Teknologia

Sähköposti näytti aidolta, ja siksi niin moni suomalainen työn­tekijä menee lankaan – Näin tunnistat rikollisten kalastelu­yritykset, joita tulee nyt jatkuvalla syötöllä

”Tämä vaikuttaa olevan uusi normaali”, sanoo tietoturva-asiantuntija Perttu Halonen Viestintäviraston kyberturvallisuuskeskuksesta.

Rikolliset ovat kalastelleet suomalaisten yritysten työntekijöiden Microsoft Office 365 -käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla keväästä asti poikkeuksellisen runsaasti.

”Alkukesästä tilanne suorastaan räjähti käsiin”, sanoo tietoturva-asiantuntija Perttu Halonen Viestintäviraston kyberturvallisuuskeskuksesta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tuolloin rikolliset olivat saada esimerkiksi kymmenien miljoonien eurojen ryöstösaaliin huijauksella, joka alkoi työntekijöiden Office 365 -sähköposteihin murtautumalla.

Viestintäviraston kyberturvallisuuskeskuksella on ollut Office 365 -tietojenkalasteluista ja tietomurroista varoitus voimassa nyt jo yli viisi kuukautta. Varoituksen taso on vaihdellut kriittisen ja vakavan eli korkeimman ja toiseksi korkeimman tason välillä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Mikään muu varoitus ei ole ollut ikinä ennen näin pitkään voimassa. Tämä vaikuttaa olevan uusi normaali, että Office 365 -tunnuksia kalastellaan ja murretaan liukuhihnatyyppisesti. Tietojenkalastelussa on kyse enemmän ihmisten manipuloinnista kuin tietotekniikasta. Siksi ongelmaan ei ole nopeaa teknistä ratkaisua.”

Huijausviestejä on lähetelty Suomessa ainakin satoja tuhansia, ja tietomurtoja yrittävät Halosen mukaan tehdä oletettavasti useammat eri ryhmät.

”Ne muuttavat koko ajan hiukan toimintatapojaan.”
Mainos (Teksti jatkuu alla)
Mainos päättyy

Office 365 -tunnukset ovat Halosen mukaan rikollisten kohteena kolmesta syystä:

1. Oleellisin on se, että Microsoftin Office 365 -ohjelmistot ovat erittäin yleisesti yrityksissä käytössä, joten mahdollisten uhrien määrä on suuri. Rikollisten ajatus on, että kun käyttäjiä on tarpeeksi, aina joku haksahtaa.

2. Microsoft on tehnyt edellisen sukupolven Office-tuotteisiin verrattuna ison muutoksen palvelurakenteeseen. Nykyään Office-tuotteet ovat pilvipohjaisia. Sen takia on täysin tavanomaista kirjautua tietokoneen selaimella tai muilla laitteilla Onedrive- tai Sharepoint-pilvipalveluihin, eikä siksi tule välttämättä huomanneeksi joutuneensa sen sijaan tietojenkalastelusivustolle.

Pilvipohjaisuus tarkoittaa myös sitä, että kuka tahansa voi kirjautua palveluun mistä tahansa päin internetiä. Vielä muutama vuosi sitten palvelut olivat enimmäkseen käytössä yrityksien sisäverkossa, eli niihin kirjautuakseen täytyi olla toimistolla tai yhteyksissä sinne vahvasti suojatulla etäyhteydellä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tilanteeseen voi vaikuttaa myös se, että pilvipalveluissa yritysten on hankalampi havaita väärinkäytöksiä ja korjata tilanteita, kun ne huomataan.

3. Office 365- tunnus on käytännössä yleisavain yrityksen tietojärjestelmiin.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Varsinaiset tietojenkalastelut ja sitä seuraavat tietomurrot tapahtuvat kuitenkin yleensä siksi, että rikolliset onnistuvat huijaamaan työntekijöitä. Eikä se ole ihme, sillä huijausyritykset on nykyään monesti todella taidokkaasti rakennettu.

Viime viikolla HS kertoi, miten voi luoda salasanan, jota on nykyteknologialla käytännössä mahdotonta murtaa. Hyvän salasanan tärkein ominaisuus on pituus, joten olisi itse asiassa parempi puhua salalauseesta.

