Tietoturvatiedotteet

Haittaohjelmaa jaettu sähköpostin liitteenä laajasti viime viikon lopulla

Tunnisteet: tietoturva, huijaus, sähköposti

Tuntemattomilta lähettäjiltä saapuvien sähköpostien linkkeihin ja liitteisiin tulee suhtautua epäillen. Älä klikkaa linkkejä tai avaa liitetiedostoja jos et ole aivan varma niiden asiallisuudesta.

Viestintäviraston tutkittavaksi on toimitettu näyte viime viikon lopulla laajasti jaellusta haittaohjelmasta. Tässä tapauksessa haittaohjelman sisältämää sähköpostia on lähetetty väärillä yhteystiedoilla, sekä väärentämällä sähköpostin lähettäjän osoite.

Tutkimaamme sähköpostiin on väärennetty lähettäjäksi yritys ja suomalaisen yrittäjän yhteystiedot. Todellisuudessa sähköpostit on lähetetty ulkomaisen palvelimen kautta. Tässä tapauksessa sähköposti on lähetetty otsikolla:

"FW: Payment Advice - Advice Ref:[GC1966851027] / ACH credits / Customer Ref:[199319] / Second Party Ref:[2135721]"

Sähköpostissa on Payment_Advice.jar -niminen liite, joka asentaa saastuneelle koneelle JBifrost-haittaohjelman. Tämän avulla hyökkääjä saa muodostettua etäyhteyden saastuneeseen koneeseen. Saastunut kone liikennöi TCP-porttiin 2318 osoitteessa www[.]creativeforwardings[.]cf (IP-osoite 185.84.181[.]78)

Viestintävirasto muistuttaa, että tuntemattomien lähettäjien sähköposteihin ja liitteisiin tulee suhtautua epäillen, eikä tuntemattomia liitteitä tule avata.

 

Harkitse kahdesti ennen kuin avaat sähköpostin liitetiedoston

Haittaohjelmia jaellaan varsin laajasti sähköpostin sisältäminä linkkeinä tai liitetiedostoina. Usein lähettäjän osoite väärennetään ja haitallista sisältöä lähetetään jonkin olemassa olevan yrityksen tai yksityishenkilön nimissä. Viime aikoina haittaohjelmia on jaettu laajasti esimerkiksi huolintayhtiöiden nimissä, mutta haittaohjelmia on naamioitu myös skannereiden lähettämiksi dokumenteiksi.

Haitallinen sähköposti voi sisältää linkin tai liitteen, jonka avaamalla uhrin kone saastuu haittaohjelmalla. Syksyn aikana tällä tavoin on jaettu etenkin tietoja salaavia kiristyshaittaohjelmia, mutta myös muita, perinteisempiä, haittaohjelmia.

Liitteinä olevat haittaohjelmat on naamioitu erilaisilla tiedostopäätteillä oleviksi tiedostoiksi. Huolintaliikkeiden nimissä lähetetyissä sähköposteissa on havaittu ZIP- ja PDF-tiedostoja, jotka ovat todellisuudessa olleet EXE-tiedostoja, jotka suorittamalla uhrikone on saastunut.

Liitetiedostot ovat voineet sisältää myös Microsoft Office-tiedostoja, joiden makroihin on kirjoitettu haitallista koodia. Käyttäjän salliessa tällaisen dokumentin makrojen suorittamisen (Enable content-toiminne) haittaohjelma asentuu uhrikoneelle.

Viestintävirasto pyytääkin kinnittämään erityistä huomiota erityisesti tuntemattomilta lähettäjiltä tuleviin sähköposteihin ja niiden liitetiedostoihin. Mikäli olet saamassa lähetyksen huolintayhtiöltä, seuraa paketin kulkua kirjoittamalla osoite selaimen osoiteriville ja etsimällä lähetys seurantakoodilla, jonka olet saanut lähettäjältä tilauksen yhteydessä. Mikäli et tiedä tilanneesi mitään älä, edes uteliaisuuttasi, avaa sähköpostien liitteitä.

Suojautuminen

Sähköpostin vastaanottaja voi suojautua haitallisilta sähköposteilta käyttämällä ajantasaista virustunnistusohjelmistoa ja pitämällä tietokoneen ohjelmistot päivitettyinä, sekä tiedostamalla uhkan ja tunnistamalla ja poistamalla haitalliset sähköpostit.

