Teknologia

Sähköposti näytti aidolta, ja siksi niin moni suomalainen työn­tekijä menee lankaan – Näin tunnistat rikollisten kalastelu­yritykset, joita tulee nyt jatkuvalla syötöllä

”Tämä vaikuttaa olevan uusi normaali”, sanoo tietoturva-asiantuntija Perttu Halonen Viestintäviraston kyberturvallisuuskeskuksesta.

Rikolliset ovat kalastelleet suomalaisten yritysten työntekijöiden Microsoft Office 365 -käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla keväästä asti poikkeuksellisen runsaasti.

”Alkukesästä tilanne suorastaan räjähti käsiin”, sanoo tietoturva-asiantuntija Perttu Halonen Viestintäviraston kyberturvallisuuskeskuksesta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tuolloin rikolliset olivat saada esimerkiksi kymmenien miljoonien eurojen ryöstösaaliin huijauksella, joka alkoi työntekijöiden Office 365 -sähköposteihin murtautumalla.

Viestintäviraston kyberturvallisuuskeskuksella on ollut Office 365 -tietojenkalasteluista ja tietomurroista varoitus voimassa nyt jo yli viisi kuukautta. Varoituksen taso on vaihdellut kriittisen ja vakavan eli korkeimman ja toiseksi korkeimman tason välillä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Mikään muu varoitus ei ole ollut ikinä ennen näin pitkään voimassa. Tämä vaikuttaa olevan uusi normaali, että Office 365 -tunnuksia kalastellaan ja murretaan liukuhihnatyyppisesti. Tietojenkalastelussa on kyse enemmän ihmisten manipuloinnista kuin tietotekniikasta. Siksi ongelmaan ei ole nopeaa teknistä ratkaisua.”

Huijausviestejä on lähetelty Suomessa ainakin satoja tuhansia, ja tietomurtoja yrittävät Halosen mukaan tehdä oletettavasti useammat eri ryhmät.

”Ne muuttavat koko ajan hiukan toimintatapojaan.”
Mainos (Teksti jatkuu alla)
Mainos päättyy

Office 365 -tunnukset ovat Halosen mukaan rikollisten kohteena kolmesta syystä:

1. Oleellisin on se, että Microsoftin Office 365 -ohjelmistot ovat erittäin yleisesti yrityksissä käytössä, joten mahdollisten uhrien määrä on suuri. Rikollisten ajatus on, että kun käyttäjiä on tarpeeksi, aina joku haksahtaa.

2. Microsoft on tehnyt edellisen sukupolven Office-tuotteisiin verrattuna ison muutoksen palvelurakenteeseen. Nykyään Office-tuotteet ovat pilvipohjaisia. Sen takia on täysin tavanomaista kirjautua tietokoneen selaimella tai muilla laitteilla Onedrive- tai Sharepoint-pilvipalveluihin, eikä siksi tule välttämättä huomanneeksi joutuneensa sen sijaan tietojenkalastelusivustolle.

Pilvipohjaisuus tarkoittaa myös sitä, että kuka tahansa voi kirjautua palveluun mistä tahansa päin internetiä. Vielä muutama vuosi sitten palvelut olivat enimmäkseen käytössä yrityksien sisäverkossa, eli niihin kirjautuakseen täytyi olla toimistolla tai yhteyksissä sinne vahvasti suojatulla etäyhteydellä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tilanteeseen voi vaikuttaa myös se, että pilvipalveluissa yritysten on hankalampi havaita väärinkäytöksiä ja korjata tilanteita, kun ne huomataan.

3. Office 365- tunnus on käytännössä yleisavain yrityksen tietojärjestelmiin.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Varsinaiset tietojenkalastelut ja sitä seuraavat tietomurrot tapahtuvat kuitenkin yleensä siksi, että rikolliset onnistuvat huijaamaan työntekijöitä. Eikä se ole ihme, sillä huijausyritykset on nykyään monesti todella taidokkaasti rakennettu.

