Osallistu, suojaudu ja opi tunnistamaan nettihuijareiden tavat! Euroopan kyberturvallisuuskuukauden viimeiset viikot vietetään nettihuijauksiin keskittyvän, Europolin Cyber Scams -kampanjan parissa. Eurooppalainen yhteiskampanja alkaa 17.10. Kotimaasta mukana ovat Finanssiala ry, Suomen poliisi ja Viestintäviraston kyberturvallisuuskeskus.

Nettihuijaukset ovat osa verkon arkea kaikkialla Euroopassa. Europolin kyberrikoskeskuksen, Europol’s European Cybercrime Centren, koordinoimassa Cyber Scams -kampanjassa on mukana muun muassa 28 EU:n jäsenmaata ja 24 kansallista finanssiliittoa.

Viikon kestävän kampanjan aikana nettihuijauksista jaetaan tietoa 27:llä eri kielellä pääasiassa sosiaalisessa mediassa. Kampanja keskittyy 7 yleisimpään nettihuijaukseen, niiden tunnistamiseen ja niiltä suojautumiseen.

Kuka tahansa voi olla nettihuijarin uhri, mutta jo tietous ilmiöstä auttaa. Osallistu kampanjaan Kyberturvallisuuskeskuksen, Suomen poliisin ja Finanssiala ry:n somekanavilla. Kutsu mukaan vaikka koko suku! Kun jaat tietoa nettihuijauksista omissa verkostoissasi, moni voi välttyä nettirikollisten juonilta.

Seuraa kampanjaa Twitterissä ja Facebookissa muun muassa aihetunnisteilla #cyberscams ja #nettihuijaus. Finanssiala ry:llä ja Suomen poliisilla on jaossa myös omaa kampanjamateriaalia. Kampanjaviikon aikana on mahdollista syventyä erilaisiin nettihuijaustyyppeihin.
 

Suojaa itsesi ja rahasi!

Ota selvää nettihuijauksista ja suojaa itsesi sekä omaisuutesi. Avaa alla olevat lyhyet ja ytimekkäät infolehtiset, jotka kertovat mistä tietyssä huijauksessa on kyse, mistä sen tunnistaa ja kuinka siltä voi suojautua.

• Tietojenkalasteluviestit [pdf, 246 KB] Sähköposteja, joilla pyritään saamaan vastaanottajalta käyttäjätunnuksia, pankkitietoja tai muita henkilökohtaisia tietoja.
   
• Toimitusjohtajahuijaus - BEC-huijaus [pdf, 210 KB] Tunnetaan myös englanninkielisellä nimellä business email compromise. Yrityksen rahaliikenteestä huolehtiva työntekijä huijataan maksamaan valelasku tai tekemään muu siirto yrityksen varoista.
   
• Huijaussivustot [pdf, 236 KB] Kalasteluviestit sisältävät usein linkin väärennetylle, pankin sivun näköiselle nettisivulle, jossa käyttäjältä pyritään saamaan pankkitietoja ja henkilökohtaisia tietoja.
   
• Huijauslaskut [pdf, 256 KB] Yritykseen tulee yhteydenotto esimerkiksi puhelimitse, sähköpostitse tai kirjeitse. Huijari pyytää muutosta esimerkiksi maksunsaajaan, kuitenkin jonkin toistuvan maksun tietoihin. Uusi tili on huijarin hallitsema.
   
• Nettikauppahuijaus [pdf, 582 KB] Netistä saa usein hyviä tarjouksia, mutta varo huijauksia.
   
• Romanssihuijaus - Deittihuijaus [pdf, 195 KB] Huijarit etsivät uhreja yleensä seuranhakupalveluista, mutta voivat ottaa yhteyttä myös somessa tai sähköpostitse.
   
• Sijoitushuijaus [pdf, 219 KB] Houkutteleva sijoitustarjous esimerkiksi osakkeisiin, joukkolainoihin, kryptovaluuttaan, metalleihin tai vaihtoehtoisiin energiamuotoihin.

