Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Turvapostiteemaiset kalasteluviestit johtavat sähköpostitilimurtoihin

Tietoturva Nyt!

Julkaistu

Kyberturvallisuuskeskus on vastaanottanut alkuvuonna merkittävän määrän ilmoituksia turvapostiteemaisista kalasteluviesteistä. Uusi kampanja käynnistyi aktiivisena huhtikuun puolivälissä ja murrettuja sähköpostitilejä on havaittu Kyberturvallisuuskeskuksen tilastojen mukaan 20:ssa eri organisaatiossa. Turvapostiteemaisia kalasteluviestejä on lähetetty Suomessa huhtikuussa Kyberturvallisuuskeskuksen arvion mukaan viisinumeroinen määrä. Monivaiheisen tunnistautumisen käyttöönotto on edelleen tehokas keino tilimurtojen estämiseen.

Useiden suomalaisten organisaatioiden Microsoft 365 -käyttäjätileille on taas murtauduttu

Erityisesti kuntasektori ja julkishallinto korostuvat tilastoissa. Murrettuja tilejä käytetään tuhansien uusien tunnuskalasteluviestien lähettämiseen ja esimerkiksi laskutuspetosten yrityksiin. Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita viestimään sisäisesti kalasteluviestien uhista. Suosittelemme käyttämään kaksivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä.

Sähköpostitse lähetettyjä kalasteluviestejä on väärennetty alkuvuonna näyttämään turvaposti-ilmoituksilta, joihin on lisätty esimerkiksi kuntien, Kansaneläkelaitoksen, lääkäriaseman, hyvinvointialueen tai vakuutusyhtiön logo. Tärkeäksi turvapostiksi naamioitu huijausviesti houkuttelee vastaanottajaa syöttämään sähköpostitunnuksen ja salasanan huijarin hallitsemalle kalastelusivulle. Kalastelun uhri luulee syöttävänsä tunnuksia esimerkiksi Microsoft 365 -kirjautumissivulle, mutta tunnukset päätyvätkin rikollisen haltuun.

Yrityssähköpostitilien murrot kuukausittain. Suurin osa murroista koskee M365-tilimurtoja.

Otsikot ja viestipohjat vaihtelevat

Viestien otsikoissa on havaittu viimeaikoina esimerkiksi sanoa muistutus, matkalippu, tilaus, lasku tai hakija, ja ne sisältävät aidonnäköisen turvapostipohjan linkkeineen. Huhtikuun aikana turvapostiteemaisia kalasteluviestejä on lähetetty arviomme mukaan viisinumeroinen määrä Suomessa.

Lähiviikkoina huijareiden on havaittu vaihtavan turvapostikalastelujen viestipohjaa uuden tietomurron onnistuessa. Tällöin murretulta sähköpostitililtä lähetetään samaa turvapostikalasteluviestiä, mutta murretun organisaation logolla. Kalastelijat kehittävät jatkuvasti toimintaansa paremman saaliin toivossa.

Turvapostiteemainen kalasteluviesti
Esimerkki turvapostikalasteluviestistä. Useissa tapauksissa viesteihin on lisätty murretun organisaation logo. Tämänkaltainen aito turvaposti ei pyydä avatessa käyttäjätunnusta ja salasanaa. Kalastelijan turvapostit ohjaavat kuitenkin usein sivulle, jolla niitä pyydetään.

Kalasteluviestit lähetetään usein murretun sähköpostitunnuksen aiemmille kontakteille ja yhteystiedoista löytyville henkilöille

Myös tästä syystä viesti saattaa vaikuttaa uskottavalta ja viestit leviävät nopeasti. Jos siis olet kalasteluviestin vastaanottajana, se ei tarkoita, että viesti olisi juuri sinulle erityisesti kohdennettu. Ilmoitathan epäilyttävästä viestistä organisaatiosi tietoturvasta vastaaville tahoille ennalta sovittujen prosessien mukaisesti. Suosittelemme ilmoittamaan asiasta myös Kyberturvallisuuskeskukselle.

"Ilmoitusten perusteella teemme haitallisille sivustoille alasajopyyntöjä ja keräämme tilannekuvaa ilmiön tilanteesta ja aktiivisuudesta Suomessa. Olemme tarvittaessa yhteydessä uhriorganisaatioon, mikäli ilmoitus kalasteluviestistä tuli kolmannelta osapuolelta", kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Satu Kurunsaari.

