Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 4.11. - 10.11.2022). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  • Huoltovarmuuskriittiset toimijat yhä useammin kyberuhkien kohteena
  • Loppuvuoden alennusmyynnit alkavat - varo valeverkkokauppoja
  • Älyä ostoksiin -kampanja muistuttaa vastuullisista valinnoista 
  • Huijarit kehittävät tekniikoitaan
  • Kriittisiä haavoittuvuuksia VMware Workspace ONE Assist -ohjelmistossa
  • Kriittinen haavoittuvuus Citrix Gateway ja Citrix ADC -tuotteissa

Huoltovarmuuskriittiset toimijat yhä useammin kyberuhkien kohteena

Julkaisimme syyskuussa Tietoturva Nyt! -artikkelin "Kyberympäristön uhkataso on noussut" , jossa avattiin jo alkuvuonna alkanutta muutosta kyberympäristössä. Kuluneen syksyn aikana ilmoitukset niin palvelunestohyökkäyksistä, kalasteluista, tietomurroista kuin murtoihin liittyvistä kiristyshaittaohjelmista ovat jatkaneet samalla kasvavalla trendillä. Yhtäläisiä havaintoja tulee myös muualta maailmalta.

Syksyn aikana varsinkin Euroopassa ja Pohjois-Amerikassa tarkasteluun ovat nousseet yhä useammin kriittisen teollisuuden kohtaamat kyberuhat. Realisoituva kyberuhka ei aina katso kohdetta, vaan kyberhyökkäys voi osua niin yksittäiseen kansalaiseen kuin satojen miljoonien liikevaihdon omaavaan monikansalliseen huoltovarmuuskriittiseen konserniin. Realisoituneen uhkan vaikutus on kuitenkin merkittävästi erilainen kahdessa edellä mainitussa tapauksessa. Kyberhyökkäykset voivat alkaa eri tavoin ja niissä on usein monia eri vaiheita. Microsoftin tuoreimman Microsoft Digital Defence Report 2022 mukaan (Ulkoinen linkki), suurin osa kiristyshaittaohjelmahyökkäyksistä alkaa sähköpostipohjaisilla kalasteluilla, jolloin myös isoissa organisaatioissa ensimmäisenä kohteena on usein yksittäinen ihminen.

Monissa kyberturvallisuutta käsittelevissä julkaisuissa on nostettu viime aikoina tarkasteluun kriittisessä infrastruktuurissa sekä teollisuuden tuotantolaitoksissa käytetyt teollisuusautomaatiojärjestelmät (OT [Operational Technology / ICS [Industrian Control System]). Esimerkiksi tietoturvatalo Dragos nosti tuoreimmassa teollisuuden kiristyshaittaohjelmia käsittelevässä analyysissään (Ulkoinen linkki) OT/ICS-järjestelmät esille. Arviossaan Dragos esittää, että loppuvuoden aikana teollisuudessa tullaan näkemään kiristyshaittaohjelmatartuntoja juuri OT/ICS järjestelmissä. Samoilla linjoilla on myös Microsoft aiemmin mainitussaan vuotta 2022 käsittelevässä raportissaan. Microsoft mainitsee esimerkkinä OT/ICS-järjestelmien riskejä kasvattavina tekijöinä monissa tapauksissa valvonnan ulkopuolelle jääneet automaatiojärjestelmäspesifit protokollat.

Maailmalla vuoden kolmannen vuosineljänneksen aikana teollisuudessa havaituista kiristyshaittaohjelmatartunnoista noin 69% oli Euroopassa ja Pohjois-Amerikassa. Perinteisen teollisuuden ja energiateollisuuden yhteenlaskettu osuus kaikista menneellä vuosineljänneksellä olleista kiristyshaittaohjelmatapauksista on Dragosin tilaston mukaan 80%. Julkisten lähteiden perusteella esimerkiksi energiasektorin toimijoita on joutunut kiristyshaittaohjelmien uhreiksi ainakin kahdeksassa eri EU-maassa vuoden 2022 aikana. Kyseiset maat ovat Alankomaat, Belgia, Espanja, Italia, Kreikka, Luxemburg, Saksa ja Romania. Myös Kyberturvallisuuskeskus on saanut ilmoituksia huoltovarmuuskriittisillä toimialoilla tapahtuneista kiristyshaittaohjelmatapauksista.

