Tietoturvatiedotteet

Palkanlaskijoihin kohdistettu sähköpostihuijaus yleistynyt Suomessa

Tunnisteet: sähköpostihuijaus, toimitusjohtajahuijaus

Palkanlaskentaan kohdistuva toimitusjohtajahuijausten kaltainen sähköpostihuijaus on yleistynyt viime viikon aikana Suomessa. Huijauksessa yritetään vaihtaa organisaation työntekijän palkanmaksun tilitiedot hyökkääjän tiliksi.

Kyberturvallisuuskeskus on saanut muutaman päivän sisällä useamman ilmoituksen huijausyrityksestä, joissa eri organisaatioiden palkanlaskijoita on lähestytty väärennetyillä sähköpostiviesteillä. Viestien sisältönä on ollut pyyntö muuttaa jonkin organisaatiossa töissä olevan henkilön tilitietoja työntekijän palkan ohjaamiseksi väärälle tilille.

Viestin lähettäjän nimenä näkyy sen työntekijän nimi, jonka tilitietoja yritetään vaihtaa. Sähköpostiosoitteen loppuosa ei kuitenkaan ainakaan toistaiseksi ole vastannut organisaation nimeä. Viestit ovat kirjoitettu kohtuullisen ymmärrettävällä suomen kielellä. Esimerkki huijausviestistä löytyy myöhemmin tästä artikkelista. Jos huijausviestiin vastaa, hyökkääjä lähettää vastauksena uudet tilitiedot.

Kyberturvallisuuskeskus suosittelee vahvasti ohjeistamaan asiasta organisaation henkilöstöhallintoa sekä palkanmaksusta vastaavia tahoja. Tilitietojen muutoksia varten kannattaa suunnitella erillinen vahvistusprosessi, jolla saadaan todennettua aito muutospyyntö ja erotettua se huijausyrityksestä.

Esimerkkiviesti:

Hei N.N (palkanlaskijan nimi),

Minulla on uusi pankkitili ja haluaisin muuttaa palkkashekkini pankkitietoja. Voiko muutos tulla voimaan nykyisellä palkkakierroksella?

Parhain terveisin,
N.N (kohdeorganisaatiossa työskentelevän henkilön nimi)

Jos olette törmänneet vastaavaan toimintaan, pyydämme laittamaan mahdollisia havaintoja ja saatuja tilitietoja meille vinkkinä, esimerkiksi sähköpostitse osoitteeseen cert@traficom.fi tai ilmoituslomakkeemme kautta osoitteesta https://www.kyberturvallisuuskeskus.fi/fi/ilmoita

Lue lisää

Organisaatio! Torju Office 365 -tunnusten kalastelu oppaamme avulla

Tunnisteet: phishing, tietomurto, traficom

Sitkeä Microsoft Office 365 -käyttäjätunnusten kalastelu ja varastelu koskee monia kotimaisia organisaatioita. Uhkan torjumista ja siltä suojautumista varten olemme koonneet kattavan oppaan: Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta. Oppaamme on tarkoitettu organisaatioiden ylläpidosta ja tietoturvasta vastaaville, yritysjohtoa ja tietosuojavastaavia unohtamatta.

sähköpostihuijaus kaaviona

Office 365 -tietojenkalastelun takana ovat verkkorikolliset. Yksinkertaisimmillaan kalastelu tapahtuu sähköpostitse, kun verkkorikollinen lähettää kalasteluviestin mahdollisimman usealle vastaanottajalle. Hyvin todennäköisesti joku tuhansista huijausviestin saaneista erehtyy antamaan tietonsa. Kalastelu voi olla myös kohdennettua, jolloin hyökkääjä haluaa käyttöönsä esimerkiksi IT-ylläpitotunnukset, joiden avulla hän voi tehdä laajaa tuhoa. 

Varsinaisista kalasteluviesteistä on erittäin vaikea päästä eroon, mutta tietojenkalastelun vaikutuksia voi rajoittaa merkittävästi tai suojaustoimin jopa kokonaan estää. Muun muassa monipuoliset suojaukset, lokituksen seuranta, päätelaitteiden hallinta ja henkilöstön koulutus ovat avaintekijöitä suojautumisessa. 

Miten suojautua Office 365 -kalastelulta?

Jos kalasteluviesti tunnistetaan ajoissa, huijaus jää yritykseksi ja muun muassa arvokkaat käyttäjätunnukset verkkorikolliselta saamatta. Office 365 ja muut Microsoftin palvelut sisältävät monia eri palvelu- ja lisenssiratkaisuja, joiden avulla tietojenkalastelulta voi suojautua. 

