Mediataitoviikon kunniaksi julkaisemme lapsille ja heidän huoltajilleen tarkoitetut kyberturvallisuusoppaat. Jos tarvitset neuvoja muun muassa fiksuun ja turvalliseen internetin ja älylaitteiden käyttöön tai kaipaat kyberaiheisia tehtäviä lapsille, tämä opas on sinulle. Alkuperäiset oppaat on laatinut ja tuottanut Brasilian CERT.

PEAR PHP -projektin ylläpito on tiedottanut, että projektin sivusto osoitteessa hxxp://pear.php[.]net on onnistuttu murtamaan, ja vähintään yhtä sivuston kautta tarjottavaa tiedostoa on muokattu lisäämällä siihen haitallista lähdekoodia. Suosittelemme tarkistamaan, ettei käytössäsi ole saastunut versio tiedostosta.

PHP Extension and Application Repository (PEAR) on PHP-ohjelmointikielen aputyökalu, jolla voidaan toteuttaa pakettien ja riippuvaisuuksien hallintaa kehitettäessä PHP:llä verkkosovelluksia. Projektin ylläpito on tiedottanut, että projektin sivusto osoitteessa hxxp://pear.php[.]net on onnistuttu murtamaan, ja vähintään yhtä sivuston kautta tarjottavaa tiedostoa muokkaamaan haitallisella lähdekoodilla. Sivusto on ajettu alas ja ohjaa toistaiseksi DNS-pohjaisesti yhden projektin ylläpitäjän postipalvelimelle osoitteeseen mail.cweiske.de.

Tiedostosta go-pear.phar (GitHubin kirjastosta pear/pearweb_phars) on löytynyt haitallista lähdekoodia. Projektin ylläpitäjien ilmoituksen mukaan tiedosto on saastunut viimeisen puolen vuoden sisällä. Saamiemme lisätietojen mukaan haitallisella koodilla saastunutta tiedostoa suoritettaessa palvelimelta lähtee liikennettä osoitteeseen 104[.]131.154.154 TCP-porttiin 443.

Haitallisen koodin sisältävän tiedoston SHA256 tarkistussumma on:
"f74c4406c53e5b0187b8b1cfeb5b74f88ac9294acca29bdba8bd11371b2245e8"

Puhtaan version tarkistussumma on:
"f25521ec1fca71626ac78bdd69d3ea9d0cb9a836250583e896124ca661727f7e"

Suomalaisten yritysten työntekijöiden ja johtajien sähköpostiviestejä on kevään 2018 aikana varastettu ja heidän käyttäjätunnuksillaan on tehty useita petoksia ja petosten yrityksiä. Ne ovat aiheuttaneet monelle kotimaiselle yritykselle tuntuvia tappioita ja kuluja. Kehotamme kaikkien yritysten johtajia osoittamaan riittävästi resursseja huijausten ja tietomurtojen tekniseen torjuntaan, havainnointiin ja henkilöstön valistamiseen tietojenkalastelun uhasta.

Kohdennettua rikollista toimintaa

Tietojenkalastelu ja tietomurrot ovat useissa tapauksissa kohdistuneet erityisesti yritysten johtoryhmien jäseniin. Kyberturvallisuuskeskus uskoo, että tietojenkalastelun ja tietomurtojen takana on järjestäytyneitä rikollisryhmiä helpon rahan perässä. Teollisuusvakoilumotiivikin on mahdollinen.

Rikolliset ovat kalastelleet yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla sekä kirjautuneet saamillaan tunnuksilla Office 365 -sähköpostia käyttävien yritysten sähköpostijärjestelmiin.

Sisään päästyään hyökkääjät ovat asettaneet päättävässä asemassa olevien tai rahaliikennettä tai laskuja käsittelevien ihmisten sähköpostitileille sääntöjä, joiden vuoksi yrityksen sähköpostijärjestelmä lähettää hyökkääjille automaattisesti kopiot kaikista kyseisten ihmisten sähköpostiviesteistä. Hyökkääjät ovat myös lähettäneet murtamiltaan käyttäjätileiltä uusia kohdennettuja kalastelu- ja huijausviestejä.