Viime viikolla HS kertoi, miten voi luoda salasanan, jota on nykyteknologialla käytännössä mahdotonta murtaa. Hyvän salasanan tärkein ominaisuus on pituus, joten olisi itse asiassa parempi puhua salalauseesta.

Hyvästäkään salasanasta ei tietenkään ole hyötyä, jos sen itse antaa rikollisille.

Ennen ohjeeksi riitti melkeinpä se, että älä avaa epäilyttävää sähköpostin liitetiedostoa. Nykyään tietojenkalasteluviestiä ei välttämättä erota aidosta millään.

Sen takia jokaisen pitää muistaa tämä yksinkertainen sääntö työsähköpostia käyttäessään: Jos avaat sähköpostilla lähetetyn linkin, älä koskaan syötä sivustolle salasanaasi, ellet ole täysin varma, että kyseessä on yrityksesi palvelu.

Sama periaate pätee toki myös henkilökohtaista sähköpostia käyttäessä.

Tyypillisesti Office 365 -tietojenkalastelussa lähettäjä haluaa jakaa kanssasi tiedoston Onedrive- tai Sharepoint-pilvipalveluissa, tai saat viestin että lähettämäsi sähköpostit eivät mene perille. Yksi tapa on myös ilmoitus saapuneesta luottamuksellisesta viestistä eli niin sanotusta turvapostista.

Näissä kaikissa tapauksissa viestissä on linkki, joka vie kirjautumissivulle.

Myös ihan perinteinen sähköpostin liitetiedosto on edelleen käytetty tietojenkalastelukikka. Tällöin liitteenä oleva Office-tiedosto sisältää niin sanottuja komentojonoja. Ne puolestaan sisältävät tyypillisesti käyttäjälle kehotuksen syöttää käyttäjätunnus ja salasana, jotta ohjelma voi näyttää tiedoston sisällön.

Tätä kautta rikolliset yrittävät usein levittää koneisiin myös haittaohjelmia.

Itse viesti voi olla kirjoitettu hyvällä suomella, tulla tutulta lähettäjältä täysin oikeasta osoitteesta ja vaikuttaa sisällöltään aivan asialliselta

Linkin klikkaamisen jälkeen voi päätyä kirjautumissivulle, joka voi näyttää lähes identtiseltä aidon sivuston kanssa. Sivuston osoitteessa voi olla esimerkiksi vain yhden kirjaimen ero, vaikkapa l-kirjain korvattu numerolla 1.

”Toissakesänä oli oikein kampanja tällaisten samankaltaisten verkkotunnusten rekisteröimiseksi.”

Yleensä rikolliset kuitenkin näkevät vähemmän vaivaa, ja osoiterivit poikkeavat selvästi Microsoftin tai organisaation oman Office 365 -palvelun osoitteesta, Halonen kertoo.

Salasanan voi tulla vuotaneeksi myös täysin töihin liittymättömällä tietojenkalastelusivustolla, jos käyttää työsähköpostin salasanaa jossain muissakin verkkopalveluissa.

Yhtä oleellista kuin salasanan pituus on se, että se on käytössä ainoastaan yhdessä palvelussa.

Kun tietojenkalastelusivulle sitten kirjoittaa oman Office 365 -käyttäjätunnuksensa ja salasanansa, se usein kirjaa automaattisesti käyttäjän saman tien oikealle sivulle. Tällöin työntekijä ei välttämättä huomaa mitään, eikä tule ajatelleeksikaan, että on juuri joutunut tietojenkalastelun uhriksi.

Tänä päivänäkään kaikki tietojenkalusteluyritykset eivät ole loppuun asti näin taidokkaita.

Työntekijöiden Office 365 -tunnuksia kalastellaan sekä massaviesteillä että tarkasti tietyille ihmisille kohdennettuina sähköposteina. Kohdennetuissa viesteissä tähtäimessä on yleensä johtajat sekä yritysten rahaliikenteestä vastaavat.

Näistä varoitusmerkeistä tunnistat tietojenkalastelun

1. Lähettäjän sähköpostiosoite näyttää erikoiselta. Se voi myös olla vain hitusen väärin kirjoitettu – aivan kuten tietojenkalastelusivustoilla, esimerkiksi o-kirjain on voitu korvata numerolla 0.

