Op:n, Nordean ja Handelsbankenin asiakkaille on satanut huijausviestejä eli heiltä on eri keinoin yritetty kalastella verkkopankkitunnuksia.

Aktiivisuuden kasvua kalasteluun voidaan selittää median kovalla rummutuksella palvelunestohyökkäyksistä, jolloin kalasteluyritykset onnistuvat, jos asiakkaat kokevat olevansa epävarmoja pankkinsa turvallisuudesta.

Pankki tai viranomaiset eivät koskaan ota asiakkaihinsa yhteyttä kysyäkseen verkkopalvelutunnuksia, kortin tietoja tai henkilötunnusta.

Viestintävirasto on tietoinen useista suomalaisiin verkkopalveluihin vuodenvaihteen 2014-2015 tienoilla kohdistuneista palvelunestohyökkäyksistä. Suomalaisiin pankkeihin kohdistuneet hyökkäykset ovat olleet laajasti esillä tiedotusvälineissä. Palvelunestohyökkäys ei paljasta, tuhoa tai muuta kohteena olevan palvelun sisältämiä tietoja.

Internetin arkipäivää

Palvelunestohyökkäykset ovat jokapäiväinen ilmiö internetissä. Suomessa ilmiö on nyt tavanomaista enemmän esillä, kun joihinkin suomalaisiin pankkeihin kohdistuneet hyökkäykset ovat haitanneet monien ihmisten arkista asioiden hoitamista. Viestintävirasto on tietoinen useista suomalaisiin palveluihin vuodenvaihteen 2014-2015 tienoilla kohdistuneista palvelunestohyökkäyksistä. Tapauksia selvitetään yhdessä hyökkäysten kohteiksi joutuneiden ja viranomaisten kanssa.

Palvelunestohyökkäyksessä tyypillisesti luodaan keinotekoisesti ruuhkaa palveluun. Palvelunestohyökkäystä voi verrata siihen, että hyökkääjä muodostaa kätyreistään asiakaspalvelutiskille pitkän jonon, hyökkääjän kätyrit ottavat useita vuoronumeroita ja menevät vuorollaan palvelutiskille tuppisuuna kuluttamaan aikaa. Oikeita asiakkaita on vaikeaa, ellei mahdotonta erottaa valeasiakkaista.

Internetissä palvelunestohyökkäykset ovat varsin helppoja toteuttaa ja vaikeita estää, sillä verkkoliikenteen lähdeosoite on helppo väärentää. Jos hyökkäyksen kohteena olevan palvelun on tarkoitus olla avoin kelle tahansa missä päin tahansa maailmaa, palvelu ei voi tietää, onko sen saaman liikenteen lähdeosoite väärennetty vai aito.

Suomessa teleyritykset tekevät hyvää työtä estämällä sellaisen väärennetyn verkkoliikenteen, joka väittää tulevansa teleyrityksen itsensä hallinnoimasta verkosta, mutta joka saapuu teleyrityksen verkkoon toisesta verkosta tulevaa johtoa pitkin. Joissakin muissa maissa tällaista "osoitehygieniaa" harjoitetaan vähemmän tai ei ollenkaan. Palvelunestohyökkäysten liikenne tuleekin Suomeen usein ulkomailta. Se ei kuitenkaan tarkoita, etteikö hyökkäyksen tekijä voisi olla Suomessa. Hyökkäyksiin käytetään usein kaapattuja tietokoneita ja palvelimia.

Tiedot ovat turvassa

Palvelun saatavuus on yksi tietoturvallisuuden mittareista. Tietojärjestelmän häiritseminen niin, etteivät palvelua tarvitsevat henkilöt pysty käyttämään sitä, on siis selvästi tietoturvapoikkeama. Palvelunestohyökkäyksen seuraukset palvelun käyttäjille vaihtelevat huomaamattomasta kiusallisen kautta aina katastrofiin asti. Seuraukset riippuvat siitä, miten paljon käyttäjä tarvitsee palvelua hyökkäyksen aikana ja miten nopeasti palvelu pystyy palautumaan normaaliin tilaan.

Palvelunestohyökkäys ei kuitenkaan tarkoita murtautumista palveluun eikä se vaikuta muihin tietoturvallisuuden keskeisiin mittareihin: tietojen luottamuksellisuuteen ja eheyteen. Erityisesti nyt tapahtuneiden pankkeihin kohdistuneiden palvelunestohyökkäysten yhteydessä ei tarvitse olla huolissaan, että omat tilitiedot tai verkkopankin salasanat olisivat hyökkäyksen vuoksi paljastuneet, tai että hyökkääjät olisivat varastaneet rahoja.

Lisää aiheesta

Palvelunestohyökkäyksiä on monta lajia

Suojautuminen hyökkäyksiltä kannattaa

Tietoturva-asiantuntija: Verkossa on päivittäin tuhansia palvelunestohyökkäyksiä (Yle, 5.1.2015)

Salasanoilla on heikkouksia ja vahvuuksia

18.12.2014 klo 14:59

Salasanojen heikkoudet ja vahvuudet on hyvä tunnistaa. Näin on helpompaa arvioida, missä palveluissa yksin salasana riittää ja missä taas vahva todentaminen on tarpeellista.

