Kyberturvallisuuskeskuksen viikkokatsaus - 32/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Tietojenkalastelusivuja .fi-domaineissa: miksi viranomainen ei tee mitään – vai tekeekö?
• Monivaiheinen tunnistautuminen suojaa tiliä, mutta ei korvaa käyttäjän valppautta 
• Takaisin kouluun! Turvallisesti myös digitaalisella koulutiellä
• Haavoittuvuudet tekivät heinäkuun Kybersäästä sateisen

Tietojenkalastelusivuja .fi-domaineissa: miksi viranomainen ei tee mitään – vai tekeekö?

Viime viikkoina on nähty suhteellisen uutena ilmiönä Suomen kansallisissa .fi-päätteisissä verkkotunnuksissa olevia kalastelusivuja, joilla on pyritty kalastelemaan OP Ryhmän verkkopankkitunnuksia. Sivuja on sisältönsä perusteella ollut käytännössä lähes mahdotonta erottaa oikeista kirjautumissivuista ja sivuille johtavia linkkejä on ollut paljon liikkeellä ainakin sähköpostin kautta.

Tähän mennessä liikkeellä olleet huijausosoitteet voi tunnistaa siitä, että ne päättyvät -op.fi, esimerkiksi "turvallisuusNNN-op.fi" tai "petospalveluNNN-op.fi", jossa NNN on jokin numerosarja. Viivalla on verkkotunnuksissa valtava merkitys, sillä oikea OP:n verkkopankin osoite on pelkästään "op.fi". Toisena esimerkkinä, kuvitteellinen osoite "turvallisuus-traficom.fi" on täysin eri asia kuin esimerkiksi "turvallisuus.traficom.fi".

Koska Liikenne- ja viestintävirasto Traficom vastaa myös .fi-verkkotunnuksista, meille Kyberturvallisuuskeskukseen on tullut useita yhteydenottoja kalasteluun käytettyjen .fi-verkkotunnusten sulkemisesta. Moni taho on pyytänyt tai ehdottanut verkkotunnusten rekisteröinnin estämistä tai sivujen välitöntä sulkemista.

Jos kerran Traficomilla on tekniset edellytykset viime kädessä hallita kaikkia .fi-verkkotunnuksia, miksi viranomainen ei heti alkuunsa sulje kaikkia haitallisessa käytössä olevia verkkotunnuksia tai ylipäätään estä niiden rekisteröintiä? Vastaus löytyy lainsäädännöstä. Lähtökohtaisesti Liikenne- ja viestintävirasto ei voi ottaa kantaa (Ulkoinen linkki) verkkosivujen sisältöön tai arvioida verkkosivujen sisällön lainmukaisuutta. Poikkeuksen muodostavat yleisesti uhkaavat .fi-verkkotunnuksia hyödyntävät merkittävät tietoturvaloukkaukset, jolloin tietyin ehdoin liikenne verkkotunnukseen voidaan estää.

Tämä ei siis tarkoita, etteikö Traficomissa ja sen Kyberturvallisuuskeskuksessa haitallisten verkkotunnusten rekisteröintejä seurattaisi ja näihin puututtaisi. Päinvastoin, Kyberturvallisuuskeskus seuraa tietoturvauhan muodostavia sivuja ja tällaisiin uhkiin reagoidaan mahdollisimman nopeasti, kun tietoturvaloukkauksia havaitaan.

Koska verkkotunnuksilla on kuitenkin suuri rooli nykypäivän tiedonvälityksessä ja jopa ihmisten perusoikeuksien kuten sananvapauden toteutumisessa, estoja ei tehdä kevyin perustein. Siksi myöskään verkkotunnusten rekisteröintiä ei voida ennalta estää. Estot tehdään tilapäisesti ja tapauskohtaisen harkinnan perusteella, jos muut keinot puuttua asiaan eivät tepsi. Kyberturvallisuuskeskuksen asiantuntijat tutkivat jokaisen estettävän sivuston ja varmistavat, että kyseessä todellakin on merkittävä tietoturvauhka. Merkittäväksi tapaukseksi lasketaan esimerkiksi yleisesti saatavilla oleva pankkitunnuksia kalasteleva sivu.

