Tietoturva Nyt!
Tällä viikolla viikkokatsauksessa kerromme lastensuojelun nimissä lähetetyistä huijaustekstiviesteistä, joilla rikolliset pyrkivät kalastelemaan tietoja. Lisäksi kerromme Teams-puheluhuijauksista, joissa rikolliset esiintyvät IT-tukena ja yrittävät saada pääsyn työntekijän koneelle. Liiikkeellä on ollut myös PDF-editointiohjelmiksi naamioituja haittaohjelmia, joiden avulla rikolliset voivat varastaa tietoja tai kaapata järjestelmän. Viikottainen haittaohjelmakatsaus käsittelee tällä viikolla Avalanche-nimistä haittaohjelmaa.
Tällä viikolla katsauksessa käsiteltäviä asioita
Huijaustekstiviestejä lastensuojelun nimissä
Rikolliset levittävät tällä hetkellä huijaustekstiviesteistä, joissa esiintyvät esimerkiksi sosiaalityöntekijöinä ja viittaavat lastensuojeluun. Viestit saattavat vaikuttaa aidon oloisista, mutta niiden tarkoituksena on herättää huolta ja saada vastaanottaja avaamaan haitallisia liitteitä tai linkkejä. Nyt liikkeellä olleessa huijauksessa on yritetty varastaa uhrin verkkopankkitunnukset tai mobiilivarmenne.
Lastensuojeluun liittyvät yhteydenotot voivat olla erityisen arkaluonteisia, ja siksi ne toimivat tehokkaana välineenä huijausyrityksissä. Organisaatioiden ja kansalaisten on hyvä muistaa, että viranomaiset eivät lähetä asiakkaille yllättäen viestejä, joissa on epäilyttäviä linkkejä tai liitteitä. Epäselvissä tilanteissa kannattaa aina varmistaa viestin aitous suoraan lähettäjäorganisaatiosta toista viestintäkanavaa käyttäen.
Traficom ja Suojelupoliisi: Kyberturvallisuuden uhkataso pysynyt koholla
Traficom ja Suojelupoliisi ovat tiedottaneet yhdessä kyberturvallisuuden uhkatason pysymisestä edelleen kohonneena Suomessa. Uhkataso nousi vuonna 2022 sen jälkeen, kun Venäjä käynnisti laajamittaisen hyökkäyksensä Ukrainaan.
Traficomin Kyberturvallisuuskeskukselle ilmoitettujen tapausten perusteella suomalaiset organisaatiot ovat edelleen vihamielisen kybertoiminnan kohteena, ja vakavien tietomurtojen sekä niiden yritysten määrä on noussut. Kyberturvallisuuskeskuksen selvittämien vakavien tapausten määrä on yli kaksinkertaistunut viime vuoteen verrattuna. Havainnot ohjelmistojen haavoittuvuuksista ovat myös selvästi lisääntyneet, mikä kasvattaa merkittävästi kyberuhkaa yhteiskunnassa. Suojelupoliisin mukaan valtiollinen kybertoiminta Suomea kohtaan jatkuu aktiivisena. Traficom ja Suojelupoliisi pitävät yhteiskuntaa laajasti lamauttavien kyberiskujen todennäköisyyttä kuitenkin edelleen pienenä.
Hyökkääjät esiintyvät IT-tukena Teams-puheluissa
Liikkeellä on huijausyrityksiä, joissa rikolliset soittavat organisaatioihin Microsoft Teamsin kautta esiintyen IT-tukena. Hyökkääjä käyttää esimerkiksi nimeä “Help Desk” ja väittää, että käyttäjän koneella on ongelmia. Tämän varjolla työntekijää yritetään ohjata asentamaan etäyhteysohjelma, kuten AnyDesk tai Quick Assist, joka mahdollistaa hyökkääjän pääsyn uhrin laitteelle.
Teamsin oletusasetukset sallivat ulkopuolisten yhteydenottoja, mikä helpottaa huijausten onnistumista. Organisaatioiden suositellaan tarkistavan ja rajaavan guest- ja external access -asetuksia sekä selkeyttävän henkilöstölle, miten ja millä kanavilla IT-tuki oikeasti ottaa yhteyttä. Myös ilmoituskäytännöt epäilyttävistä yhteydenotoista on syytä kerrata organisaatioiden henkilöstölle.