Lähettäjäosoitteen väärentämisen voi estää käyttämällä DMARC (Domain-based Message Authentication, Reporting & Conformance) -mekanismia lähettäjätietojen varmistamiseksi. DMARC hyödyntää olemassa olevia SPF (Sender Policy Framework) ja DKIM (Domain Keys Indentified Mail) -menetelmiä. CERT-EU:n englanninkielinen tiivistelmä DMARC-mekanismista  DMARC — Defeating E-Mail AbuseDMARC — Defeating E-Mail Abuse

Lisätietoa:

Päivityshistoria

  • 07.02.2017 klo 09:56
    Julkaistu
Lue lisää

Vuoden 2016 läpimurto: IoT

Tunnisteet: tietoturva, kyberturvallisuus, esineiden internet iot

Internet of things, IoT, esineiden internet. Isolla ilmiöllä on monta nimeä. Etenkin edellisvuonna Iot-laitteet nousivat pinnalle, kun niiden maailmanlaajuista suosiota todistettiin - hyvässä ja pahassa. Artikkeli on nosto vuoden 2016 Viestintäviraston tietoturvakatsauksesta, joka julkaistaan tammikuun lopussa.

 

 

 

Kun internetverkko laajentuu laitteisiin ja koneisiin, joita voidaan ohjata, mitata ja sensoroida internetin yli, puhutaan esineiden internetistä (Internet of Things, IoT). Vuotta 2016 voidaan pitää IoT:n läpimurtona hyvässä ja pahassa.

Tietoturvan laiminlyönti ei herätä luottamusta

IoT esiintyi otsikoissa niin uusien käyttötarkoitustensa kuin myös tietoturvaongelmiensa vuoksi. Tietoturva on huomioitava, jos halutaan saavuttaa IoT:n monipuoliset mahdollisuudet, sillä suojaamattomat laitteet ja ratkaisut vähentävät käyttäjien luottamusta digitaalisiin hyödykkeisiin.

IoT-laitteiden tietoturvassa olennaista on

  • laitteiden fyysinen turvallisuus
  • tietoliikennekomponenttien turvallisuus
  • ohjelmistojen turvallisuus.

Puutteellisen tietoturvan vuoksi internetiin kytketyt laitteet ovat rikollisten hyödynnettävissä, esimerkiksi palvelunestohyökkäyksissä valvontakameroiden ja automaatiolaitteiden avulla.

Huonosta laadusta ikäviä yllätyksiä

Vain harvoin IoT-laitteiden käyttäjät tietävät laitteensa haittaohjelmatartunnasta. Tartunta ei välttämättä näy laitteen toiminnassa, vaikka se olisi osa hyökkäykseen valjastettua laiteverkostoa. Toisinaan IoT-laite voi kuitenkin toimia epätavallisesti, koska se kuormittuu liikaa.

Haasteena on niin kutsuttu "minimum viable product/service" -ajattelu: markkinoille tuodaan mahdollisimman edullisia ratkaisuita, joiden tietoturvaominaisuudet ovat puutteelliset. Ongelma koskettaa erityisesti kuluttajia, koska heille suunnatuissa laitteissa tietoturva on usein erittäin kehno. Usein tilanne on se, että kuluttajat eivät esimerkiksi osaa päivittää laitteidensa ohjelmistoja.

Yksittäisiä IoT-laitteita, joissa oli heikko tietoturva, murrettiin ja valjastettiin osaksi palvelunestohyökkäyksiä ja roskapostituksia. Vuonna 2016 tuli esiin tapauksia, joissa laitteiden omistajille aiheutettiin kustannuksia lähettämällä laitteista viestejä maksullisiin ulkomaisiin numeroihin. Näissä tapauksissa aiheutuneet kustannukset nousivat jopa kymmeneen tuhanteen euroon.

Päivityshistoria

  • 24.01.2017 klo 15:01
    Julkaistu
Lue lisää

Tuhansia suomalaisten modeemeja murrettu, uudelleenkäynnistys poistaa haittaohjelman

Tunnisteet: tietoturva, cert, modeemi, varoitukset

Maailmanlaajuisesti on kaapattu arviolta miljoonia laitteita Mirai-bottiverkon jäseniksi. Joukossa on yli kymmenen tuhatta suomalaisten laitetta. Jos laitteesi löytyy alla olevalta listalta, uudelleenkäynnistäminen poistaa haittaohjelman.

