Tietoturva Nyt!
Tällä viikolla kerromme edelleen jatkuvasta M365-tilien murtoaallosta, laskutuspalveluiden hyväksikäytöstä laskutuspetoksissa, uuden EU:n kyberturvallisuuden rahoitushaun aukeamisesta ja mahdollisuudesta kommentoida EU:n Kyberkestävyyssäädöstä. Viikon haittaohjelmakatsauksessa on Nymaim-troijalainen.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Microsoft 365 -tilejä murretaan edelleen ennätyksellisellä tahdilla - tutustu ohjeisiin ja estä tietomurrot organisaatiossasi
- Rikolliset naamioituvat laskuttajiksi – tarkista ennen kuin maksat
- Digitaalinen Eurooppa -ohjelma avasi uuden rahoitushaun: 50 miljoonaa euroa kyberturvallisuuteen
- Kyberkestävyyssäädöksen (CRA) aktiivisesti hyödynnetyistä haavoittuvuuksista tai poikkeamista ilmoittamisen lykkäämistä koskevat ehdot ovat kommentoitavana - vaikuta nyt!
- Viikon haittaohjelmakatsaus: Nymaim
Microsoft 365 -tilejä murretaan edelleen ennätyksellisellä tahdilla - tutustu ohjeisiin ja estä tietomurrot organisaatiossasi
Kyberturvallisuuskeskus on vastaanottanut ilmoituksia Microsoft 365 -tilien tietomurroista edelleen kasvavalla tahdilla. Julkaisimme asiasta vakavan varoituksen jo syyskuussa, sillä elokuussa Kyberturvallisuuskeskukselle ilmoitettiin poikkeuksellisen paljon M365-tilimurtoihin tai niiden yrityksiin liittyvää tapausta. Varoituksesta huolimatta syyskussa tapauksia ilmoitettiin 117 ja lokakuussa 120 kappaletta. Varoitus koskee kaikkia M365-ympäristöä käyttäviä yrityksiä ja organisaatioita sekä niiden työntekijöitä ja käyttäjiä.
Rikolliset kirjautuvat varastettujen tunnusten avulla M365-palveluihin ja kaapattuja tilejä hyödynnetään uusien tietojenkalasteluviestien lähettämiseen sekä esimerkiksi laskutuspetosten tekemiseen. Tilimurrot mahdollistavat luvattoman pääsyn sähköposteihin ja dokumentteihin, mikä altistaa luottamukselliset tiedot väärinkäytölle. Pahimmillaan tilimurrot voivat johtaa liiketoiminnan häiriöihin, mainehaittaan ja toimia porttina laajemmille hyökkäyksille. Usein huijausviestit ovat naamioitu näyttämään sopimukselta tai laskulta, joka vaatii vastaanottajalta toimenpiteitä. Viestissä voi olla linkki tiedostoon, jonka avaamiseksi pyydetään kirjautumistunnuksia M365-palveluun. Huijausviestit voivat olla oikeita tiedostonjakopalvelun, kuten SharePointin tai OneDriven kautta lähetettyjä tiedostonjakoviestejä, mutta kyseisessä palvelussa jaettu tiedosto uudelleenohjaa uhrin rikollisten hallusa olevalle kalastelusivulle. Aitouden vaikutelman vuoksi huijausviestien tunnistaminen voi olla erityisen vaikeaa.
Käyttäjä: Ole erityisen valppaana tutuiltakin tulleiden viestin kanssa!
Käynnissä olevasta kalasteluaallosta tekee erityisen petollisen se, että kalasteluviestit saapuvat usein tutun lähettäjän murretulta tililtä. Jos saamasi viestin aitous epäilyttää, älä vastaa siihen, äläkä klikkaa siinä olevia linkkejä. Varmista viestin aitous muulla tavalla, esimerkiksi soittamalla tai käyttämällä pikaviestintä. Ilmoita epäilyttävästä viestistä myös organisaatiosi IT-tukeen. Noudata huolellisuutta kun käytät M365-tunnuksilla. Varmista aina, että olet kirjautumassa aitoon palveluun, ennen kuin syötät kirjautumistunnukset.
