Kyberturvallisuuskeskuksen viikkokatsaus - 48/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Yritysten ja yhdistysten Facebook-sivuja kaapataan
• Huijausviestien PDF-liitteitä on käsiteltävä varoen
• Julkaisimme ohjeen tietoturvakoulutusten suunnitteluun
• Kriittinen haavoittuvuus Qlik Sense -tuotteessa

Yritysten ja yhdistysten Facebook-sivuja kaapataan

Sosiaalisen median palvelut kiinnostavat myös rikollisia toimijoita siinä määrin, että erilaisia tilejä ja tunnuksia varastetaan säännöllisesti. Tällä hetkellä rikollisten tähtäimessä ovat tunnukset, joilla hallinnoidaan yritysten ja yhdistysten Facebook-sivuja. Kyberturvallisuuskeskukselle on raportoitu runsaasti tapauksia Facebook-sivujen tietomurroista.

Rikollinen on tekeytynyt palvelun virkailijaksi, esim. "Meta Business Support" ja lähettää Messengerin kautta viestin, jossa kerrotaan, että tili tai sivu suljetaan tai jäädytetään, ellei asiakas reagoi vaatimuksiin. Viestissä on mukana linkki, jota pitäisi seurata. Tyypillisesti linkin takana odottaa kirjautumissivun näköiseksi naamioitu valesivu, jolle syötetyt käyttäjätunnukset ja varmistuskoodit menevätkin rikollisen haltuun. Haltuunsa saamillaan tunnuksilla rikollinen pystyy kaappaamaan Facebook-sivun omaan käyttöönsä ja levittämään sen kautta valemainoksia, tilausansoja tai muuta rikollista.

Vilpillisissä Messenger-viesteissä on usein puhuteltu uhria "Dear admin ..." ja aloitettu viesti yhteen kirjoitetulla kuusimerkkisellä koodilla "Track#12X34Y". Viestin syyksi on ilmoitettu, että sivuilla julkaistu viesti rikkoo tekijänoikeuksia tai mainostussääntöjä. Annettu linkki ei johda Facebookin omaan osoitteeseen, vaan johonkin joka näyttää melkein samalta, esim. "facebookjob". 

Älä luota ensimmäiseen hakutulokseen

Huijausviestien tarkoituksena on säikäyttää ja hermostuttaa, jotta uhri reagoisi nopeasti ja harkitsematta. Jotkut huijausviestejä saaneet ovat etsineet apua hakemalla hakukoneista asiakaspalvelua, mutta löytäneet sieltäkin ensimmäiseksi huijarin. Erilaiset “suomiasiakaspalvelu”, “suomenasiakaspalvelu”, “asiakaspalvelufacebooksuomi” ja muut asiakaspalvelua muistuttavat sanayhdistelmät voivat hakukoneesta riippuen johtaa valeasiakaspalveluun, jotka eivät epäröi johtaa uhria yhä syvemmälle harhaan. 

Ota yhteys poliisiin

Jos petoksessa on menetetty rahaa, ota ensimmäiseksi ja viipymättä yhteyttä pankkiisi. Parhaassa tapauksessa pankki voi vielä pysäyttää rikollisten viemät rahat.

Heti sen jälkeen voit ilmoittaa tärkeimmille yhteistyökumppaneille tapahtuneesta ja harkita tiedottamista tarpeen mukaan. Petos on rikos, josta on syytä tehdä rikosilmoitus. Ilmoitathan myös Kyberturvallisuuskeskukselle, jos organisaatiossasi on tapahtunut tietomurto. Organisaation luottamuksellisten tietojen tai henkilötietojen vuodettua ulkopuoliselle on tarpeen tehdä ilmoitus myös Tietosuojavaltuutetun toimistoon. 

Huijausviestien PDF-liitteitä on käsiteltävä varoen

Poliisin nimiin väärennettyjä kiristysviestejä on liikkunut jo pitkään sekä dokumenttiliitteellä että ilman. Kiristysviesteistä kirjoitimme viimeksi elokuussa viikkokatsauksessamme 33/2023 .

Kiristysviestin saatteena olevassa liitteessä ei aiemmin ole tavattu mitään ylimääräistä piilotettua sisältöä. Kyberturvallisuuskeskukselle on nyt raportoitu yksittäisistä huijausviesteistä, joiden PDF-liitteissä on ollut mukana ajettavaa javascript-koodia. Nähdyissä näytteissä olevat koodit eivät vielä tee mitään sen vaarallisempaa kuin tarjoavat käyttäjälle tulostusikkunaa dokumentin tulostamiseksi. Kun tuntemattoman sähköpostin liitteenä ollut PDF- tai Office-dokumentti pyytää lupaa suorittaa komentoja, niihin on kuitenkin aina viisainta vastata kieltävästi. Komennon takana voi piilotella myös haittaohjelman käynnistys. 

Erilaisten todellisten ja etenkin keksittyjen poliisiviranomaisten nimiin tekaistut huijausviestit eivät välttämättä suomalaiseen viranomaispalveluun tottuneille tunnu kovinkaan uskottavilta. Tällaisten huijausviestien sitkeä olemassaolo kertoo kuitenkin siitä, että niiden lähettäminen on rikollisille kannattavaa. 

Julkaisimme ohjeen tietoturvakoulutusten suunnitteluun

Organisaation tietoturva nähdään usein teknisenä kokonaisuutena, jonka perustana ovat tietojärjestelmät. Järjestelmiä käyttävät kuitenkin ihmiset - organisaation henkilöstö. Henkilöstöllä onkin suuri merkitys organisaation tietoturvakulttuurin luomisessa ja ylläpitämisessä. Tietoturva ei ole yksin kenenkään henkilön tai minkään tietojärjestelmän harteilla, vaan se on organisaation yhteinen asia, johon kuuluu teknisten mekanismien ohella myös arkipäiväisiä asioita.

Kun tietoturvatietoisuudesta tehdään yhteinen prioriteetti, paranee koko organisaation tietoturvan taso ja hyökkäyksiä on haastavampaa saada menestyksekkäästi toteutettua. Virheitäkin sattuu, mutta varustamalla henkilöstö sopivalla tietoturvatietoisuudella ja oikeanlaisilla toimintamalleilla, organisaatio voi ehkäistä virheiden tapahtumista ja minimoida vahinkoja.

Organisaatiot voivat lisätä henkilöstön tietoturvatietoisuutta esimerkiksi tietoturvakoulutuksilla ja kyberharjoittelulla. Kyberturvallisuuskeskus julkaisi viime viikolla ohjeen muodossa organisaatioille suunnattuja vinkkejä tietoturvakoulutusten suunnitteluun. Ohjeeseen on koostettu tietoturvaan liittyviä teemoja, jotka olisi hyvä kouluttaa henkilöstölle, sekä vinkkejä itse suunnitteluprosessiin.

Kriittinen haavoittuvuus Qlik Sense -tuotteessa

CVE: CVE-2023-48365
CVSS: 9.6
Mikä: Haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle oikeuksien korottamisen sekä mielivaltaisen koodin suorittamisen Qlik Sensen arkiston (repository) taustapalvelimella. Haavoittuvuutta tiedetään jo käytetyn kiristyshaittaohjelmahyökkäyksiin. 
Tuote: Qlik Sense Enterprise for Windows
Korjaus: Korjaavan päivityksen asentaminen