Vaikutukset käyttäjille

Haittaohjelmatartunnan havaitseminen käyttäjän toimesta on vaikeaa. Haittaohjelma voi hidastaa laitteen toimintaa tai estää sen normaalin käytön kokonaan. Saastunut laite todennäköisesti osallistuu käyttäjän tietämättä esimerkiksi palvelunestohyökkäyksiin ja käyttää siihen liittymän kapasiteettia.

Liittymän käyttäjä on vastuussa päätelaitteensa puhdistamisesta. Tarvittaessa teleyritys voi rajoittaa liittymästä lähtevää liikennettä yleisen haittaohjelmaliikenteen vähentämiseksi. Teleyritysten mahdollisesti antamia tarkentavia ohjeita tulee noudattaa.

Taustaa

Kotireitittimien internetiin avoinna oleva etähallintapalvelu mahdollistaa haavoittuvuuden hyväksikäytön laitteen saastuttamiseksi. Saastumisen jälkeen laite pyrkii saastuttamaan muita vastaavia laitteita ja liittyy osaksi bottiverkkoa. Kaapatuista laitteista muodostettuja bottiverkkoja käytetään esimerkiksi palvelunestohyökkäyksissä. Laitteiden etähallintaan käytetään yleisesti TCP-porttia 7547.

Viestintävirasto katsoo, että tässä tapauksessa laissa määritellyt edellytykset liikenteen suodattamiselle täyttyvät ja on suositellut teleyrityksiä suodattamaan liikenteen porttiin TCP/7547 haavoittuvuuden hyväksikäytön estämiseksi. Useat teleyritykset ovat aloittaneet liikenteen suodattamisen.

Haavoittuvat laitteet

Tällä hetkellä on tiedossa seuraavien Zyxelin valmistamien ADSL-modeemien olevan haavoittuvia. Alla olevaa listaa päivitetään, kun tietoa uusista haavoittuvista laitteista saadaan:

 
On hyvin todennäköistä, että haavoittuvuus koskee muitakin laitteita.

 

Varoituksen kohderyhmä

Kotireitittimien (esimerkiksi ADSL-modeemien ja verkkolaitteiden) omistajat

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä laitteisto valmistajan valmistajan tai teleyrityksen ohjeiden mukaisesti, kun korjaava päivitys on saatavilla.

Mikäli päivitystä laitteeseen ei ole saatavilla, haittaohjelma poistuu uudelleenkäynnistyksellä ja teleyrityksen suodattaessa liikennettä, suodatustoimenpiteet suojaavat uudelleen saastumiselta. Myös siltaavaan tilaan (bridge mode) asetetut laitteet on syytä uudelleenkäynnistää varmuuden vuoksi.

Ongelman rajoittamiseksi teleyritykset ovat verkoissaan rajoittaneet pääsyn laitteiden hallintaan käytettävään porttiin TCP 7547. Haittaohjelma poistuu laitteesta uudelleenkäynnistyksen yhteydessä ja teleyritysten suodatustoimenpiteiden johdosta laite ei saastu uudestaan.

Teleyritysten suodatustoimenpiteet ovat väliaikainen ratkaisu, joten laitteet tulee päivittää, kun korjaava ohjelmistoversio on saatavilla.

Mikäli liittymää tarjoava teleyritys julkaisee tai lähettää täydentäviä ohjeita, noudata teleyrityksen ohjeita.

Lisätietoa

Päivityshistoria

  • 29.11.2016 klo 15:37
    Julkaistu
  • 29.11.2016 klo 17:29
    Lisätietolinkki korjattu.
  • 30.11.2016 klo 10:01
    Poistettu HUAWEI E3276s-150 haavoittuvista laitteista
  • 05.12.2016 klo 13:10
    Lisätty tieto siltaavien laitteiden uudelleenkäynnistämisestä.
  • 07.12.2016 klo 10:04
    Lisätty tieto ohjelmistopäivityksistä joihinkin Zyxelin laitteisiin.
Lue lisää
.