Kyberturvallisuuskeskuksen viikkokatsaus - 49/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Rikolliset pelottelevat veronpalautusten peruutuksella
• Akira-kiristyshaittaohjelma myös kotimaisten organisaatioiden riesana
• Lomakauden sijaisuudet täytyy muistaa myös jouluna
• Haavoittuvuudet

Rikolliset pelottelevat veronpalautusten peruutuksella

Joulukuun alussa veronpalautukset ovat jälleen ajankohtainen aihe monille suomalaisille. Myös verkkorikolliset ovat kartalla verottajan kalenterista.

Kyberturvallisuuskeskus on saanut viikon aikana lukuisia ilmoituksia tekstiviestitse välitetyistä huijausviesteistä, joissa kerrotaan vastaanottajan 4.12. maksettavien veronpalautusten peruuntuneen. Viesteissä kehotetaan vastaanottajaa lukemaan lisää viestissä olevasta linkistä. Linkin takaa aukeavalla sivustolla houkutellaan tunnistautumaan verkkopankkitunnuksilla ja siten luovuttamaan ne rikollisten käyttöön.

Verohallinto ei koskaan lähetä viestejä, joissa on mukana linkki. Kaikki verkkoasiointi verottajan kanssa tapahtuu OmaVero-palvelussa, jonne tulee kirjautua Verohallinnon omien verkkosivujen kautta.

OmaVero-palveluun ja muihinkin verkkopalveluihin tulisi mennä suoraan kyseisen tahon sivuilta, eikä hakea niitä hakukoneiden kautta. Hakukoneoptimoinnilla sekä maksetuilla mainoksilla rikolliset voivat saada omat valesivustonsa hakutuloksissa korkeammalle kuin viralliset sivustot.

Akira-kiristyshaittaohjelma myös kotimaisten organisaatioiden riesana

Kyberturvallisuuskeskuksen tiedossa on seitsemän kiristyshaittaohjelma Akiran uhria kotimaassa vuodelta 2023. Akiran on havaittu hyväksikäyttävän tuoreimmissa tapauksissa syksyistä Ciscon verkkolaitehaavoittuvuutta CVE-2023-20269, kerrotaan BleepingComputerin artikkelissa (Ulkoinen linkki). Kerroimme viikkokatsauksessa 24/2023 , että Akiran on havaittu salaavan esimerkiksi virtuaalikoneiden eri tiedostotyyppejä, jotka voivat toimia varmuuskopioina.

Päivittämättä jääneet internetiin näkyvät laitteet tai palvelut ovat usein kiristyshaittaohjelmatapausten juurisyy. Etenkin haavoittuvuuksien ripeä korjaus tai päivittäminen on ensiarvoisen tärkeää kiristyshaittaohjelmien torjumisessa. Kyberturvallisuuskeskus kartoittaa ja kontaktoi haavoittuvia palveluita verkosta, mutta vastuu palveluiden osalta on kuitenkin organisaatioilla tai palveluntarjoajilla. Haavoittuvuuksien hyväksikäyttö nopeutuu joka vuosi, mikä tarkoittaa myös organisaatioiden osalta prosessien tarkastelua ja toimien ripeyttä.

Kyberturvallisuuskeskuksen tiedossa on yli 30 kiristyshaittaohjelmatapausta kotimaisten organisaatioiden osalta vuonna 2023. Teollisuussektori ja ICT-palveluntarjoajat ovat olleet tämän vuoden suosituin kohde ilmoitusten perusteella. Voit lukea lisää marraskuisesta artikkelistamme . 

Lomakauden sijaisuudet täytyy muistaa myös jouluna

Joulun lomakauden lähestyessä Kyberturvallisuuskeskus muistuttaa yrityksiä ja organisaatioita huolehtimaan tarvittavista sijaisjärjestelyistä. Lomakaudet ovat sesonkiaikaa rikollisille, sillä yritykset toimivat usein normaalia vajaammilla resursseilla ja eri toiminnoissa saatetaan hyödyntää vakihenkilöstöä tuuraavia sijaisia.

Esimerkiksi yritysten rahaliikenteeseen kohdistuvien huijausten on havaittu kasvavan lomakausien aikana. Lomatuuraajaa saatetaan lähestyä toimitusjohtajan tai yhteistyökumppanin nimissä vilpillisellä sähköpostilla, jossa kehotetaan maksamaan laskuja tai siirtämään rahaa. Sähköpostin jälkeen huijari saattaa soittaa viestin saajalle tehostaakseen huijauksen uskottavuutta. Usein laskutushuijauksiin liittyy myös kiireen tuntu: maksu pitää hoitaa nopeasti ja viestin vastaanottaja on ainoa henkilö, joka voi hoitaa asian.

Huijausyrityksen kohteeksi voi joutua mikä tahansa organisaatio. Sähköpostitse tulevien maksupyyntöjen kanssa onkin hyvä olla tarkkana ja tarkistaa matalla kynnyksellä epäselvät tapaukset puhelimitse laskuttajan alkuperäisiä yhteystietoja käyttämällä.

Tavanomaisten maksamiseen ja tietoturvaan liittyvien prosessien on tärkeää pyöriä normaalisti myös loma-aikaan. Lomatuurajien perehdyttäminen sijaistustehtäviinsä on tärkeää, samoin kuin siihen liittyvien ohjeiden ja dokumentaation pitäminen ajan tasalla ja saatavilla. Lomakausien suunnittelussa on hyvä ottaa huomioon myös päätöksentekoprosessi ja varmistaa, että se on sijaistajilla tiedossa. Virheitäkin voi sattua, joten poikkeamanhallintaprosessin on hyvä olla koko henkilöstöllä tiedossa. Kaikkien olisi myös hyvä tietää, kuka voi auttaa poikkeamatapauksissa. Nopealla reagoinnilla on mahdollista pysäyttää virheellinen maksusuoritus.

On myös hyvä muistaa, että yrityksen tietoturvaan vaikuttavia kriittisiä päivityksiä julkaistaan loma-aikanakin. Kriittisten haavoittuvuuksien päivittäminen on tärkeää suorittaa mahdollisimman nopeasti, sillä rikolliset pyrkivät aktiivisesti hyväksikäyttämään haavoittuvuuksia heti niiden julkistamisen jälkeen. Päivitysten lykkäämisestä voi seurata esimerkiksi rikollisten suorittama hyökkäys yrityksen tietojärjestelmään haavoittuvuutta hyödyntäen. Myös jo päivitetyt järjestelmät ovat tarpeen tarkistaa sen varalta, että haavoittuvuutta on ehditty käyttämään hyväksi jo ennen päivitystä.

Kyberturvallisuuskeskus jakaa päivittäin haavoittuvuuskoosteen, johon kokoamme uusimmat julkitulleet haavoittuvuudet. Merkittävimmistä haavoittuvuuksista julkaisemme myös erillisen tiedotteen. Ajantasaisimman tiedon käytössäsi olevien laitteiden ja ohjelmistojen päivityksistä saat tuotevalmistajalta.

Haavoittuvuudet

CVE: 9.8
CVSS: CVE‑2022‑1471, CVE‑2023‑22522, CVE‑2023‑22523, CVE‑2023‑22524
Mikä: Vakavia mielivaltaisen koodin suorittamisen mahdollistavia haavoittuvuuksia Atlassianin tuotteissa
Tuote: Atlassianin Bitbucket, Confluence ja Jira-tuotteet
Korjaus: Korjaava ohjelmistopäivitys
Haavoittuvuustiedote: https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_29/2023