"Pankkitunnus on vahva sähköinen tunnistusmenetelmä ja se kaappaamalla voidaan aiheuttaa paljon niin rahallista kuin muuta inhimillistä vahinkoa ja kärsimystä. Uhrien pankkitileiltä on saatettu nostaa isojakin säästöjä ja vahvalla tunnistautumisella on voitu ottaa velkaa ja tehdä muita sitoumuksia", kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Olli Hönö. "Siksi kannattaa olla tosi tarkkana missä pankkitunnuksia kysytään ja mihin ne antaa."

Hälytyskellojen pitää soida, jos saat vaikkapa odottamattoman ilmoituksen verkkopankkiisi lisätystä uudesta laitteesta. Tällöin oikea tapa on ottaa välittömästi yhteyttä pankkisi sulkupalvelun puhelinnumeroon. Kannattaa myös muistaa, että huijarit saattavat lähettää pankin nimissä valheellisia ilmoituksia, joilla pyritään aiheuttamaan hätäännystä ja harkitsemattomia toimia.
 

Monivaiheinen tunnistautuminen suojaa tiliä, mutta ei korvaa käyttäjän valppautta 

Yksi yleisimmistä tietoturvaongelmista liittyy tunnistautumiseen. Kyberturvallisuuskeskus saa ilmoituksia päivittäin sekä organisaatioilta että kansalaisilta erilaisista tietojenkalasteluviesteistä. Tunnusten kalastelua voi tapahtua mitä tahansa väylää pitkin, mutta yleisimmin tietojenkalasteluviestit liikkuvat joko sähköpostitse tai tekstiviestillä.

Yksi tehokas tapa suojautua tunnuksien menettämiseltä on monivaiheisen tunnistautumisen käyttö (MFA). Sen käyttö ei kuitenkaan yksinään takaa tietomurrolta välttymistä, vaan käyttäjän on edelleen oltava myös itse valppaana.

Osa tietojenkalastelusivustoista on kehitetty niin, että ne kysyvät myös sisäänkirjautumiseen tarvittavaa kertakäyttöistä numerosarjaa (MFA-koodia). Siksi on tärkeää tarkistaa aina sivuston osoite ennen kirjautumistietojen antamista. Rikolliset voivat myös yrittää sosiaalisen manipuloinnin keinoin saada MFA-koodin haltuunsa tai saada sisäänkirjautumisen hyväksytyksi. Tätä on nähty esimerkki Facebook-tunnusten kalastelussa. Huijauksessa kysytään tekstiviestillä saapuvaa monivaiheiseen tunnistautumiseen käytettävää koodia, väittämällä sen liittyvän esimerkiksi arvontavoiton lunastamisen. Todellisuudessa rikollinen saa koodin avulla kaapattua kohteena olevan tilin haltuunsa.

Myös ns. väsytyshyökkäys (MFA fatigue attack) on rikollisten käyttämä keino monivaiheisen tunnistautumisen ohittamiseen. Hyökkäyksessä rikollinen on saanut käyttäjätunnuksen ja salasanan haltuunsa ja yrittää kirjautua näillä sisään useita kertoja. Sisäänkirjautumisen hyväksymispyyntöjä tulee lukuisia ja tavoitteena on saada tunnuksen oikea omistaja epähuomiossa hyväksymään sisäänkirjautuminen MFA-sovelluksellaan.

Osa yleisesti käytössä olevista palveluista ja sovelluksista ilmoittaa ulkomailta tai muuten poikkeuksellisesti tapahtuvista kirjautumisyrityksistä. Mikäli ilmoitettua kirjautumisyritystä ei tunnista, tallaisen viestin saadessaan olisi hyvä vaihtaa kyseessä olevan tilin salasana. Organisaatioiden kannattaa myös seurata käyttäjiensä kirjautumisia ja ryhtyä toimiin, mikäli poikkeuksellisia kirjautumisyrityksiä ulkomailta havaitaan.