Salasana on yleisin käytössä oleva todentamismenetelmä, jolla käyttäjä autentikoidaan. Helppokäyttöisenä ja hyvin tunnettuna menetelmänä salasanoilla on omat etunsa. Pääsääntöisesti muita todentamismenetelmiä käytetään vain, jos itse palvelu tai järjestelmä edellyttää luotettavampaa tapaa todentaa käyttäjiä.

Joskus pelkkä salasana ei riitä käyttäjän todentamiseen ja tietojen suojaamiseen. Jos lisätodentamisen mahdollisuutta ei ole, käyttäjän kannattanee pohtia jopa vaihtoehtoiseen palvelun käyttöä. Onkin suositeltavaa, että käyttäjät hyödyntävät salasanoja tukevia todennusmenetelmiä aina, kun niitä on käytettävissä.
 

Salasanojen vahvuudet

Edulliset toteutuskustannukset ovat salasanojen selkeä etu muihin todentamismenetelmiin verrattuna. Useat verkkopalvelut ovat ilmaisia tai toteutettu pienillä alkukustannuksilla, jolloin kalliiden tunnistamisvälineiden (esim. biometrinen sormenjälkitunniste, sirukortti) jakaminen käyttäjille on taloudellisista ja logistisistakin syistä hankalaa. Salasanat ovat yleisesti hyväksyttyjä ja tunnettuja, siksi niitä käyttävät uudet palvelut saadaan nopeasti käyttöön, koska käyttäjille tunnistamistapa on jo tuttu.

Salasanojen etuna on myös tilannejoustavuus. Ne kulkevat helposti käyttäjän mukana. Tärkeimmät salanat ovat käyttäjien muistissa tai pysyvät lähellä kännyköissä lähes kaikkialla.

Joissakin palveluissa useiden on tarpeen käyttää samaa salanaa. Tilanne voi syntyä, kun halutaan hallinnoida samaa tiliä tai asiakkuutta, eikä samaan käyttöoikeuteen ole mahdollista liittää useita erillisiä salasanoja. Näissä tapauksissa salasana on helppo jakaa käyttäjien kesken toisin kuin esimerkiksi biometriset tunnisteet.

Salasanojen hallinnan mukautuvuus poikkeustilanteissa on sekin hyödyllinen ominaisuus. Fyysisen tai biometrisen tunnisteen korvaaminen ja uuden tunnisteen päivittäminen järjestelmään on hankalaa, jos esimerkiksi sirukortti katoaa tai sormeen tulee haava. Salasanoja käytettäessä tällaisia ongelmia ei yleensä ole.

Vanhentuminen, unohtaminen, tietoturvakontrollien muuttuminen tai tietomurto ovat syitä, miksi käytettyä todentamismenetelmää on muutettava. Muihin todentamismenetelmiin verrattuna salasanat taipuvat muutoksiin verrattain nopeasti ja vaivattomasti.
 

Salasanojen heikkoudet

Todettu on, että salasanatunnistamisen käyttöönottokustannukset ovat pienet. Usein kuitenkin unohdetaan, että salasanojen ylläpitoon kätkeytyy piilokustannuksia. Salasanojen hallinnan ja palvelun ylläpitovaatimusten vuoksi kustannukset voivat kasvaa yllättävänkin suuriksi. Esimerkiksi, kun käyttäjät unohtavat salasanoja, asiakaspalveluun liittyvät kustannukset lisääntyvät välittömästi.

Suurin salasanoihin liittyvä ongelma on niiden riippuvuus käyttäjien kyvystä hallita salasanojaan. Käyttäjien on itse keksittävä laadukkaita salasanoja ja vaihdeltava niitä palveluittain. Jos käyttäjän salasanat ovat aina samoja, yhden palvelun salasanojen paljastuminen voi vaikuttaa toisen, täysin sivullisen, palvelun tietoturvaan. Tällöin käyttäjätilien tietoturva ei ole täysin palvelun ylläpidon oman osaamisen varassa.

Salasanojen turvallisuuteen voi merkittävästi vaikuttaa oikeanlaisella hallinnalla ja hyvillä salasanoilla. Kuitenkin salasanat ovat teknisin apuvälinein kohtuullisen helposti murrettavissa ja sosiaalisin menetelmin selvitettävissä. Muutaman käyttäjän heikot ja paljastuneet salasanat voivat toimia siemeninä, joilla murtaja selvittää salasanojen tallennuksen laskukaavan ja onnistuu paljastamaan myös palvelun muiden käyttäjien laadukkaammat salasanat.

Varsin usein palveluissa salasana on ainoa käyttäjän todentamiseen käytetty ominaisuus, eikä muita tunnistuspalveluja ole tarjolla. Tällöin pelkällä salasanalla voi esiintyä oikeutettuna käyttäjänä ja tehdä paljon vahinkoa.