Kyberturvallisuuskeskuksen viikkokatsaus - 34/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Turvapostiksi väärennetyt kalasteluviestit leviävät jälleen
• Hotellivarauspalvelua on käytetty tietojenkalasteluun
• Kriittinen haavoittuvuus Juniperin verkkolaitteissa

Turvapostiksi väärennetyt kalasteluviestit leviävät jälleen

Turvapostiksi väärennetyt huijausviestit johtavat tietojenkalastelusivulle, jossa urkitaan käyttäjätunnuksia ja salasanoja. Huijausviestejä leviää parhaillaan kuntasektorilla organisaatiosta toiseen. Jos huijausviestistä avautuvalle verkkosivulle erehtyy syöttämään sähköpostitilinsä käyttäjätunnuksen salasanoineen, rikollinen saa tilin haltuunsa ja käyttää sitä petoksiin sekä uusien tietojenkalasteluviestien lähettämisen edelleen.

Huijausviesteissä on voinut olla erilaisia uskottavia otsikoita, kuten "Vuokrarästi", tai "Arkistomateriaalitilaus". Asialliselta vaikuttava otsikko lisää huijausviestin uskottavuutta. Hälytyskellojen pitäisi soida siinä vaiheessa, jos turvapostilinkin takana kysytäänkin käyttäjätunnusta ja salasanaa.

Kaksivaiheisen tunnistautumisen pakotettu käyttöönotto on tehokas suojautumiskeino tietojenkalastelukampanjoita vastaan. Jos kaksivaiheisen tunnistautumisen käyttö jätetään vapaaehtoiseksi, se ei tuo täyttä suojaa. 

Kyberturvallisuuskeskus kirjoitti turvapostiteemaisesta tietojenkalastelusta viimeksi huhtikuussa. Lue lisää: 
Turvapostiteemaiset kalasteluviestit johtavat sähköpostitilimurtoihin

Hotellivarauspalvelua on käytetty tietojenkalasteluun

Suomalaistenkin suosimassa booking.com-hotellivarauspalvelussa on raportoitu useita tapauksia, joissa palvelun kautta asiakkaille välitetyt viestit eivät olekaan tulleet hotellista, vaan huijarilta. Huijausviesteillä on pyritty kalastelemaan muun muassa luottokorttinumeroita.

Ars Technica uutisoi varauspalvelussa välitetyistä huijausviesteistä jo helmikuussa 2023. Myös Kyberturvallisuuskeskukseen on raportoitu suomalaisten asiakkaiden saamia huijausviestejä. Aiemmin harvakseltaan tulleita ilmoituksia on nyt elokuussa raportoitu useita.

Huijausviestit vaikuttavat hyvin uskottavilta, sillä niissä on oikeita hotellitietoja, oikeat asiakkaiden nimet ja ne viittaavat asiakkaiden oikeisiin hotellivarauksiin. Viestit myös tulevat booking.comin oikean palvelun kautta kuten oikeatkin hotellien lähettämät viestit. Viesteissä olevat linkit vievät väärennetyille sivuille, jotka voivat näyttää erehdyttävästi hotellin tai varauspalvelun sivuilta. Väärennetylle sivulle syötetyt luottokorttitiedot päätyvät rikollisten haltuun.

Vastaavia tapauksia on uutisoitu ajoittain jo vuosien ajan, mutta booking.com ei ole vahvistanut tietovuotoja tai tietomurtoja. Vaikuttaa mahdolliselta, että rikollisella toimijalla on ollut pääsy joihinkin palvelussa oleviin hotellivaraustietoihin, mutta luottokorttitietoja ei ole vuotanut rikollisille. Tästä syystä rikolliset pyrkivät käyttämään saamiaan tietoja kalastellakseen luottokorttitietoja.

Lisätietoja: 

Kriittinen haavoittuvuus Juniperin verkkolaitteissa

CVE: CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 

CVSS: 9,8

Mikä: Juniperin SRX-sarjan palomuurien ja EX-sarjan kytkimien hallintajärjestelmissä on todettu neljä erillistä pientä haavoittuvuutta. Yksittäiset haavoittuvuudet vaikuttavat itsessään melko vaarattomilta, mutta yhdessä ketjutettuna niillä on mahdollista ohittaa kirjautuminen ja suorittaa laitteella mielivaltaista koodia. Yhdistettynä haavoittuvuus onkin kriittinen ja vaatii pikaista päivittämistä. 

Tuote: Juniper SRX-palomuurit, Juniper EX-kytkimet

Korjaus: Käyttöjärjestelmäpäivitys

Lisätietoja: https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_14/2023 (Ulkoinen linkki)