Hyvästäkään salasanasta ei tietenkään ole hyötyä, jos sen itse antaa rikollisille.

Ennen ohjeeksi riitti melkeinpä se, että älä avaa epäilyttävää sähköpostin liitetiedostoa. Nykyään tietojenkalasteluviestiä ei välttämättä erota aidosta millään.

Sen takia jokaisen pitää muistaa tämä yksinkertainen sääntö työsähköpostia käyttäessään: Jos avaat sähköpostilla lähetetyn linkin, älä koskaan syötä sivustolle salasanaasi, ellet ole täysin varma, että kyseessä on yrityksesi palvelu.

Sama periaate pätee toki myös henkilökohtaista sähköpostia käyttäessä.

Tyypillisesti Office 365 -tietojenkalastelussa lähettäjä haluaa jakaa kanssasi tiedoston Onedrive- tai Sharepoint-pilvipalveluissa, tai saat viestin että lähettämäsi sähköpostit eivät mene perille. Yksi tapa on myös ilmoitus saapuneesta luottamuksellisesta viestistä eli niin sanotusta turvapostista.

Näissä kaikissa tapauksissa viestissä on linkki, joka vie kirjautumissivulle.

Myös ihan perinteinen sähköpostin liitetiedosto on edelleen käytetty tietojenkalastelukikka. Tällöin liitteenä oleva Office-tiedosto sisältää niin sanottuja komentojonoja. Ne puolestaan sisältävät tyypillisesti käyttäjälle kehotuksen syöttää käyttäjätunnus ja salasana, jotta ohjelma voi näyttää tiedoston sisällön.

Tätä kautta rikolliset yrittävät usein levittää koneisiin myös haittaohjelmia.

Itse viesti voi olla kirjoitettu hyvällä suomella, tulla tutulta lähettäjältä täysin oikeasta osoitteesta ja vaikuttaa sisällöltään aivan asialliselta

Linkin klikkaamisen jälkeen voi päätyä kirjautumissivulle, joka voi näyttää lähes identtiseltä aidon sivuston kanssa. Sivuston osoitteessa voi olla esimerkiksi vain yhden kirjaimen ero, vaikkapa l-kirjain korvattu numerolla 1.

”Toissakesänä oli oikein kampanja tällaisten samankaltaisten verkkotunnusten rekisteröimiseksi.”

Yleensä rikolliset kuitenkin näkevät vähemmän vaivaa, ja osoiterivit poikkeavat selvästi Microsoftin tai organisaation oman Office 365 -palvelun osoitteesta, Halonen kertoo.

Salasanan voi tulla vuotaneeksi myös täysin töihin liittymättömällä tietojenkalastelusivustolla, jos käyttää työsähköpostin salasanaa jossain muissakin verkkopalveluissa.

Yhtä oleellista kuin salasanan pituus on se, että se on käytössä ainoastaan yhdessä palvelussa.

Kun tietojenkalastelusivulle sitten kirjoittaa oman Office 365 -käyttäjätunnuksensa ja salasanansa, se usein kirjaa automaattisesti käyttäjän saman tien oikealle sivulle. Tällöin työntekijä ei välttämättä huomaa mitään, eikä tule ajatelleeksikaan, että on juuri joutunut tietojenkalastelun uhriksi.

Tänä päivänäkään kaikki tietojenkalusteluyritykset eivät ole loppuun asti näin taidokkaita.

Työntekijöiden Office 365 -tunnuksia kalastellaan sekä massaviesteillä että tarkasti tietyille ihmisille kohdennettuina sähköposteina. Kohdennetuissa viesteissä tähtäimessä on yleensä johtajat sekä yritysten rahaliikenteestä vastaavat.

Näistä varoitusmerkeistä tunnistat tietojenkalastelun

1. Lähettäjän sähköpostiosoite näyttää erikoiselta. Se voi myös olla vain hitusen väärin kirjoitettu – aivan kuten tietojenkalastelusivustoilla, esimerkiksi o-kirjain on voitu korvata numerolla 0.