Kiristyshaittaohjelmat voivat aiheuttaa häiriöitä tuotantoon eri tavoin, suoraan tai epäsuorasti:

  • Kiristyshaittaohjelmat voivat sisältää automaatiojärjestelmäspesifejä protokollia ja komentoja, joiden avulla pystytään väärinkäyttämään tuotantojärjestelmiä esimerkiksi sulkemalla tai ajamalla niiden toimintaa alas.
  • Verkkojen puutteellinen eristäminen ja eriyttäminen voi tarjota keinon kiristyshaittaohjelmien leviämiselle OT-ympäristöihin.
  • OT-ympäristöt voidaan joutua ajamaan varotoimenpiteenä alas, jotta kiristyshaittaohjelman leviäminen kriittisimpiin järjestelmiin estetään.

Toinen usein vähemmälle huomiolle jäävä kyberturvallisuuden tarkastelukulma on toimitusketjut. Reuters uutisoi (Ulkoinen linkki)marraskuun alussa, että Tanskassa DSB-junayhtiön alihankkijana toimiva Supeo joutui kyberhyökkäyksen kohteeksi. Hyökkäys esti hetkellisesti myös DSB:n veturinkuljettajien työn, keskeyttäen tämän takia hetkellisesti raideliikenteen. Toinen kuuluisa esimerkki toimitusketjuhyökkäyksestä on parin vuoden takainen SolarWindsin hallintatyökalun kautta toteutettu murtojen (Ulkoinen linkki) sarja. Eri toimijoiden onkin hyvä tarkastella oman toimintansa kannalta kriittisiä toimitusketjuja ja sitä, miten niiden häiriötilanteisiin tulisi varautua.

Vaikka tarkastelussa keskityttiin teollisuuden OT/ICS-järjestelmiin ja toimitusketjujen aiheuttamiin uhkiin, ei tämän hetken kybertoimintaympäristön käynnissä oleva muutos vaikuta ainoastaan teollisuuteen, vaan kaikkien toimialojen tulee varautua. Varautumisessa on hyvä ottaa huomioon käytännöt kyberuhilta suojautumiseen, varmuuskopioiden saatavuuteen, palautumiseen kyberpoikkeamasta ja kriisiviestintään uhan realisoituessa. Organisaatioissa vastuun riskeistä ja kriisiviestinnän onnistumisesta kantaa aina organisaation johto. Vaikka toimenpiteet olisivat paperilla hyvin suunniteltuja, usein onnistuminen kriisin keskellä vaatii myös aktiivista harjoittelua kriisiä varten. Myös kybertoimintaympäristössä toimii G.S. Pattonin vanha viisaus "Niin toimit kuin harjoittelet".

Loppuvuoden alennusmyynnit alkavat - varo valeverkkokauppoja

Kaupat markkinoivat marraskuussa monenlaisia alennusmyyntejä, kuten Singles' Day, Black Friday sekä Black Week ja Cyber Monday. Myös joulusesonki on käynnistymässä ja pakettien lähettäminen sekä vastaanottaminen ovat vilkkaimmillaan juuri loppuvuodesta. Alennusmyyntipäivät vetävät puoleensa paljon väkeä ja siksi myös rikolliset ovat niistä kiinnostuneita.

Verkossa shoppaillessa kannattaa varoa etenkin valeverkkokauppoja ja tilausansoja. Rikolliset luovat uhrille usein kiireen tunnun tai lupaavat uskomattoman kuuloisia tarjouksia. Pysähdy hetkeksi ennen ostopäätöksen tekemistä ja mieti onko kaikki sitä miltä vaikuttaa. Koostimme viisi vinkkiä turvallisempaan toimintaan verkkokaupoissa.