Erityisen tarkkana pitää olla, kun lukee sähköposteja puhelimella. Esimerkiksi iPhoneissa ei näy kuin lähettäjän nimi, ja vasta nimeä klikkaamalla näkee lähettäjän varsinaisen sähköpostiosoitteen. Lähettäjän nimen väärentäminen on helppoa, eikä se vielä kerro, keneltä viesti on tullut.

2. Jos saat toimia vaativan viestin kovin yllättäen. Erityisen tarkkana pitää olla silloin, jos viestissä vaaditaan välittömiä tai kiireellisiä toimenpiteitä.

3. Kirjoitusvirheet. Erityisesti suomeksi kirjoitetut huijausviestit ovat edelleen usein kielellisesti kömpelöitä, vaikka päinvastaisiakin tapauksia on.

4. Kaikki viestit, joissa pyydetään vahvistamaan tai päivittämään käyttäjätili, ellet ole itse nimenomaan esimerkiksi juuri pyytänyt uutta salasanaa sähköpostiisi unohtuneen tilalle.

5. Linkki minne tahansa sivustolle, joka vaatii käyttäjätunnustasi ja salasanaasi.

Jos viesti vaikuttaa aidolta mutta epäilyttää, mitä pitäisi tehdä sen sijaan, että klikkaa linkkiä?

Ota yhteyttä lähettäjään jotain muuta kautta kuin vastaamalla kyseiseen viestiin. Voit soittaa, lähettää tekstiviestin, käyttää pikaviestipalvelua, tavata tai lähettää kokonaan erillisen sähköpostin ja varmistaa asian.

Voit myös vierailla sivustolla kirjoittamalla sen osoitteen. Älä siis seuraa linkkiä, vaan kirjaudu kyseiseen verkkopalveluun selaimen tai sovelluksen kautta.

”Onhan tällainen varmistelu vähän digitalisaation eetoksen vastaista, kun asioita pitäisi saada teknologian ansiosta tehtyä enemmän ja nopeammin, mutta tällaista tämä on”, Viestintäviraston kyberturvallisuuskeskuksen tietoturva-asiantuntija Perttu Halonen sanoo.

Miten huijausviesti on ylipäänsä voinut tulla oikeasta osoitteesta ihmiseltä, jonka vielä mahdollisesti tuntee?

Kun rikolliset saavat jonkun käyttäjän tunnuksen ja salasanan tietojenkalastelusivulla, ne eivät välttämättä tee mitään näkyvää. Monesti he muuttavat sähköpostin uudelleenlähetysasetukset niin, että he näkevät kaikki työntekijän lähettämät ja vastaanottamat sähköpostit.

”Rikolliset saattavat seurata tilannetta kuukausienkin ajan.”

Tavoitteena on selvittää, kuinka iso ”pyydys” koukkuun on käynyt.

Kaapatulla tunnuksella ja salasanalla rikolliset pystyvät myös lähettämään viestejä kaapatun tilin nimissä. Vastaanottajalle ne näyttävät aivan samalta kuin kaikki muutkin kyseistä osoitteesta tulevat viestit.

Jos viesteissä sitten liikkuu laskuja, rikolliset voivat esimerkiksi lähettää viestiketjuun jonkun laskun uudestaan niin, että se on täysin identtinen, mutta vain tilinumero on eri ja kirjoittaa, kuinka edellisessä laskussa oli väärä tilinumero.

Tällaista viestiä voi olla vaikea hahmottaa huijaukseksi, kun se tulee tutulta lähettäjältä.

Tai tyhjästä luodussa huijauslaskuissa voi olla esimerkiksi tekaistu viestiketju mukana tai jäljitelty lähettäjän kirjoitustyyliä, joka on saatu selville hänen viestejään seuraamalla.