Erityisen tarkkana pitää olla, kun lukee sähköposteja puhelimella. Esimerkiksi iPhoneissa ei näy kuin lähettäjän nimi, ja vasta nimeä klikkaamalla näkee lähettäjän varsinaisen sähköpostiosoitteen. Lähettäjän nimen väärentäminen on helppoa, eikä se vielä kerro, keneltä viesti on tullut.

2. Jos saat toimia vaativan viestin kovin yllättäen. Erityisen tarkkana pitää olla silloin, jos viestissä vaaditaan välittömiä tai kiireellisiä toimenpiteitä.

3. Kirjoitusvirheet. Erityisesti suomeksi kirjoitetut huijausviestit ovat edelleen usein kielellisesti kömpelöitä, vaikka päinvastaisiakin tapauksia on.

4. Kaikki viestit, joissa pyydetään vahvistamaan tai päivittämään käyttäjätili, ellet ole itse nimenomaan esimerkiksi juuri pyytänyt uutta salasanaa sähköpostiisi unohtuneen tilalle.

5. Linkki minne tahansa sivustolle, joka vaatii käyttäjätunnustasi ja salasanaasi.

Jos viesti vaikuttaa aidolta mutta epäilyttää, mitä pitäisi tehdä sen sijaan, että klikkaa linkkiä?

Ota yhteyttä lähettäjään jotain muuta kautta kuin vastaamalla kyseiseen viestiin. Voit soittaa, lähettää tekstiviestin, käyttää pikaviestipalvelua, tavata tai lähettää kokonaan erillisen sähköpostin ja varmistaa asian.

Voit myös vierailla sivustolla kirjoittamalla sen osoitteen. Älä siis seuraa linkkiä, vaan kirjaudu kyseiseen verkkopalveluun selaimen tai sovelluksen kautta.

”Onhan tällainen varmistelu vähän digitalisaation eetoksen vastaista, kun asioita pitäisi saada teknologian ansiosta tehtyä enemmän ja nopeammin, mutta tällaista tämä on”, Viestintäviraston kyberturvallisuuskeskuksen tietoturva-asiantuntija Perttu Halonen sanoo.

Miten huijausviesti on ylipäänsä voinut tulla oikeasta osoitteesta ihmiseltä, jonka vielä mahdollisesti tuntee?

Kun rikolliset saavat jonkun käyttäjän tunnuksen ja salasanan tietojenkalastelusivulla, ne eivät välttämättä tee mitään näkyvää. Monesti he muuttavat sähköpostin uudelleenlähetysasetukset niin, että he näkevät kaikki työntekijän lähettämät ja vastaanottamat sähköpostit.

”Rikolliset saattavat seurata tilannetta kuukausienkin ajan.”

Tavoitteena on selvittää, kuinka iso ”pyydys” koukkuun on käynyt.

Kaapatulla tunnuksella ja salasanalla rikolliset pystyvät myös lähettämään viestejä kaapatun tilin nimissä. Vastaanottajalle ne näyttävät aivan samalta kuin kaikki muutkin kyseistä osoitteesta tulevat viestit.

Jos viesteissä sitten liikkuu laskuja, rikolliset voivat esimerkiksi lähettää viestiketjuun jonkun laskun uudestaan niin, että se on täysin identtinen, mutta vain tilinumero on eri ja kirjoittaa, kuinka edellisessä laskussa oli väärä tilinumero.

Tällaista viestiä voi olla vaikea hahmottaa huijaukseksi, kun se tulee tutulta lähettäjältä.

Tai tyhjästä luodussa huijauslaskuissa voi olla esimerkiksi tekaistu viestiketju mukana tai jäljitelty lähettäjän kirjoitustyyliä, joka on saatu selville hänen viestejään seuraamalla.

Huijausviesteissä käytetään muitakin erilaisia pieniä kikkoja, jotta ne vaikuttaisivat mahdollisimman aidolta. Niissä voi olla esimerkiksi allekirjoitus, että ne on lähetetty puhelimesta, mikä voisi selittää kirjoitusvirheitä, jotka muuten voisivat kiinnittää vastaanottajan huomion.