Julkaisimme aiheesta myös Tietoturva Nyt! -artikkelin, joka on luettavissa kokonaisuudessa täältä:
Haittaohjelmia jaossa PDF-editointiohjelmiksi naamioituina
Kirjoitimme tällä viikolla Tietoturva Nyt! -artikkelin myös haittaohjelmakampanjasta, jossa rikolliset levittävät haitallisia ohjelmia PDF-editointisovelluksiksi naamioituina. Haitalliset ohjelmat leivtetään esimerkiksi hakukoneiden mainoksien tai epäluotettavien sivustojen kautta, ja niiden asentaminen voi johtaa tietojen varastamiseen tai järjestelmän haltuunottoon.
Turvallisin tapa välttää tartunta on ladata ohjelmat aina virallisista sovelluskaupoista tai valmistajan omilta verkkosivuilta. Organisaatioiden on syytä muistuttaa henkilöstöä ohjelmien lataamisen prosesseista sekä estää haitallisten ohjelmien asennukset hallitsemalla työasemien oikeuksia.
Tietoturva Nyt! -artikkeli aiheesta luettavissa kokonaisuudessaan täällä:
Haittaohjelmakatsaus: Avalanche
Verkkorikollisryhmä Avalanche tarjoaa tietojen kalastelua ja haittaohjelmien levitystä palveluna muille rikollisille. Ryhmä käyttää ja levittää useita haittaohjelmaperheitä. Avalanchen tietoverkossa ylläpidetään kyberrikollisten käyttämää infrastruktuuria, jonka avulla tehdään esimerkiksi kalastelu- ja haittaohjelmien levityskampanjoita.
Järjestelmä, jossa on Avalancheen liittyvä haittaohjelmatartunta, voi olla kohteena pahantahtoiselle toiminnalle, joka voi sisältää käyttäjätunnusten ja muiden arkaluontoisten tietojen kuten pankki- tai luottokorttitietojen varastamista. Osalla haittaohjelmista on kyky salata tiedostot ja vaatia uhrilta lunnaita, jotta uhri pääsee niihin taas käsiksi. Haittaohjelmatartunta voi myös mahdollistaa etäyhteyden saastuneeseen koneeseen ja käyttää tätä palvelunestohyökkäyksien tekemiseen tai muuhun rikolliseen toimintaa verkossa.
Kyberrikolliset käyttävät Avalanche bottiverkkoinfrastruktuuria ylläpitämään tai levittämään erilaisia haittaohjelmavariantteja uhreille. Kohteena on ollut ainakin 40 suurta rahoituslaitosta. Uhrien arkaluontoiset ja henkilökohtaiset tiedot on voitu varastaa ja vaarantuneita järjestelmiä on voitu käyttää muuhun pahantahtoiseen toimintaan. Toiminta on sisältänyt esimerkiksi palvelunestohyökkäysten aloittamista tai haittaohjelmavarianttien välittämistä uhrikoneille. Avalanchen infrastruktuuria on käytetty myös rahanpesuun, ihmisiä on houkuteltu tekemään petoksia kuljettamalla ja varastamalla rahaa tai kauppatavaraa.
Ohjeita tartunnan estämiseksi:
- Huolehdi päivitysten, tietoturvapäivitysten ja käyttöjärjestelmän ajantasaisuudesta.
- Älä klikkaile harkitsemattomasti sähköpostitse tai tekstiviestitse saapuvia linkkejä, tutultakin näyttävän linkin takana voi olla huijari. Järkevintä on mennä suoraan sivustolle selaimen tai kirjanmerkin kautta.
- Vaihda salasanoja säännöllisesti, älä myöskään kierrätä salasanoja palveluiden välillä.
- Käytä virustorjuntaohjelmistoa ja pidä se päivitettynä.
Supo mukana kansainvälisessä yhteistyössä laaditussa uudessa ohjeistuksessa
Yhdysvaltain kyberturvallisuusvirasto CISA ja lukuisat kansainväliset viranomaiset ovat julkaisseet ohjeistuksen Kiinan valtiollisten toimijoiden torjumiseksi kriittiseen infrastruktuuriin kohdistuvissa hyökkäyksissä. Suomesta mukana on ollut Suojelupoliisi (Supo), mikä kertoo Suomen aktiivisesta roolista kansainvälisessä kyberturvallisuusverkostossa. Ohjeistus sisältää käytännön neuvoja organisaatioiden teknisille asiantuntijoille.
Lisätietoja voi lukea alla olevien linkkien kautta:
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
- Ohjeet tietovuodon uhrille (Ulkoinen linkki)
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Haavoittuvuudet
Julkaisimme tällä viikolla haavoittuvuustiedotteen kriittisestä NetScaler ADC ja NetScaler Gateway -tuotteiden haavoittuvuudesta.
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 21.08.-28.08.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.