M365-ylläpitäjä: Tutustu Kyberturvallisuuskeskuksen ohjeisiin organisaatioisi suojaamiseksi!
Organisaatioden kannattaa ottaa käyttöön monivaiheinen tunnistautuminen (engl. Multi Factor Authentication, MFA) sekä tutustua myös muihin M365-ympäristön suojausmenetelmiin. Voit lisätä suojausta esimerkiksi salasanattomilla kirjautumismenetelmillä ja ehdollisilla käyttöoikeuskäytännöillä. Voit myös estää kirjautumisia tietyistä maista tai IP-osoitteista ja näin rajoittaa kirjautumiset vain niihin maihin, joissa käyttäjien tulisi päästä kirjautumaan M365-ympäristöön.
Lisätietoja
Rikolliset naamioituvat laskuttajiksi – tarkista ennen kuin maksat
Kyberturvallisuuskeskus on saanut viime viikkoina useita ilmoituksia organisaatioihin kohdistuneista huijauslaskutusyrityksistä. Rikolliset ovat onnistuneet ujuttamaan vääriä laskuja organisaatioille eri laskutuspalveluiden kautta, jopa suoraan verkkopankkeihin. Huijaukset näyttävät uskottavilta, sillä niissä käytetään oikeiden yritysten tietoja kuten Y-tunnuksia ja laskut välitetään normaalistikin käytettävien palveluiden kautta.
Huijauksen taustalla on ollut rikollisten mahdollisuus rekisteröityä laskuttajaksi erilaisiin palveluihin. Viime aikaisissa laskutushuijauksissa on kätetty esimerkiksi Proton Lighting Suomi Oy:n Y-tunnusta sekä muita muunnelmia, joka sisältävät sanan “Proton” kuten Proton Solutions Oy. Lisäksi rikolliset ovat käyttäneet Proton -teemaisia sähköpostiosoitteita huijauslaskujen tiedoissa kuten esimerkiksi “asiakaspalvelu[.]proton@protonmail[.]com”.
Rikolliset hyödyntävät näissä huijauksissa asiakkaiden luottamusta laskutuspalveluihin, sillä viestit näyttävät tulevan oikeista järjestelmistä. Uuden EU:n maksuasetuksen myötä maksujärjestelmät voivat varoittaa: “Emme pystyneet tarkistamaan, että maksunsaajan nimi ja tilin omistajan nimi vastaavat toisiaan.” Huijarit ovat ohjeistaneet uhreja sivuuttamaan nämä varoitukset, vaikka varoitus on ollut aiheellinen.
Kyberturvallisuuskeskus suosittelee varmistamaan maksupyyntöjen ja poikkeavien viestien aitouden aina ennen maksujen maksamista. Noudata organisaatiosi maksukäytäntöjä äläkä ohita mitään prosessin vaihetta. Organisaatioiden on hyvä luoda ja testata sisäiset menettelyt, joilla laskujen oikeellisuus voidaan varmistaa.
Jos epäilet huijausta tai olet saanut petollisen laskun, ilmoita tapauksesta poliisille ja halutessasi myös Kyberturvallisuuskeskukselle. Mikäli rahaa on jo siirretty, ota heti yhteyttä pankkiisi ja tee rikosilmoitus – nopea reagointi voi estää vahingot.
Digitaalinen Eurooppa -ohjelma avasi uuden rahoitushaun: 50 miljoonaa euroa kyberturvallisuuteen
EU:n Digitaalinen Eurooppa -rahoitusohjelman vuoden 2025 toinen hakukierros on avautunut. Ohjelman kautta jaetaan rahoitusta kyberaiheisiin 50 miljoonaa euroa.