Olipa käytössä mikä palvelu tahansa, seuraavat suojaustoimet sopivat jokaiselle organisaatiolle:

  • Ota käyttöön moderni tunnistautuminen ja sen pakotus.
  • Ota käyttöön monivaiheinen tunnistautuminen (MFA).
  • Varmista lokituksen laatu, määrä ja riittävä säilytysaika.

Organisaation koko henkilöstön kannattaa tutustua erityisesti oppaamme lukuhin 3. ja 4., jotka sisältävät keskeisiä suojausohjeita ja neuvoja, mitä tehdä, jos vahinko on jo tapahtunut. Periaatteet, jotka liittyvät muun muassa viranomaisilmoituksiin ja tietojenkalastelusta tiedottamiseen, on jokaisen hyvä sisäistää.

Ennalta suojautuminen paras keino, mutta vahinkoja sattuu kaikille 

Hyökkäysyritykset ovat jatkuvia. Viikottain saamme tietoomme useita uusia Office 365 -tilien tietomurtoja. 

Huijauksen tapahduttua ei kannata hävetä tai painaa päätä pensaaseen, vaan tulla rohkeasti esiin ja perata tapaus kunnolla läpi. Varhaisessa vaiheessa tehdyllä ilmoituksella voidaan suojata muita potentiaalisia uhreja.

Tee ilmoitukset viranomaisille mahdollisimman aikaisessa vaiheessa, vaikka vajavaisin tiedoin. Kun ilmoitat myös Kyberturvallisuuskeskukseen, autat meitä kitkemään verkosta pois kalastelusivustoja ja varoittamaan muita uhreja sekä seuraamaan ilmiön teknistä kehitystä.

Täsmävinkki oppaan käyttöön

Oppaan loppupuolella on taulukko, johon on tiivistetty Office 365 -kalasteluun liittyviä uhkia ja niiden rajoittamiskeinoja. Taulukossa on riveittäin eritelty erilaisia suojaustoimia ylätason uhkien alle. Sarakkeissa esitetään, millä toimilla tai keinoilla kunkin palvelun kautta uhkilta voi suojautua. 

Taulukkoon on otettu yleisesti Suomessa käytössä olevia lisenssitasoja sekä Office 365 -palvelusta että Azure AD -palvelusta. 

Taulukosta voi tarkastaa, millaisia suojauskeinoja jo käytössä olevilla lisensseillä voi toteuttaa ja harkita muutoksia eri käyttäjien lisenssitasoihin tarpeen mukaan. 

Taulukko ei ole kattava matriisi palveluiden koostumuksesta, ja tiettyihin lisenssitasoihin on saatavilla
lisätoimintoja ilman varsinaista lisenssin korotusta seuraavalle tasolle.

Microsoft Office 365 -tietojenkalastelulta ja tietomurroilta suojautuminen

Lue lisää

Katsaus sähköpostitunnusten kalastelusivustoihin

Tunnisteet: kalastus

Kyberturvallisuuskeskukseen tulleiden kalasteluilmoitusten seasta esiin nousi tapaus, jossa kalasteluportaali muutti muotoaan potentiaalisen uhrin saaman sähköpostin perusteella. Portaalissa oli valmiiksi mallinnettuna suurimpien postitarjoajien kirjautumissivuja. Lisäksi myös Google Translaten "Käännä verkkosivu"-toimintoa käytetään kalasteluissa avuksi.

Kalastelusivustojen ja niille houkuttelevien sähköpostiviestien laatu vaihtelee paljon. Joissain tapauksissa viestin kieliasusta ja logoista pystyy jo suoraan päättelemään, että kyseessä on haitallinen tapaus. Myös kalastelusivujen laatu vaihtelee: joskus sivusto on hyvin aidon näköinen ja sisältää oikean toimijan logoja ja kuvamateriaalia.

Tamminkuun 2019 lopussa meille ilmoitetussa tapauksessa kalastelun kohteena ollut henkilö vastaanotti sähköpostiviestin, jossa ilmoitettiin sähköpostilaatikon täyttyneen. Perässä oli linkki, jota vastaanottajaa houkuteltiin klikkaamaan sähköpostilaatikon aktivoimiseksi uudelleen. Viesti itsessään oli kieliopillisesti oikeinkirjoitettua englantia, ja lähettäjän osoite oli väärennetty vastaamaan teknistä lähetysosoitetta. Ainoat selkeät tunnusmerkit väärinkäytökselle olivat pyyntö aktivoida sähköpostilaatikko sekä linkin osoittama oleva verkko-osoite: postilaatikoita ei tarvitse aktivoida uudelleen niiden täyttyessä ja linkin osoite ohjasi vieraaseen verkko-osoitteeseen.