Mitä merkitystä tällaisilla tietomurroilla on ihmisille, jotka eivät käsittele maksuja, ole ylhäällä yhtiön hierarkiassa ja joiden sähköposti ei heidän mielestään sisällä mitään tärkeää?

Rikolliset saavat tällaisenkin työntekijän kautta pääsyn kaikkialle, minne yrityksen tietoihin tunnuksilla pääsee internetistä. Näillä tiedoilla voidaan yrittää kiristää yritykseltä rahaa.

Rikolliset myös myyvät käyttäjätietoja eteenpäin. Se voi johtaa hämmentäviin asioihin, kuten kiristysviesteihin, joissa huijarit väittivät kuvanneensa ihmisiä katsomassa pornoa koneillaan.

Lisäksi sähköposti sisältää kalenterin ja kontaktilistan, joiden kautta kalasteluyrityksiä jatketaan.

Kun rikolliset ovat paljastumassa, he lähettävät monesti kaappaamaltaan tililtä sen omistajan nimissä massaviestejä kaikille kontaktilistalla oleville ihmisille – ja sama ruljanssi saattaa jatkua, jos yksikin uusi vastaanottaja menee huijaukseen.

Halonen suosittelee kaikkien Office 365 -tuotteita käyttäviä yrityksien tietoturvavastaavia rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä. Samalla hän kehottaa ottamaan käyttöön kaksivaiheisen tunnistautumisen, jossa palveluihin kirjautumiseen vaaditaan jotain muutakin kuin tunnus ja salasana, esimerkiksi tekstiviestivarmennus.

Mutta jos ylläpito sallii kirjautumiset myös vanhoilla sovelluksilla, jotka eivät tue kaksivaiheista tunnistusta, suojauksen voi ohittaa. Tällaisia sähköpostisovelluksia on esimerkiksi monissa älypuhelimissa.

”Olemmekin tuskailleet sen kanssa, että tilanteeseen ei ole mitään yleispätevää teknistä ratkaisua.”

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Lesken oikeudet ovat suurin perinnön­jakoon liittyvä harha­käsitys – ”Kaiken­laiset epäilykset aiheuttavat verisiä riitoja”, sanoo asianajaja

    2. 2

      Yliopistot uhkaavat menettää lukuoikeuden tuhansien tiedelehtien artikkeleihin

    3. 3

      Suomeen on jo saattanut levitä uusi peto – ensi­havainto kulta­sakaalista voidaan tehdä hetkenä minä hyvänsä

    4. 4

      Maanantaina Suomessa voi nähdä harvinaisen kuunpimennyksen

    5. 5

      Ahtaasti asuminen on yleistymässä, ja Helsingin Alppilassa asuvat Estradat ovat siitä osoitus – neli­henkisen perheen kodissa on vain keittiö ja makuu­huone

    6. 6

      Kommentti: Poika­koulun oppilaat nöyryyttivät alkuperäis­kansan aktivistia – Video tapauksesta on herättänyt järkytystä, koska se kertoo Yhdys­valtojen poliittisesta ilmapiiristä

    7. 7

      Andy McCoyn korkea kuume ei haitannut – suomirockin ikoni Pelle Miljoona Oy kärsi ensin niveljäykkyydestä, mutta tarjosi lopulta suuren sukupolvikokemuksen

    8. 8

      Toimittaja Lea Pakkanen matkusti läpi Venäjän ja huomasi olevansa ruumiiden keskellä – Pienessä siperialais­kylässä valkeni Pakkasen suvun salaperäinen painajainen

      Tilaajille
    9. 9

      Keskellä Helsinkiä on talo, jonka lattian alta paljastui aikakapseli täynnä 300 vuoden takaista elämää

    10. 10

      Entä jos lentämisen sijasta matkustaisi Málagaan, Berliiniin tai New Yorkiin maitse ja meritse? Laskimme päästöt, hinnat ja matka-ajat

    11. Näytä lisää
    1. 1

      Keskellä Helsinkiä on talo, jonka lattian alta paljastui aikakapseli täynnä 300 vuoden takaista elämää