Digitaalinen Eurooppa -rahoitusohjelma tukee kyberturvallisten ratkaisujen käyttöönottoa ja aikaisempien tutkimustulosten hyödyntämistä. Toisella hakukierroksella on avoinna neljä eri hakua kyberturvallisiin tekoälyyn perustuviin työkaluihin ja palveluihin, PK-yritysten kyberturvallisten innovatiivisten ratkaisujen käyttöönottoon, koordinoituun valmistautumisen testaukseen sekä merikaapelien kyberturvallisuuteen. Haut avautuvat 28.10.2025 ja hakuaikaa on 31.03.2026 saakka.
Kyberturvallisuuskeskuksen koordinointikeskus tarjoaa maksutonta tukea ja neuvontaa, kuten ohjeistusta sopivien hakujen valintaan ja tukea kumppanien etsintään.
Tutustu lisää koordinointikeskuksen palveluihin täällä tai ota yhteyttä sähköpostitse: ncc-fi@traficom.fi .
Kyberkestävyyssäädöksen (CRA) aktiivisesti hyödynnetyistä haavoittuvuuksista tai poikkeamista ilmoittamisen lykkäämistä koskevat ehdot ovat kommentoitavana - vaikuta nyt!
EU:n kyberkestävyyssäädöksen (Cyber Resilience Act, CRA) mukaan digitaalisia elementtejä sisältävien tuotteiden valmistajien on ilmoitettava viranomaisille kaikista aktiivisesti hyödynnetyistä haavoittuvuuksista tai tietoturvallisuuteen vaikuttavista poikkeamista.
Ilmoitukset toimitetaan kansalliselle tietoturvaloukkauksiin reagoivalle yksikölle (CSIRT), joka voi poikkeustilanteissa lykätä tiedon jakamista muiden EU-maiden vastaaville viranomaisille.
Euroopan komissio kerää nyt palautetta ehdotetuista lykkäysehdoista. Kommentteja voi antaa Better Regulation -portaalissa 13.11.2025 saakka alla olevan linkin kautta.
Viikon haittaohjelmakatsaus: Nymaim
Nymaim on “Trojan downloader” eli haittaohjelma, joka lataa ja suorittaa muita haittaohjelmia altistuneissa järjestelmissä. Usein tätä haittaohjelmaa on käytetty asentamaan kiristyshaittaohjelma. Nymaim näyttää personoidun lukitusruudun, kun se lataa toista haittaohjelmaa. Nymaim leviää tyypillisesti haitallisten sähköpostiliitteiden, saastuneiden verkkosivujen tai väärennettyjen ohjelmapäivitysten kautta.
Nymaimia jaetaan hyväksikäyttöpakettien tai tiedostojen välityksellä. Yleensä haitallisten tiedostojen nimet liittyvät suosittuihin hakusanoihin, joita ihmiset käyttävät sovelluksia etsiessään. Nymaim näyttäytyy koneella esim. pop-up mainosten muodossa. Käyttöjärjestelmä voi myös hidastua merkittävästi ja internetselaimessa voi olla tavallisuudesta poikkeava määrä mainoksia. Mainosten näyttäminen on yksi haittaohjelmien rahantekotapa.
Näin suojaudut Nymaim-haittaohjelmalta:
- Mieti mistä lataat sovellukset ja arvioi lataamisen turvallisuus huolellisesti. Haittaohjelma voi levitä ilmaisohjelmien välityksellä.
- Älä klikkaile harkitsemattomasti. Sähköpostien linkkien kautta voidaan levittää haitallista sisältöä.
- Mieti kahdesti ennen sähköpostin liitteiden lataamista.
- Harkitse tarkkaan mistä ja mitä ohjelmia lataat, asennat ja suoritat laitteella.
- Huolehdi, että käyttöjärjestelmä ja sovellukset ovat saaneet viimeisimmät päivitykset.
- Pidä virustorjuntaohjelmistosi käytössä ja ajantasaisena.
- Virustorjuntaohjelma yleensä poistaa haittaohjelman, tai vähintäänkin ilmoittaa tehneensä toimenpiteitä.
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
- Ohjeet tietovuodon uhrille (Ulkoinen linkki)
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 24.-30.10.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.