1. Varmista, että olet päätynyt oikealle verkkosivulle

Verkkosivun aidon näköinen ulkoasu ei takaa sen sisällön aitoutta. Rikolliset voivat kopioida verkkosivujen sisällön ja ulkoasun aidoilta sivuilta toisille sivuille ja käyttää verkkosivuväärennöksiä huijaukseen. Tyypillisesti rikolliset pyrkivät harhauttamaan käyttäjää antamaan käyttäjätunnuksensa ja salasanansa (esimerkiksi verkkopankkitunnukset) rikollisen hallitsemalle väärennetylle sivulle.

Jos menet verkkosivulle sähköposti- tai tekstiviestissä saamasi linkin kautta, sinun on tärkeää tarkastaa, mille verkkosivulle oikeasti päädyt. Olennaista on tarkastaa, missä verkkotunnuksessa sivu on. Se tarkastetaan selaimen osoiteriviltä. Osoiterivillä voi lukea esimerkiksi: https://www.traficom.fi/fi/viestinta/fi-verkkotunnukset/fi-verkkotunnushaku. Verkkotunnuksen tunnistamisessa on omat niksinsä, ja niissä on tietty logiikka, jonka kaikki voivat oppia.

Lue lisää: Tunnista turvallinen verkkosivu osoitteen perusteella!

2. Mieti, mille sivuille annat tietosi

Tunnusten ja tietojen kalastelun kohteeksi voi joutua kuka tahansa. Kalastelua tehdään jatkuvasti lähes kaikkien palveluiden nimissä. Mieti aina kahdesti, ennen kuin syötät tietojasi (esim. salasana, puhelinnumero) mihin tahansa palveluun. Erityisen varovainen kannattaa olla, kun syöttää verkkosivulle omia pankkitietojaan. 

Sivun luotettavuutta arvioidessa moni pienempi tekijä ja niiden summa voivat nousta merkittävään osaan. 

  • Kirjoitusvirheet
  • Epäilyttävä sisältö tai utelevat kysymykset
  • Sivulle päätymisen alkuperä (sähköpostilinkki, edelleenohjaus muualta jne.)
  • Logojen ja ulkoasun graafinen tyylikkyys
  • Poikkeuksellisen halvat hinnat verkkokaupassa
  • Yhteystietojen ja taustatoimijoiden tunnistaminen 

Hyvin tehdyn kalastelusivun tunnistaminen on vaikeaa, mutta näiden vinkkien avulla pääset hyvään alkuun. On myös hyvä muistaa, että moni verkkosivu on aito eikä taustalla ole paha tarkoitus.

Neuvoja epäilyttävien sivujen tunnistamiseksi

3. Varo tilausansoja, jotka saapuvat usein satumaisten tarjousten varjolla

Huijarit houkuttelevat harhaanjohtavilla mainoksilla kuluttajia maksamaan pieniä maksuja. Tarjolla voi olla toinen toistaan upeampia palkintoja, tarjouksia, lahjakortteja tai halpoja jäsenyyksiä normaalisti hintaviin palveluihin.

Hyvään tarjoukseen tarttuminen ja linkin klikkaus vievät tilaussivustolle tai lomakkeelle, joka pyytää henkilötietoja. Henkilötietoja pyytämällä yritetään saada kuluttaja sitoutumaan kuukausimaksulliseen palveluun tai jatkuvaan tuotetilaisukseen. Tilausansa on aktivoitunut, kun kuluttajalle saapuu säännöllinen kuukausittainen pakettilähetys tai tililtä lähtee palvelu- tai jäsenmaksu säännöllisesti. Kertaluontoiselta vaikuttanut kauppa onkin pitkäaikainen ja poikkeaa kuluttajan alkuperäisestä uskomuksesta.

