Kyberturvallisuuskeskuksen viikkokatsaus - 06/2025

Sähköpostitunnuksia kalastellaan Dropboxia hyödyntäen - tietomurto tehdään yhä nopeammin

Kyberturvallisuuskeskus on saanut viime aikoina useita ilmoituksia Microsoft 365 -käyttäjätilien tietomurroista. Sähköpostitunnusten kalasteluissa rikolliset käyttävät hyväkseen erityisesti Dropboxista jaettavia PDF-tiedostoja. Kyberturvallisuuskeskuksen tietoon tulleissa tapauksissa käyttäjätilille on yritetty kirjautua jopa minuuttien sisällä siitä, kun tunnukset on syötetty kalastelusivulle.

Tietojenkalastelun kulku:

1. Joissain tapauksissa kalastelun kohteena olevalle henkilölle lähetetään sähköpostiviesti, jossa kerrotaan hänen saavan pian viestin Dropbox-palvelusta.
2. Henkilölle lähetetään kalastelusähköpostiviesti Dropboxista, jossa on linkki Dropboxiin jaettuun PDF-tiedostoon. Jaetun PDF -tiedoston nimi voi olla esimerkiksi LASKU_INV_PO300125.PDF. Sähköpostiviesti voi tulla tutulta henkilöltä.
3. Sähköpostin linkki vie DropBox sivulle. Luvatun .pdf-tiedoston sijaan sivulla jaetaan lomaketiedostoa, jossa henkilöä pyydetään syöttämään sähköpostin käyttäjätunnus ja salasana, jotta voidaan varmistua henkilön “identiteetistä” ennen .pdf tiedoston avaamista.
4. Jos henkilö syöttää oman käyttäjätunnuksensa ja salasanansa tälle lomakkeelle, rikolliset saavat tilin haltuunsa ja voivat käyttää sitä esimerkiksi petoksiin ja uusien kalasteluviestien lähettämiseen. Murrettuja tilejä on käytetty jopa tuhansien kalasteluviestien levittämiseen.
5. Kyberturvallisuuskeskuksen tietoon tulleissa tapauksissa kaapatulle sähköpostitilille on lisätty viestin käsittelysääntö, joka siirtää kaikki “dropbox” -sanana saapuvat viestit RSS Syöte -kansioon. Tavoitteena on salata käyttäjältä tilillä tapahtuva epäilyttävä toiminta.

Ennaltaehkäise, raportoi, reagoi

• Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita varoittamaan henkilöstöään tietojenkalastelusta.
• Monivaiheisen tunnistautumisen pakotettu käyttöönotto on tehokas suojautumiskeino tietojenkalastelua vastaan. 
• Suosittelemme lisäksi tarkistamaan organisaation sisäisesti, onko käyttäjällä tarvetta olla oikeus asentaa eri sovelluksia suoraan Microsoft 365 -tilaukseen.
• Mahdollisuuksiesi mukaan, ota ehdollisia sääntöjä käyttöön M365-palveluissa. Ehdollisten sääntöjen avulla voit estää tietomurron, vaikka sähköpostitunnukset olisikin rikollisen hallussa.

Jos epäilet saaneesi tietojenkalasteluviestin, ilmoita asiasta oman organisaatiosi IT-tukeen. Voit ilmoittaa kalasteluviestin linkkeineen myös Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus tutkii viestin linkin ja aloittaa toimenpiteet haitallisten sivustojen alasajamiseksi.

Konfiguroimaton Jira Service Management saattaa mahdollistaa ulkopuoliselle pääsyn ympäristöön

Kyberturvallisuuskeskus on saanut tiedon, että vakioasetuksille jätetty Jira Service Management -ympäristö saattaa mahdollistaa ulkopuoliselle kyvyn luoda lokaaleja käyttäjätunnuksia ja esimerkiksi ohittaa huonosti konfiguroidun SSO:n. Tätä kautta ulkopuolisella voi olla pääsy tietoihin, joita ei ole tarkoitettu julkisesti saataville. Suosittelemme tarkistamaan ja tarvittaessa konfiguroimaan Jira Service Desk -ympäristönne viiveettä.

Julkiverkkoon avoin Jira Service Desk mahdollistaa oletusasetuksillaan lokaalin käyttäjätunnuksen luonnin ulkopuoliselle. Riippuen ympäristöstä ulkopuolisella taholla saattaa olla uuden käyttäjätunnuksen luonnin jälkeen kyky tehdä ainakin seuraavia asioita:

• Päästä käsiksi sisäisiin tietoihin ja yrityksen henkilöstön tietoihin
• Päästä lomakkeisiin, jolla voi esimerkiksi
  • Tilata uusia käyttäjätunnuksia
  • Tilata salasanan nollaus
  • Pyytää SAP master dataan muutoksia
  • Tilata uusia palvelimia
  • Tilata palomuurimuutoksia
  • Tilata muutoksia käyttöoikeuksiin

Tämän ominaisuuden hyväksikäyttö saattaa altistaa myös erilaisille tietojenkalastelukampanjoille, joissa käytetään hyväksi Jirasta saatuja tietoja.

Suosittelemme, että organisaatiot rajoittavat uusien tunnusten luontia ja Jiran näkyvyyttä internetiin. Oletuskonfiguraatiolla olevasta ympäristöstä on hyvä tarkistaa ja poistaa mahdolliset ylimääräiset käyttäjätilit. 

Riskienhallinta on avain ohjelmistoturvallisuuteen

Ohjelmistojen haavoittuvuudet ovat kyberrikollisten suosikkikohde, ja esimerkiksi päivittämättömät komponentit voivat jättää järjestelmän alttiiksi hyökkäyksille. Turvallinen ohjelmistokehitys ei ole vain tekninen vaatimus, vaan se varmistaa liiketoiminnan jatkuvuuden ja asiakkaiden luottamuksen.

Ohjelmistojen riskienhallinta tarkoittaa riskien tunnistamista, arviointia ja hallintaa koko ohjelmiston elinkaaren ajan. EU:n tuleva kyberkestävyyssäädös (Cyber Resilience Act, CRA) tiukentaa vaatimuksia ja velvoittaa yrityksiä huomioimaan tietoturvan jo kehityksen alkuvaiheessa.

Riskienhallinta ei kuitenkaan ole vain sääntelyyn liittyvä velvoite, vaan myös kilpailuetu. Ennakoiva riskienhallinta auttaa tunnistamaan ohjelmistokehityksen ja hankintojen riskit ajoissa, mikä vähentää korjauskustannuksia ja tietoturvauhkia.

Ohjelmiston elinkaaren eri vaiheissa riskit vaihtelevat. Kehitysvaiheessa on tärkeää asettaa selkeät turvallisuusvaatimukset, hankinnoissa varmistaa kolmansien osapuolien komponenttien luotettavuus ja käytön aikana hallita päivityksiä sekä vanhentuvia teknologioita, jotta ohjelmisto pysyy turvallisena ja toimintavarmana.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.