Huijausviesteissä käytetään muitakin erilaisia pieniä kikkoja, jotta ne vaikuttaisivat mahdollisimman aidolta. Niissä voi olla esimerkiksi allekirjoitus, että ne on lähetetty puhelimesta, mikä voisi selittää kirjoitusvirheitä, jotka muuten voisivat kiinnittää vastaanottajan huomion.

Mitä merkitystä tällaisilla tietomurroilla on ihmisille, jotka eivät käsittele maksuja, ole ylhäällä yhtiön hierarkiassa ja joiden sähköposti ei heidän mielestään sisällä mitään tärkeää?

Rikolliset saavat tällaisenkin työntekijän kautta pääsyn kaikkialle, minne yrityksen tietoihin tunnuksilla pääsee internetistä. Näillä tiedoilla voidaan yrittää kiristää yritykseltä rahaa.

Rikolliset myös myyvät käyttäjätietoja eteenpäin. Se voi johtaa hämmentäviin asioihin, kuten kiristysviesteihin, joissa huijarit väittivät kuvanneensa ihmisiä katsomassa pornoa koneillaan.

Lisäksi sähköposti sisältää kalenterin ja kontaktilistan, joiden kautta kalasteluyrityksiä jatketaan.

Kun rikolliset ovat paljastumassa, he lähettävät monesti kaappaamaltaan tililtä sen omistajan nimissä massaviestejä kaikille kontaktilistalla oleville ihmisille – ja sama ruljanssi saattaa jatkua, jos yksikin uusi vastaanottaja menee huijaukseen.

Halonen suosittelee kaikkien Office 365 -tuotteita käyttäviä yrityksien tietoturvavastaavia rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä. Samalla hän kehottaa ottamaan käyttöön kaksivaiheisen tunnistautumisen, jossa palveluihin kirjautumiseen vaaditaan jotain muutakin kuin tunnus ja salasana, esimerkiksi tekstiviestivarmennus.

Mutta jos ylläpito sallii kirjautumiset myös vanhoilla sovelluksilla, jotka eivät tue kaksivaiheista tunnistusta, suojauksen voi ohittaa. Tällaisia sähköpostisovelluksia on esimerkiksi monissa älypuhelimissa.

”Olemmekin tuskailleet sen kanssa, että tilanteeseen ei ole mitään yleispätevää teknistä ratkaisua.”

    Seuraa uutisia tästä aiheesta

  • Teknologia
  • Työelämä
  • Antti Tiainen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Kiina hiipii pohjoiseen, ja poromies Jussa Seurujärveä hirvittää – HS:n erikoisartikkeli kertoo, miten Aasian jätti hivuttaa valtaansa Suomeen ja mitä sen loputon raaka-ainenälkä meille tarkoittaa

      Tilaajille
    2. 2

      Punaisten hiusten syy selvisi

    3. 3

      Seppo ”Sedu” Koskinen ja Jethro Rostedt ajoivat ravintolayhtiönsä konkurssiin verosyistä

    4. 4

      Oulun seksuaalirikoksista epäilty vapautettiin vahingossa Saksassa – miehestä annettu kansainvälinen etsintäkuulutus

    5. 5

      Pako jatkunut jo kolme kuukautta: Autoilija kävi yliajamansa naisen luona ja jätti tämän suojatielle kuolemaan Tikkurilassa

    6. 6

      Poikkeuksellinen käänne oikeudessa: Tuomari haukkui Trumpin ex-neuvon­antajan, perui puheensa ja lykkäsi tuomion julistamista

    7. 7

      Äiti etsii hyväntekijää: 11-vuotiaan tytön lahjaostokset pelastuivat Espoon Sellossa

    8. 8

      Tutkimus testasi, miten eri sukupuolet suhtautuvat moniavioiseen henkilöön

    9. 9

      Keskellä helsinkiläistä pientaloaluetta rapistuu kymmenen vuotta sitten palanut talo – omistajaa eivät ole tavoittaneet edes Espanjan viranomaiset

    10. 10

      Himohamstraus alkaa vaivihkaa ja se on kuin huume, sanoo asiantuntija – Näin saat itsesi tai läheisesi luopumaan turhista tavaroista