Kilpailu- ja kuluttajaviranomainen on koostanut kattavat ohjeet siitä, minne erilaisista huijaustyypeistä kannattaa ensisijaisesti ilmoittaa.

KKV: Ilmoita huijauksesta (Ulkoinen linkki)

4. Tarkista, että ilmoitus saapuneesta postipaketista on oikealta lähettäjältä

Suomessa on nähty viime vuosina Postin ja muiden paketteja toimittavien organisaatioiden nimissä lähetettyjä huijausviestejä. Tekstiviesteinä saapuvat huijausviestit ilmestyvät usein samaan ketjuun oikeiden pakettipalveluiden lähettämien viestien kanssa, koska rikollinen käyttää samaa lähettäjänimeä kuin posti, eikä puhelimen sovellus osaa erotella niitä toisistaan. Tekstiviestin vastaanottajalle uskotellaan, että hänelle on saapunut paketti tai muu lähetys. Linkin kautta uhri päätyy huijaussivustolle, jonka ulkoasu muistuttaa erehdyttävästi yrityksen aitoja sivuja. Huijaussivustolla uhria pyydetään antamaan esimerkiksi verkkopankkitunnuksensa.

5. Älä luota sokeasti sähköpostin lähettäjätietoihin 

Lähettäjän sähköpostiosoite voi olla väärennetty, sähköpostin lähettäjän tietokoneeseen on voitu murtautua tai hänen sähköpostisalasanansa on voitu arvata. Älä klikkaa epäilyttävältä vaikuttavan viestin sisältämää linkkiä, vaan mene selaimella suoraan haluamasi palvelun sivuille. 

Näin suojaudut nettihuijaukselta


Mikäli huomaat tulleesi huijatuksi, tee asiasta rikosilmoitus. Mikäli olet menettänyt pankkitietosi tai lähettänyt rahojasi väärään paikkaan, ota yhteys myös pankkiisi. Vaikka pankit ja yritykset, joiden nimissä huijauksia tehdään, eivät ole huijausten takana, ne vastaanottavat mielellään tietoa huijauksista, jotta ne voivat varoittaa muita asiakkaita. Voit tehdä ilmoituksen myös Kyberturvallisuuskeskukselle.

Älyä ostoksiin -kampanja muistuttaa vastuullisista valinnoista

Traficomin #älyäostoksiin-kampanja on taas käynnissä. Kampanjan tavoitteena on nostaa esiin fiksua ja vastuullista kuluttamista, kun kotiin hankitaan erilaisia älylaiteita, droneja tai erilaisia langattomia laitteita.

Älyä ostoksiin -sivustolta löydät tärkeää tietoa kodin älylaitteiden tietoturvasta, käytetyn elektroniikan kierrätyksestä, dronen turvallisesta lennättämisestä sekä ohjeita langattomien laitteiden ostamiseen ja käyttöön. Skarpin kuluttajan muistilista tarjoaa hyviä vinkkejä laitteiden hankitaan, käyttöön ja kierrätykseen.

Kampanjaan voit törmätä myös sosiaalisessa mediassa ja televisiossa.

Huijarit kehittävät tekniikoitaan

Olemme myös tällä viikolla saaneet ilmoituksia erilaisista huijauksista. Pankkien nimissä tapahtuva kalastelu ja poliisiteemaiset kirityshuijaukset ovat edelleen yleisiä. Myös toimitusjohtajahuijausten yrityksiä on näkynyt. 

Suurin osa huijauksista on opportunistista onnenongintaa. Huonosti tehtyjä huijausviestejä lähetetään massoittain ja rikolliset luottavat siihen, että edes pieni osa haksahtaa huijaukseen. Tällaisia huijauksia ovat erilaiset kiristysviestit, kuten ns. pornokiritykset (Ulkoinen linkki) sekä poliisiteemaiset kiristysviestit. Syyttelevillä ja kiirettä painottavilla viesteillä pyritään saamaan uhri hätääntyneeksi ja siten alttiimmaksi huijaukselle. 