    2. 2

      Lähes kaikki kuntohiihtäjät sortuvat kahteen perusvirheeseen, jotka korjaamalla eteneminen helpottuisi hetkessä

    3. 3

      Entä jos lentämisen sijasta matkustaisi Málagaan, Berliiniin tai New Yorkiin maitse ja meritse? Laskimme päästöt, hinnat ja matka-ajat

    4. 4

      Toimittaja Lea Pakkanen matkusti läpi Venäjän ja huomasi olevansa ruumiiden keskellä – Pienessä siperialais­kylässä valkeni Pakkasen suvun salaperäinen painajainen

      Tilaajille
    5. 5

      Saara Aallon manageri HS:lle Spice Girls -jäsenyydestä: ”The Sun -lehden videosta löytyy kaikki informaatio” – mutta videolla ”Sporty Spice” nauraa tarjouksensa olevan vain vitsi

    6. 6

      Kommentti: Poika­koulun oppilaat nöyryyttivät alkuperäis­kansan aktivistia – Video tapauksesta on herättänyt järkytystä, koska se kertoo Yhdys­valtojen poliittisesta ilmapiiristä

    7. 7

      Mahdollisesti maailman suurin valkohai tallentui videolle Havaijilla – Sukeltajat pääsivät niin lähelle kuusimetristä jättiläistä, että pystyivät koskettamaan sitä

    8. 8

      Poliisi: Taksikuski tunkeutui asunnolle Turussa, asiakas joutui seksuaalirikoksen uhriksi

    9. 9

      Viihteen veteraani Danny teki virhearvion ja esitti jäähyväiskonsertissaan Vain elämää -hittejä – mutta vanhat iskelmäklassikot kuulostivat paremmilta kuin koskaan

    10. 10

      Ahtaasti asuminen on yleistymässä, ja Helsingin Alppilassa asuvat Estradat ovat siitä osoitus – neli­henkisen perheen kodissa on vain keittiö ja makuu­huone

    11. Näytä lisää
    1. 1

      Keksijänero loi miljardituotteen ja joutui tyttärensä syrjäyttämäksi – Suomalaista Polaria ja sen perustajan traagista kohtaloa ympäröi hiljaisuuden muuri

      Tilaajille
    2. 2

      Nämä sanat kannattaisi sanoa monelle vanhemmalle, vaikka minut ne saivatkin itkemään

    3. 3

      Vuoden paras Fingerpori -äänestys keräsi yli 23 000 ääntä – ”Hieno valinta”, toteaa Pertti Jarla yleisön suosikista ja paljastaa omansa

    4. 4

      Vuosaarelaisen kaunottaren turhamaisuus pöyristyttää ihmisiä – Mutta lopulta he itkevät, sillä Jasmin Koskirannan tarina onkin suurempi

      Tilaajille
    5. 5

      Pilapiirtäjä Ville Ranta teki piirroksen Oulun seksuaali­rikoksista ja sohaisi muurahais­pesään – Facebook jäädytti tilin, mutta se ei Rantaa hetkauta, sillä hän ei ole ensi kertaa asialla

    6. 6

      Sähköhammasharjakin voi jättää hampaat likaisiksi – yleinen harjaustekniikka pilaa koko sähköharjan idean, sanoo asiantuntija

    7. 7

      Autoista tuli niin hyviä, että kuljettajien ajotaidot romahtivat – tämä perusasia unohtuu monelta ja talvella sen kuulee lähes joka risteyksessä

    8. 8

      Tältä näyttää Redi arkisena aamu­päivänä – Yrittäjät kertovat, miltä kauppa­keskuksen tilanne vaikuttaa nyt

    9. 9

      Tällainen on kahdeksan lapsen hyväksikäyttö­tapaus: Kalliolaismies saalisti tyttöjä Instagramissa – Tuomittu pyysi 14-vuotiasta tyttöä vaikenemaan seksistä

    10. 10

      Kampaaja Petri Puhakka joi itsensä väsyksiin, haki voimaa amfetamiinista, vihasi itseään peilin edessä ja joi lisää – Sitten esimies sanoi oikeat sanat

      Tilaajille
    11. Näytä lisää