Yritysten ja muiden organisaatioiden kaapatut sähköpostitilit ovat rikollisille rahanarvoisia hyödykkeitä. Rikollinen asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata. Laskutuspetoksiin rikolliset käyttävät sellaisia sähköpostitilejä, joissa käsitellään mm. laskuja tai rahaliikennettä. Hallintaan saatuja kiinnostavien organisaatioiden tilejä ostetaan ja myydään rikollisten foorumeilla ja loput tilit käytetään uusien kalasteluviestien levittämiseen osoitekirjasta löytyville henkilöille. Tutusta osoitteesta tuleva huijausviesti luetaan varmemmin kuin sattumanvarainen roskaposti.

kalasivu
Aidonnäköiset turvapostikalasteluviestit vievät klikkaajan esimerkiksi aidonnäköiselle Microsoft-teemaiselle kalastelusivulle. Eroja aitoon sivuun on kuitenkin havaittavissa esimerkiksi osoiteriviltä tai kalastajan käyttämistä erilaisista fonttityyleistä.

Kyberturvallisuuskeskus tarkistaa vastaanotetut ilmoitukset linkkeineen

Tarvittaessa haitalliselle sivustolle tehdään alasajopyyntö ja olemme yhteydessä organisaatioon, jonka murretulta sähköpostitililtä on lähetetty kalasteluviestejä eteenpäin. Avoimuutta ei voi liikaa korostaa - tilimurrosta on syytä ilmoittaa välittömästi omalle organisaatiolle sekä sähköpostista löytyville yhteystiedoille. Tarvittaessa tapauksesta voi viestiä myös organisaation verkkosivuilla.

Erilaiset huijaukset ja kalastelut on hyvä ilmoittaa Kyberturvallisuuskeskukselle. Ilmoittamalla parannatte kansallista tilannekuvaa ja autatte muita organisaatioita. Kyberturvallisuuskeskuksen tekemät alasajopyynnöt haitallisille verkkosivuille katkaisevat kalastelukampanjalta siimat ja Kyberturvallisuuskeskus ottaa yhteyttä murrettuihin organisaatioihin tarkistaakseen, onko tapaus huomattu ja tarvitseeko organisaatio apua.

turvakalaesimerkki
Esimerkki turvaposti-ilmoituksesta. Usein kalastaja on vaihtanut murretun organisaation logon uuteen turvapostipohjaan, jota levitetään murretulta tililtä yhteystiedoille.

Ota monivaiheinen tunnistautuminen käyttöön nyt

"Kaksi- tai monivaiheinen tunnistautuminen on edelleen tehokas keino torjua tilimurtoja ja estää kalastelujen onnistuminen. Jos organisaatiossa on lykätty monivaiheisen tunnistautumisen käyttöönottoa, on viimeistään nyt syytä kiirehtiä sen kanssa", sanoo Kyberturvallisuuskeskuksen erityisasiantuntija Jere Finne.

Organisaatioiden tulee viipymättä ottaa monivaiheinen tunnistautuminen käyttöön vähintään kaikissa ulkoisten yhteyksien kautta käytettävissä palveluissa, kuten pilvipohjaisissa sähköpostipalveluissa.

Monivaiheisella tunnistautumisella tarkoitetaan palveluun kirjautuvan käyttäjän todentamista useammalla eri tunnistautumismenetelmällä. Käytännössä tämä tarkoittaa sitä, että käyttäjätunnuksen ja salasanan syöttämisen jälkeen kirjautuminen varmistetaan vielä palveluun liitetyllä älypuhelimella toimivalla sovelluksella, jossa periaate on samankaltainen kuin pankkipalveluihin kirjautumisessa.

Monivaiheisen tunnistautumisen käyttöönotto on tehtävä ensin teknisten henkilöiden toimesta, ennen kuin se voidaan ottaa käyttöön peruskäyttäjillä. Ylläpito voi myös ohjatusti pakottaa kaikki käyttäjät siirtymään monivaiheiseen tunnistautumiseen. Vähintään organisaation kriittisille toimijoille tulee ottaa käyttöön mahdollisimman tehokas monivaiheinen tunnistautuminen. Kevein ratkaisu on SMS-pohjainen, tämän jälkeen tulevat erilaiset todennussovellukset ja lopuksi ns. FIDO-standardin mukainen WebAuthn.

 

Lue lisää sivuiltamme monivaiheisesta tunnistautumisesta (Ulkoinen linkki)
Kerroimme ilmiöstä myös Viikkokatsauksessa 16/2023 (Ulkoinen linkki)