Lisäksi olemme saaneet ilmoituksia tarkemmin kohdennetuista huijauksista. Laskutuspetoksissa yritetään saada organisaatio muuttamaan laskunmaksutietojaan ja näin maksamaan isoja summia rikollisten hallussa olevalle tilille. Rikolliset hyödyntävät julkisesti saatavilla olevaa tietoa uskottavan huijauksen luomiseksi. Esimerkiksi organisaation henkilöstötietoja on usein saatavilla julkisista lähteistä. Todellisen toimitusjohtajan nimeä käyttämällä huijari saa viestiinsä uskottavuutta. 

Rikolliset hyödyntävät työelämän kiirettä ja ihmisten huolimattomuutta. Työntekijöitä voidaan hämätä virallisia sähköpostiosoitteita muistuttavilla osoitteilla. Organisaation virallisten sähköpostiosoitteiden ollessa muotoa nimi@firma.fi, rikolliset saattaisivat käyttää osoitteissaan muotoa nimi@flrma.fi (l-kirjain i-kirjaimen sijaan) tai nimi@fimra.fi (firma kirjoitettu väärin). Tällaiset hienovaraiset muutokset sähköpostiosoitteissa voivat arjen kiireessä jäädä huomaamatta. 

Myös harhaanjohtavia sähköpostiosoitteita käytetään lisäämään viestien uskottavuutta. Esimerkiksi toimitusjohtajan osoitetta muistuttava osoite viestin kopiokentässä, saa vastaanottajan kokemaan viestin erityisen tärkeäksi ja kiireelliseksi.

Tekniset suojaustoimet, kuten sähköpostien suodatus, estävät ison osan huijausviesteistä ja roskapostista. Siitä huolimatta huijausviestejä päätyy myös postilaatikoihin saakka. Kehotamme tarkkaavaisuuteen sähköpostien ja muiden viestintävälineiden käytössä, erityisesti rahaliikenteeseen liittyen. Tarkempia ohjeita nettihuijauksilta suojautumiseen löydät artikkelistamme Näin suojaudut nettihuijaukselta (Ulkoinen linkki).

Haavoittuvuudet

Kriittisiä haavoittuvuuksia VMware Workspace ONE Assist -ohjelmistossa

CVE: CVE-2022-31685, CVE-2022-31686, CVE-2022-31687
CVSS: 9.8 
Mikä: VMware Workspace ONE Assist
Tuote:VMware Workspace ONE Assist 21.x, 22.x
Korjaus: Päivitä tuote 22.10 tai uudempaan versioon 

Kriittinen haavoittuvuus Citrix Gateway ja Citrix ADC -tuotteissa

CVE: CVE-2022-27510, CVE-2022-27513, CVE-2022-27516
CVSS: 9.8
Mikä: Citrix Gateway ja Citrix ADC
Tuote: 

  • Citrix ADC ja Citrix Gateway 13.1 versiota 13.1-33.47 aiemmat versiot
  • Citrix ADC ja Citrix Gateway 13.0 versiota 13.0-88.12 aiemmat versiot
  • Citrix ADC ja Citrix Gateway 12.1 versiota 12.1.65.21 aiemmat versiot
  • Citrix ADC 12.1-FIPS versiota 12.1-55.289 aiemmat versiot
  • Citrix ADC 12.1-NDcPP versiota 12.1-55.289 aiemmat versiot

Korjaus: Päivitä tuote versioon

  • Citrix ADC ja Citrix Gateway 13.1-33.47 tai uudemmat versiot
  • Citrix ADC ja Citrix Gateway 13.0-88.12 ja 13.0 uudemmat versiot 
  • Citrix ADC ja Citrix Gateway 12.1-65.21 ja 12.1 uudemmat versiot 
  • Citrix ADC 12.1-FIPS 12.1-55.289 ja 12.1-FIPS uudemmat versiot
  • Citrix ADC 12.1-NDcPP 12.1-55.289 ja 12.1-NDcPP uudemmat versiot

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.