Kyberturvallisuuskeskuksen viikkokatsaus - 48/2025

Nyt valppaana verkossa! Tunnista ja torju digihuijaukset -yleisötilaisuus Oodissa 2. joulukuuta

Millaisiin rikollisten tekemiin huijauksiin voimme törmätä verkossa ja sosiaalisessa mediassa? Miten rikollisten käyttämät huijaustekniikat ovat muuttuneet ja kehittyneet kuluneen vuoden aikana ja mitä on odotettavissa vuonna 2026? Miten verkkopetoksia torjutaan ja mitä meistä jokainen voi tehdä huijauksilta suojautumiseksi?

Muun muassa näitä teemoja käsitellään Traficomin Kyberturvallisuuskeskuksen, Poliisin, Digi- ja väestötietoviraston sekä Aalto-yliopiston Nyt valppaana verkossa! Tunnista ja torju digihuijaukset -yleisötilaisuudessa Helsingin keskustakirjasto Oodin Maijansalissa 2. joulukuuta klo 11.30-13.00.

Tilaisuus on kaikille avoin ja striimataan myös Yle Areenaan. Helsingin keskustakirjasto Oodi sijaitsee Töölönlahdella osoitteessa Töölönlahdenkatu 4

Tilaisuus alkaa klo 11.30 keskustelulla kyberturvallisuudesta kirjallisuudessa, jossa vieraina ovat kirjailijat Helena Immonen ja Christian Rönnbacka. Haastattelijana toimii Marianne Lindroth Aalto-yliopistosta.

klo 12.00 jatketaan aiheella Havaintoja huijareista ja huijauksista, jossa Merja Mähkä ja Sonja Nylander jakavat kokemuksiaan. Keskustelua johdattaa Kimmo Rousku Digi- ja väestötietovirastosta. 

Tilaisuuden lopuksi klo 12.30–13.00 kuullaan viranomaisten ajankohtaiset vinkit turvalliseen joulukauteen, mukana asiantuntijat Traficomin Kyberturvallisuuskeskuksesta, poliisista, Aalto-yliopistosta sekä Digi- ja väestötietovirastosta.

Verkkokauppojen maksusivut hyökkäysten kohteena – näin digitaalinen skimmaus toimii

Digitaalisessa skimmaamisessa verkkokauppaan ujutetaan haitallista koodia, joka kerää asiakkaiden maksutietoja heidän huomaamattaan. Usein hyökkäys mahdollistuu sivustolle ujutettavan skriptin tai verkkokaupan lisäosan kautta. Sivustolle ujutettu haitake aktivoituu asiakkaan siirtyessä maksusivulle ja se välittää maksutiedot suoraan rikollisille.

Verkkokauppa-alustojen lisäosien laaja käyttö ja puutteellinen päivitysprosessi voivat mahdollistaa rikollisille haitallisen koodin ujuttamisen. Vaikeasti havaittavan tästä ilmiöstä tekee se, että verkkokaupassa asioivat asiakkaat eivät useinkaan huomaa mitään poikkeavaa maksuprosessissa. Verkkokauppatilaus voi näyttää sujuneen normaalisti, vaikka ostotapahtuman ohessa maksutiedot on varastettu.

Verkkokauppojen omistajien on hyvä käyttää työkaluja, jotka valvovat verkkosivuston tiedostoja ja havaitsevat niissä muutoksia kuten muokattuja tai uusia tiedostoja. Lisäksi kannattaa tarkkailla muita merkkejä kuten maksuteitojen ohjautumista tuntemattomaan verkkotunnukseen ja epätavallisia HTTP-pyyntöjä. Lisäksi verkkokauppa-alusta sekä sen lisäosat on hyvä pitää päivitettyinä.

Lue lisää tavoista ennaltaehkäistä digitaalista skimmausta tällä viikolla julkaistusta Tietoturva Nyt! -artikkelista:

BadBox 2.0 -haittaohjelmaan altistavat laitteet myös myynnissä tunnetuissa Yhdysvaltalaisissa kauppaketjuissa

Kuluttajamarkkinoilla on havaittu valmiiksi haittaohjelmalla saastuneita Android-älylaitteita. Ongelma koskee erityisesti Android-pohjaisia televisioita, TV-bokseja ja muita päätelaitteita, joita kuluttajat käyttävät kotiverkoissaan. Haittaohjelman asentamista varten laitteisiin on upotettu takaovi jo tuotantoketjussa, eikä sitä voi poistaa. Tämän tyyppisistä haittaohjelmista kuluneena vuonna merkittävin on ollut BadBox 2.0.

BadBox 2.0 edustaa uhkaa, joka alkaa jo ennen kuin käyttäjä edes käynnistää laitteen. Kyseessä on haittaohjelmakampanja, jossa haitallinen koodi on esiasennettu Android-laitteisiin, kuten Android TV-laatikoihin, tabletteihin tai älylaitteisiin, joita myydään eri verkkokaupoissa ja jakelukanavissa.

Nyt haittaohjelmaa sisältävät tuotteet ovat rantautuneet myös tunnettuihin Yhdysvaltalaisiin jälleenmyyjiin, kuten Walmart- sekä BestBuy-kauppaketjuun. Näissä ketjuissa on myynnissä erilaisia Android TV -laitteita, jotka eivät ole Googlen sertifioimia ja tarjoavat "ilmaisia" suoratoistopalveluita. Nämä laitteet kuitenkin ohittavat virallisen Android TV-laitteen suojaustoimenpiteet ja mahdollistavat laitteen liittämisen osaksi bottiverkkoa.