Linkin seassa oli hyökkääjän toimesta liitetty parametriksi käyttäjän sähköpostiosoite. Testeissä havaittiin, että kalastelusivusto oli rakennettu tunnistamaan sähköpostiosoitteen loppuosasta palveluntarjoaja, esimerkiksi Googlen Gmail sekä Yahoon postipalvelu, ja muuttamaan kirjautumisikkunaa suoraan sen mukaan. Uhri ei pystynyt muokkaamaan kirjautumisosoitetta lainkaan portaalissa omatoimisesti ja portaali generoi yksilöllisen kirjautumisinstanssin jokaiselle uhrille erikseen.

Alla olevissa kuvissa mustan viivan vasemmalla puolella oleva kuvakaappaus on hyökkääjän luoma portaali, ja oikealla oleva on havaintohetkellä olemassa ollut aito portaali. Kalasteluportaaliin oli luotu varmenne Let's Encrypt -palvelun kautta vähentämään epäilyksiä, mutta Yahoon osalta ulkoisesta lähteestä haettu kuva rikkoi selaimessa https-istunnon luottamuksellisuuden.

Googletunnusten kalasteluportaali
Google-tunnusten kalasteluportaali sekä aito kirjautumissivusto
Microsoft-tunnusten kalastelusivusto
Microsoft-tunnusten kalastelusivusto
Yahoo-kalastelusivusto
Yahoo-tunnusten kalastelusivusto
Yandex-tunnusten kalastelusivusto
Yandex-tunnusten kalastelusivusto

Jos portaali ei tunnistanut uhrin sähköpostiosoitteesta tarjoajaa, esiin tuli geneerinen OpenXchangen webmailin kirjautumisikkuna, tosin maustettuna domainkohtaisella otsikolla (esimerkissä Icloud).

Geneerinen kalasteluportaali
Geneerinen kalastelusivusto

Tämän lisäksi portaaliin oli myös luotu Gmailin MFA-autentikaatiota varten turvakysymyksiä, varasähköpostiosoitteita sekä puhelinnumeroita varten omat kalastelunäkymänsä. Näkymät poikkeavat todellisista siinä, että Google sumentaa osan merkeistä ja jättää muutaman näkyviin; eli esim. puhelinnumerosta näkyisi kaksi viimeistä numeroa suuntanumeron lisäksi.

Väärennetty Googlen turvakysymys
Väärennetyt Googlen turvakysymyslomakkeet

Emme testanneet käytännössä, osasiko MFA-portaali murtaa suojatun Gmail-tilin samanaikaisesti, mutta teoriatasolla hyökkääjä olisi saanut näillä metodeilla riittävästi tietoa päästä tiliin sisään edes kerran ja suorittaa muita toimenpiteitä tilin oikeuksilla kunnes salasana vaihdettaisiin uuteen.

Kirjautumisketjun läpi käytyään portaali katkaisi session ja ohjasi uhrin kyseisen tarjoajan oikealle kirjautumissivustolle, jos sellainen oli tiedossa. Geneerisen sivuston tapauksessa portaali ohjasi uhrin uudelleen samalle sivulle.

Akamain tietoturva-asiantuntija Larry Cashdollar julkaisi aiemmin tässä kuussa samasta aiheesta blogikirjoituksen, jossa käsitellään Google Translaten kautta tehtyä kalastelua. Samassa ketjussa pyrittiin kalastelemaan sekä uhrin Google- että Facebook-tilejä peräkkäin. Kirjoitus löytyy osoitteesta https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html(Ulkoinen linkki). Hyökkäystavassa uhri ohjattiin Google Translate -sivustolle valmiilla linkillä, ja varsinainen kalastelusivusto esitettiin kyseisen sovelluksen näkymän kautta. Tällöin osoiterivillä uhrille näkyy ensisijaisesti Googlen tunniste ja sertifikaatti, mutta ylärivissä näkyy myös Translaten luoma otsikkoalue.

Kokonaisuutena voitanee siis sanoa, että tunnusten kalastelun uhka on edelleen hyvin relevantti ja kalastelu on aktiivista jatkuvasti. Osa kalastelusivustoista on tehty teknisesti todella hyvin ja väärennöksen tunnistaminen vaatii suurta tarkkuutta. Hyökkääjät pyrkivät pääsääntöisesti kalastamaan tunnettujen palveluiden tunnuksia väärentäen kirjautumissivustoja näyttämään visuaalisesti aidoilta. Lisäksi myös monivaiheisen kirjautumisen vuoksi pyritään keräämään käyttäjältä lisätietoja helpottamaan tilille murtautumista.

Kyberturvallisuuskeskus kehottaa käyttäjiä olemaan edelleen valppaana, ja ilmoittamaan havaituista tapauksista joko sähköpostitse tai verkkolomakkeen kautta. Onnistuneissa kalastelutapauksissa myös rikosilmoituksen tekeminen poliisille on erittäin suotavaa.

Lue lisää
.