Lisätietoa nettihuijauksista

• Tietoturva-asiantuntija Juha Tretjakov, puh. +358 2953 390 432, etunimi.sukunimi@ficora.fi
• Keskusrikospoliisi: Twitter
• Poliisihallitus: Twitter; Facebook
• Finanssiala ry: Twitter, Facebook
• Europolin tiedote nettihuijauskampanjasta

Syyskuussa nähtiin niin tietojenkalastelua kuin palvelunestohyökkäyksiä. Kybersäätä synkensivät myös muun muassa kotireitittimien kasvavat haittaohjelmahavainnot ja asiakas- ja luottokorttitietojen varastaminen kansainvälisistä verkkokaupoista.

Uudelleen kiihtynyt tietojenkalastelu toi myrskypilviä syyskuun kybertaivaalle. Viestintäviraston Kyberturvallisuuskeskuksen tietoon tuli lukuisia kalastelukampanjoita, joiden seurauksena käyttäjät erehtyivät antamaan huijareille käyttäjätunnuksensa ja salasanansa. Kalastelun runsastumisen vuoksi aiemmin vakavaksi (keltainen) laskettu varoitus korotettiin jälleen kriittiseksi (punainen).

Tietojenkalastelussa nähtiin uusia kehityskulkuja

Kuun aikana yleistyivät esimerkiksi turvapostiviestiltä näyttävät kalasteluviestit. Organisaatiot käyttävät turvapostiratkaisuja salattujen sähköpostiviestien lähettämiseen. Lisäksi hyökkääjät ovat onnistuneet joissain tapauksissa välttämään monivaiheisen todentamisen, jos palvelu on asennettu siten, että se tukee myös vanhempia päätelaitteita ja sovelluksia.

Myös luottokorttitietojen saamiseksi tehtyjä huijausviestejä nähtiin runsaasti. Luottokorttitietojen kalastelua nähtiin esimeriksi OmaVero-teemalla.

Palvelunestohyökkäys häiritsi jälleen tunnistuspalvelua

Suomi.fi-verkkopalvelua vastaan tehtiin syyskuussa palvelunestohyökkäys, joka aiheutti katkoksia ja hitautta palvelun toiminnassa. Hyökkäys vaikutti myös sivustoihin, jotka hyödyntävät suomi.fi-tunnistautumista. Esimerkiksi Poliisin ja Verohallinnon palveluihin kirjautumisessa oli ongelmia hyökkäyksen aikana. Edellisen kerran palvelunestohyökkäykset häiritsivät suomi.fi-palvelun toimintaa elokuussa.

Syyskuussa nähtiin myös suuruusluokaltaan Suomen olosuhteissa huomattava palvelunestohyökkäys (89 Gbit/s ja 8 Mpps). Kyseinen hyökkäys oli toteutettu DNS- ja memcached-amplifikaatiotekniikoilla.

Kerran kuussa julkaistava Kybersää on katsaus edellisen kuukauden merkittävimpiin tietoturvapoikkeamiin ja -ilmiöihin. Kyberturvallisuusnäkymiä tarkastellaan kuudesta näkökulmasta, joita ovat palvelunestot, haittaohjelmat ja haavoittuvuudet, huijaukset ja kalastelut, vakoilu, verkkojen toimivuus ja esineiden internet eli IoT.

Tutustu tarkemmin syyskuun 2018 kybersäähän!

Cisco Talos ja Symantec julkaisivat artikkelin koti- ja pientoimistojen reitittimissä sekä verkkotallennuslaitteissa havaitusta kehittyneestä haittaohjelmasta. Talos arvioi, että haittaohjelma on saastuttanut noin 500 000 päätelaitetta 54 maassa.