Kyberturvallisuuskeskus suosittelee kuluttajaa tutustumaan tarkasti tilattavaan laitteeseen ja suosimaan EU-markkinoilla olevia luotettavia liikkeitä ja laitevalmistajia. Teleoperaattorit aktiivisesti myös ottavat yhteyttä liittymän haltijaan mikäli tämän verkkoliittymässä havaitaan haitallista liikennettä. Jos laite kuulostaa liian hyvältä tai halvalta ollakseen totta, on näissä mahdollisesti riskejä esimerkiksi haittaohjelman muodossa.

Uusi Shai Hulud -mato leviää kehittäjäympäristöissä ja varastaa käyttöoikeustietoja

Tällä viikolla on uutisoitu laajasti uuden haittaohjelman leviämisestä NPM-ekosysteemissä. Kyseessä on npm-mato, joka leviää nopeasti kehittäjäympäristöissä, kun käyttäjä asentaa saastuneen npm-kirjaston. Haittakoodi käynnistyy paketin asennuksen yhteydessä ilman käyttäjän toimenpiteitä.

Saatuaan jalansijan mato etsii TruffleHog-työkalun kaltaisilla menetelmillä salaisuuksia, kuten API-avaimia, GitHub- ja npm-tunnuksia sekä pilvipalveluiden käyttöoikeustietoja. Löytämänsä tiedot se julkaisee satunnaisesti nimettyyn julkiseen GitHub-repositorioon. Tämän jälkeen mato pyrkii leviämään eteenpäin.

Hyökkäyksen kohteeksi ei valikoiduta yksilöllisten tekijöiden perusteella, vaan altistuminen tapahtuu, jos projekti käyttää tartunnan saaneita riippuvuuksia. Tartuntoja on havaittu muun muassa Zapierin, ENS Domainsin, PostHogin ja Postmanin julkaisemissa paketeissa, ja uusia tapauksia tunnistetaan jatkuvasti.

Tartuntojen havaitsemiseksi ja estämiseksi organisaatioiden tulisi tarkistaa koko kehitysinfrastruktuurinsa epäilyttävien merkkien varalta. Erityisesti tulisi etsiä tunnettuja tartunnan saaneita paketteja. Tartunnan saaneet paketit tulisi poistaa välittömästi ja automaattiset pakettipäivitykset tulisi kytkeä tilapäisesti pois päältä. Tartuntaepäilyn sattuessa ylläpitäjien tulisi kierrättää kaikki käyttöoikeustiedot. Suosittelemme ottamaan käyttöön monivaiheisen tunnistautumisen kaikilla kehittäjä- ja automaatiotileillä sekä käyttämään lyhytikäisiä, rajattuihin oikeuksiin sidottuja tunnuksia.

Kyberturvallisuuskeskus vastaanottaa mielellään ilmiöön liittyviä havaintoja. Lue lisää  Shai-Hulud-hyökkäyksen toisesta aallosta tällä viikolla julkaiseamstamme Tietoturva Nyt! -artikkelista:

Microsoft 365 -tilimurroista kertova varoitus on poistettu

Suomalaisten organisaatioiden Microsoft 365 -tilejä kaapataan edelleen tietojenkalastelun seurauksena. Tapausten mittavasta kasvusta johtuen Kyberturvallisuuskeskus julkaisi asiasta 9.9.2025 vakavan varoituksen. Kalasteluviestit voivat olla erittäin haastavia tunnistaa ja siksi tilimurroilta tulee suojautua ottamalla käyttöön M365-ympäristön turvallisuustoimintoja organisaatiotasolla.

Kyberturvallisuuskeskukselle ilmoitettujen M365-tilimurtotapausten määrä on tasoittunut ja varoitus poistetaan, mutta M365-tilimurtojen uhka säilyy siitä huolimatta. Vuoden 2025 elokuussa tapauksia ilmoitettiin 71, syyskuussa 117, lokakuussa 125 ja marraskuussa noin 70 kappaletta. Kyberturvallisuuskeskus on julkaissut ohjeita M365-ympäristön suojauksen parantamiseksi.

Viikon haittaohjelmanosto: PromptLock

PromptLock edustaa uudenlaista, generatiivista tekoälyä hyödyntävää kiristyshaittaohjelmaa, joka voi muuttaa merkittävästi kyberrikollisuuden toimintatapoja. Haittaohjelma käyttää paikallisesti ajettavaa kielimallia tuottaakseen haitallisia Lua-skriptejä reaaliaikaisesti ja valitsee autonomisesti, mitä tiedostoja se etsii, kopioi tai salaa. PromptLockin luomat skriptit toimivat useilla alustoilla, kuten Windowsissa, Linuxissa ja macOS:ssä, mikä lisää sen monikäyttöisyyttä ja leviämispotentiaalia.

PromptLock perustuu ennalta määriteltyihin tekstikehotteisiin eli “prompteihin”, joiden perusteella se määrittää tehtävän toiminnon, esimerkiksi tietojen exfiltraation tai salauksen. Teknisesti PromptLock käyttää SPECK 128 -salausalgoritmia ja on kirjoitettu Golangilla. Ensimmäisiä variantteja on jo havaittu VirusTotal-palvelussa, mikä kertoo aktiivisesta kehityksestä.

PromptLock -haittaohjelma on toistaiseksi konseptitasoinen, eikä tätä ole havaittu aktiivisesti käytettävän, mutta tekoälyn mahdollistamia uusia haittaohjelmia PromptLockin myötä aktiivisesti kehitetään. Tekoälyn hyödyntäminen automatisoi haittakoodin tuottamista ja vähentää tarvetta kokeneille rikollisryhmille.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.