkki vie rikollisten tekemälle kirjautumissivulle. Sivu voi olla lähes saman näköinen kuin oikean verkkopalvelun kirjautumissivu. Erona voi olla vain URL-osoite. Siihen kirjoitetut käyttäjätunnukset ja salasanat välitetään rikollisille, jotka tarkistavat tunnukset pian, usein jo muutaman minuutin sisällä.

Sähköpostin kalasteluviesti voi tulla tutulta yhteistyökumppanilta. Kalasteluviesti on voitu naamioida turvapostin näköiseksi. Viestin aihe voi liittyä ajankohtaiseen aiheeseen tai otsikkona on lasku tai perintä, jolloin vastaanottaja haluaa selvittää mistä on kyse.

Rikolliset käyttävät kaapattuja sähköpostitunnuksia uusien tunnusten kalasteluun tai odottavat tilaisuutta muuttaa laskun tilitietoja tai pyytää siirtämään rahaa rikollisten antamalle tilille sinun nimissäsi. Murtojen yhteydessä pyritään myös etsimään murretusta sähköpostista mahdollisimman paljon arkaluonteisia tietoja, joita voidaan myöhemmin käyttää jatkorikoksiin tai jopa mahdollistamaan tuleva kiristyshaittaohjelmahyökkäys.

Tietomurto aiheuttaa teknisten korjaustöiden lisäksi mainehaittaa, arkaluonteisten tietojen vuotoa, asiakkaiden luottamuksen menetystä ja jopa konkurssiin johtavia taloudellisia tappioita.

Ota monivaiheinen tunnistautuminen käyttöön nyt

Yritysten tulee viipymättä ottaa monivaiheinen tunnistautuminen käyttöön vähintään kaikissa ulkoisten yhteyksien kautta käytettävissä palveluissa kuten pilvipohjaisissasähköpostipalveluissa.

Monivaiheisella tunnistautumisella tarkoitetaan palveluun kirjautuvan käyttäjän todentamista useammalla eri tunnistautumismenetelmällä. Käytännössä tämä tarkoittaa sitä, että käyttäjätunnuksen ja salasanan syöttämisen jälkeen kirjautuminen varmistetaan vielä palveluun liitetyllä älypuhelimella toimivalla sovelluksella, jossa periaate on samankaltainen kuin pankkipalveluihin kirjautumisessa.

Monivaiheisen tunnistautumisen käyttöönotto on tehtävä ensin teknisten henkilöiden toimesta, ennen kuin se voidaan ottaa käyttöön peruskäyttäjillä. Ylläpito voi myös ohjatusti pakottaa kaikki käyttäjät siirtymään monivaiheiseen tunnistautumiseen. Vähintään yrityksen kriittisille toimijoille tulee ottaa käyttöön mahdollisimman tehokas monivaiheinen tunnistautuminen. Kevein ratkaisu on SMS-pohjainen, tämän jälkeen tulevat erilaiset autentikaattori-sovellukset ja lopuksi ns. FIDO-standardin mukainen WebAuthn.

"Hei äiti"-huijaukset yleistyvät

Ympäri maailmaa kiertänyttä "Hei äiti" -huijausta on havaittu jälleen suomenkielisenä versiona.

Rikolliset pyrkivät jatkuvasti löytämään uusia keinoja voittaa uhriensa luottamus puolelleen ja tällä hetkellä WhatsApp-sovelluksessa liikkuva "Hei äiti" -huijaus ei ole poikkeus tästä. Näissä huijausviesteissä huijari pyrkii esiintymään vastaanottajan lapsena ja selittämään esimerkiksi puhelimen hajoamisella syyn sille, miksi ottaa yhteyttä vieraasta numerosta. Keskustelun edetessä perheenjäsenenä esiintyvä rikollinen pyytää vastaanottajaa siirtämään rahaa pankkitilille. Syynä rahan siirtämiselle voi esimerkiksi olla uuden puhelimen hankkiminen. Kyseessä on kuitenkin huijaus ja rahat menevätkin rikollisen käyttämälle pankkitilille.

Huijausviestejä voi saapua sekä Suomen että muiden maiden suuntanumeroista. Mikäli saat viestin perheenjäseneltäsi, jossa hän väittää ottavansa yhteyttä uudesta numerostaan, kannattaa varmistaa asia vielä vanhasta numerosta. Voit myös yrittää kysellä kysymyksiä antamatta henkilökohtaisia tietojasi. Mikäli et saa suoria vastauksia tai viestit ovat huonolla suomenkielellä kirjoitettuja tai epäloogisia voit olla varma, että et juttele perheenjäsenesi kanssa. Älä avaa viesteissä olevia linkkejä tai anna henkilökohtaisia tietojasi, ennen kuin olet varma, että kyseessä on tuntemasi henkilö.

Myös yrityksen tasolle jääneistä huijauksista kannattaa ilmoittaa poliisille. Mikäli tilisiirto on ehtinyt tapahtua, ole kiireellisesti yhteydessä omaan pankkiisi ja sen jälkeen poliisiin.

Seuraa meitä somessa

Oletko jo löytänyt meidät eri somekanavista? Jaamme tietoa mm. liikkeellä olevista huijauksista, kyberturvallisuuden ajankohtaisista puheenaiheista ja avoimista työpaikoistamme.

Tiesitkö, että Traficomissa tehdään monipuolisesti töitä liikenteen ja viestinnän parissa? Näissä somekanavissa liikutaan maalla, merellä, ilmassa ja tietoverkoissa.

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.