Monivaiheisen tunnistautumisen käyttö on suositeltavaa aina kun se on vain mahdollista. Ole kuitenkin aina tarkkana mihin olet syöttämässä MFA-koodia tai mitä sisäänkirjautumista olet hyväksymässä.

Lisätietoa aiheesta julkaisuissamme: 

Takaisin kouluun! Turvallisesti myös digitaalisella koulutiellä

Kuluvalla viikolla peruskoulut ovat jälleen alkaneet Suomessa. Tänä vuonna peruskoulun 1–3 luokilla opiskelee noin 170 000 pientä koululaista, joista monet ovat juuri saaneet ensimmäisen puhelimensa. Syksy on hyvää aikaa opetella päätelaitteiden käyttöä yhdessä lapsen kanssa niin kotona kuin kouluissa.

Puhelin on nykyään muutakin kuin laite, jolla soitellaan ja viestitellään. Ihmisten digitaalinen identiteetti ja sen hallinta keskittyy nykyisin yhä voimakkaammin mobiilipäätelaitteiden ympärille. Koululaisille onkin hyvä opettaa heti alusta oikeita toimintatapoja niin laitteista huolenpitämisen (päivittämisen), omien tietojen luovuttamisen (tietosuoja) kuin myös hyvien salasanojen , salasanojen hallinnan ja monivaiheisen tunnistautumisen kautta (tietoturva).

Myös meidän aikuisten on hyvä virkistää muistiamme. Monet pienten koululaisten vanhemmat ovat itse olleet osa ensimmäistä sukupolvea, joka on saanut kosketuksen internettiin jo ala- tai yläkouluikäisenä. Ikävä kyllä internet ei ole niistä päivistä muuttunut ainakaan turvallisemmaksi toimintaympäristöksi lapsille. Vanhempien onkin hyvä olla kiinnostuneita ja seurata mitä lapsi tekee puhelimella, mitä ohjelmistoja hänellä on käytössään, sekä millaista digitaalista sisältöä lapsi kuluttaa tai mihin hän pääsee käsiksi omalla mobiilipäätelaitteellaan. On myös hyvä huomioida sovellusten ikärajat, sekä varsinkin lapsille tarkoitettujen sovellusten tietosuoja.

Kasvaminen nykyiseen digimaailmaan edellyttää toimivaa yhteistyötä lapsen ja aikuisten välillä. Puhelin on nykyään välttämättömyys, mutta sen käyttö voi herättää vanhemmissa huolta. Lapsella on oikeus yksityisyyden- ja viestintäsalaisuuteen suojaan, ja toisaalta vanhemmalla on velvollisuus huolehtia lapsen hyvinvoinnin toteutumisesta. Lain mukaan ei ole yksiselitteistä, missä tilanteissa huoltaja voi lukea esimerkiksi lapsensa puhelimessa olevia viestejä tai paikantaa puhelinta ilman lapsen lupaa. Parasta onkin ennakoida ja sopia alusta asti puhelimen käyttöön ja verkossa viestimiseen liittyvät pelisäännöt.

Kirjoitimme kesäkuussa viikon 22 viikkokatsauksessa miten ottaa laitteet teknisesti haltuun yhdessä lasten kanssa.

Haavoittuvuudet tekivät heinäkuun Kybersäästä sateisen

Kuluvalla viikolla julkaistiin myös heinäkuun Kybersää. Heinäkuun aikana julkaistiin useita kriittisiä haavoittuvuuksia. Kriittisten haavoittuvuuksien osalta Kyberturvallisuuskeskus teki myös kartoitustyötä Suomessa sijaitsevista haavoittuvista laitteista. Myös pankkitunnuksia kalasteltiin ahkerasti suomi.fi-viranomaispalvelun sekä pankkien nimissä.

Heinäkuun Kybersäässä ovat mukana myös päivitetyt Top5-uhat. Lisäksi pitkän aikavälin tarkastelussa on tällä kertaa osallistuminen digitaalisessa ympäristössä.