Yritysten työntekijöiden ja johtajien käyttäjätunnusten kalastelu Office 365 -aiheisilla huijausviesteillä ja -sivuilla on nyt erittäin yleistä. Tieto perustuu saamiimme tietoturvailmoituksiin. Kuitenkin vain harvoilla yrityksillä on velvollisuus ilmoittaa kokemistaan tietoturvaloukkauksista Kyberturvallisuuskeskukselle, siksi uskomme että tähänastiset ilmoitukset ovat vain jäävuoren huippu. Tästä syystä julkaisimme ilmiöstä ja siihen liittyvistä uhista punaisen varoituksen.

Varoituksen kohderyhmä

Organisaatioiden johtajat, työntekijät ja ICT-järjestelmien ylläpitäjät.

Ratkaisu- ja rajoitusmahdollisuudet

Kehotamme kaikkia Office 365 -tuotteita käyttäviä yrityksiä tarkastamaan

• onko käytössä olevassa sähköpostijärjestelmässä luvattomia edelleenlähetyssääntöjä ja

• onko yrityksen tietojärjestelmiin kirjauduttu oudoista paikoista tai outoihin aikoihin.

Kehotamme myös kaikkia Office 365 -tuotteita käyttäviä yrityksiä harkitsemaan edelleenlähetyssääntöjen tekemisen rajoittamista ja kaksivaiheisen tunnistautumisen käyttöönottoa. Tarkempia teknisiä ohjeita on Tietoturva nyt! -artikkelissa, johon on linkki tämän varoituksen lopussa.

Kaikkien suomalaisten organisaatioiden tulee tiedottaa henkilöstöään käyttäjätunnusten ja salasanojen kalastelusta sekä painottaa tarkkaavaisuutta sähköpostiviestien käsittelyssä. Tarkemmista suojautumiskeinoista kerromme Tietoturva nyt! -artikkelissa, johon on linkki tämän varoituksen lopussa.

Jos epäilette tietomurron, petoksen tai muun rikoksen tapahtuneen, tehkää ilmoitus paikallispoliisille. Linkki sähköiseen rikosilmoituslomakkeeseen on tämän varoituksen lopussa.

Tietoturvaloukkauksista on hyvä ilmoittaa(Ulkoinen linkki) myös Kyberturvallisuuskeskukselle. Tarvittaessa neuvomme, kuinka tilanne saadaan hallintaan ja kuinka tietoturvaa voi parantaa. Käsittelemme kaikki ilmoitukset luottamuksellisesti ja neuvontapalvelumme ovat maksuttomia.

Lisätietoa

• Suojaustoimia Office 365 -tunnusten tietojenkalastelua vastaan(Ulkoinen linkki) (Tietoturva nyt! 11.6.2018)

• Ilmoita tietoturvaloukkauksesta(Ulkoinen linkki)

• Sähköinen rikosilmoitus(Ulkoinen linkki)

• Suomessa leviää nopeasti organisaatiosta toiseen Office 365-tunnusten tietojenkalasteluviesti(Ulkoinen linkki)

• Tietojenkalastelijat pyrkivät ohittamaan Office 365-palvelun monivaiheisen todentamisen(Ulkoinen linkki)

Yhteistyöllä parempaa tietoturvaa

Kyberturvallisuuskeskus kiittää tietoturvaloukkauksista ilmoittaneita yrityksiä. Ilmoitusten avulla Kyberturvallisuuskeskus pystyy luomaan kansallista kyberturvallisuuden tilannekuvaa ja tiedottamaan tilanteesta turvallisuuden parantamiseksi. Voimme myös auttaa muita viranomaisia ja tietoturvayhteisöä uhkien torjunnassa.

Yhteistyö Microsoftin kanssa on ollut Kyberturvallisuuskeskukselle tärkeää uhkan havainnointi- ja torjuntakeinoja koskevien ohjeiden kokoamisessa.

Päivityshistoria

29.12.2018 22:01

Tämä varoitus julkaisiin ensimmäisen kerran 11.06.2018 klo 10:11 Julkaistu 11.06.2018 klo 15:36 Linkki Tietoturva nyt! -artikkeliin vaihdettu. 08.08.2018 klo 16:07 Varoitus päivitetty punaisesta keltaiseksi. 20.09.2018 klo 16:35 Varoitus korotettu keltaisesta takaisin punaiseksi. 26.09.2018 klo 13:48 Lisätty linkit Tietoturva nyt! -artikkeleihin uudesta Office 365-tunnusten tietojenkalasteluviestejä, sekä monivaiheisen tunnistautumisen ohituksista. 26.10.2018 klo 14:31 Varoituksen taso laskettu kriittisestä vakavaksi.