VPNFilter haittaohjelma on monikäyttöinen. Se voi kuunnella reitittimen läpi menevää liikennettä mukaan lukien salasanat ja sitä voidaan käyttää ponnahduslautana sisäverkkoon suuntautuvissa hyökkäyksissä. Haittaohjelmassa on myös moduuli, jonka avulla voi myös kuunnella laitteen läpi menevää teollisuusautiomaatiossa käytettyä Modbus-liikennettä. Haittaohjelmassa on lisäksi ominaisuuksia joiden avulla hyökkääjä voi tehdä laitteesta toimimattoman ja sen palauttaminen toimintakuntoiseksi voi olla mahdotonta. Haittaohjelmasta on löydetty yhtäläisyyksiä vuonna 2015 Ukrainan sähköverkkoihin tunkeutumisessa käytetyn BlackEnergy -haittaohjelman kanssa.

Haittaohjelman tartunta

Haittaohjelma pystyy Symantecin mukaan saastuttamaan seuraavia laitteita:

• Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
• D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
• Huawei HG8245,
• Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
• Mikrotik RouterOS Cloud Core Routers: Versiot 1009, 1016, 1036, ja 1072
• Mikrotik CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik ja STX5
• Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
• QNAP TS251, TS439 Pro
• Muut QNAP:n NAS-laitteet, joissa käytetään QTS-ohjelmistoa
• TP-Link R600VPN, TL-WR741ND, TL-WR841N
• Ubiquiti NSM2, PBE M5
• Upvelin valmistamista verkkolaitteista on myös haittaohjelmatartuntahavaintoja, mutta laitteiden malleista ei ole tarkempaa luetteloa.
• ZTE ZXHN H108N

Suositeltavia toimenpiteitä:

Alkuperäinen tartuntavektori ei toistaiseksi ole tiedossa, joten jos laite on liitetty suoraan internetiin, suojaustoimenpiteet eivät välttämättä ole riittäviä.

Päivitys 7.6.2018: Uusia haavoittuvia laitteita selvitetty

Cisco Talos on päivittänyt haavoittuvien laitteiden listaa. Uusia haavoittuvuuskohteita on todettu myös ASUSin, D-Linkin, Huawein, Ubiquitin, UPVELin ja ZTE:n valmistamista verkkolaitteista. Löydettyjä laitteita on lisätty ylläolevaan listaan.

Haittaohjelman modulaarisen rakenteen ansiosta hyökkääjä voi muokata sen toimintamalleja. Uuden löydetyn kolmannen vaiheen moduulin tehtävänä on muokata verkkolaitteen läpi kulkevaa verkkoliikennettä ja lisätä siihen väliin haitallista sisältöä välimieshyökkäyksellä (Man in the Middle Attack).

Tähän mennessä Suomessa havaittujen VPNFilterin saastuttamien laitteiden määrä on pysynyt maltillisena. Kyberturvallisuuskeskuksen tiedossa on alle kymmenen saastunutta laitetta. Haittaohjelma on suunnattu ja se leviää pääsääntöisesti Ukrainassa ja sen lähialueilla.

Haittaohjelman tartutantapojen uskotaan nojaavan tunnettuihin haavoittuvuuksiin ja oletussalasanojen käyttöön, jotka asianmukaisesti päivitetyissä ja konfiguroidussa laitteissa pitäisi olla korjattuina. Jos laitevalmistaja ei tarjoa verkkolaitteelle enää tukea tai turvallisuuspäivityksiä, eikä siitä paljastuville haavoittuvuuksille ole enää luvassa korjausta, on syytä luopua laitteen käytöstä ja korvata se uudella laitteella, jonka valmistaja on paremmin varautunut toimittamaan laitteelle turvallisuuspäivityksiä.

Lisätietoja ja haittaohjelman tunnistetietoja:

• https://blog.talosintelligence.com/2018/05/VPNFilter.html
• https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
• https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet
• https://thehackernews.com/2018/06/vpnfilter-router-malware.html