      Tilaajille
    11. Näytä lisää
    1. 1

      Kiina hiipii pohjoiseen, ja poromies Jussa Seurujärveä hirvittää – HS:n erikoisartikkeli kertoo, miten Aasian jätti hivuttaa valtaansa Suomeen ja mitä sen loputon raaka-ainenälkä meille tarkoittaa

      Tilaajille
    2. 2

      Äiti etsii hyväntekijää: 11-vuotiaan tytön lahjaostokset pelastuivat Espoon Sellossa

    3. 3

      Oulun seksuaalirikoksista epäilty vapautettiin vahingossa Saksassa – miehestä annettu kansainvälinen etsintäkuulutus

    4. 4

      Keskellä helsinkiläistä pientaloaluetta rapistuu kymmenen vuotta sitten palanut talo – omistajaa eivät ole tavoittaneet edes Espanjan viranomaiset

    5. 5

      Pako jatkunut jo kolme kuukautta: Autoilija kävi yliajamansa naisen luona ja jätti tämän suojatielle kuolemaan Tikkurilassa

    6. 6

      Punaisten hiusten syy selvisi

    7. 7

      Seppo ”Sedu” Koskinen ja Jethro Rostedt ajoivat ravintolayhtiönsä konkurssiin verosyistä

    8. 8

      Himohamstraus alkaa vaivihkaa ja se on kuin huume, sanoo asiantuntija – Näin saat itsesi tai läheisesi luopumaan turhista tavaroista

      Tilaajille
    9. 9

      Yksi tiedostamaton viestimme muuttaa keskustelu­kumppanin vähäpuheiseksi ja kertoo, olemmeko oikeita ihmisiä

    10. 10

      #metoo on laittanut monen kunniallisenkin miehen miettimään käytöstään – mutta näillä tavoilla se on mullistanut meidän naisten elämän

    11. Näytä lisää
    1. 1

      Kiina hiipii pohjoiseen, ja poromies Jussa Seurujärveä hirvittää – HS:n erikoisartikkeli kertoo, miten Aasian jätti hivuttaa valtaansa Suomeen ja mitä sen loputon raaka-ainenälkä meille tarkoittaa

      Tilaajille
    2. 2

      Lääkäri Antti Heikkilän uutuus­kirja vilisee virheitä – HS pyysi asian­tuntijoita arvioimaan tekstin: ”Tällaiset väitteet voivat johtaa kuoleman­tapauksiin”, professori sanoo

      Tilaajille
    3. 3

      Suurta osaa naisista koskevaa terveysongelmaa ei ole tutkittu, vaikka se haittaa elämänlaatua merkittävästi – Professori: ”Pidetty liian banaalina ongelmana”

    4. 4

      Kansallisbaletin Tuhkimon ylipainoiseksi puettu hahmo loukkasi Ani Kellomäkeä niin, että hän lähti esityksestä pois: ”En halunnut osallistua yhteiseen kiusaamishetkeen”

    5. 5

      Kun 35-vuotias nainen haluaa lapsen, mutta ei kelpuuta mukavaa miestä, naisen täytyy olla sekaisin

    6. 6

      Laura Huhtasaari kirjoitteli blogiinsa väitteitä islamista, sai kirjoituskiellon, samalla perussuomalaisnaiset kampanjoivat suut teipattuna – tästä kaikessa on kyse

    7. 7

      Tältä näyttävät joulun uudet herkut – kokeile suosikkiasi tämän vuoden joulupöydässä, ja muista myös rakkaat klassikkoreseptit

    8. 8

      Merten roskapyörteiden kunnian­himoinen puhdistus­operaatio vastatuulessa – teinin keksinnöstä löytyi kohtalokas vika

    9. 9

      Kokenut maailman­matkaaja vinkkaa kymmenen ainut­laatuista matka­elämystä – mukana myös suomalainen, unohdettu helmi

    10. 10

      Pekka Haaviston lausunto perus­suomalaisista oli viisautta, jota vihreät eivät kestä kuulla

    11. Näytä lisää