Tietoturva Nyt!
Tällä viikolla kerromme mm. sähköpostitilien murtoaallosta ja siitä, miten toimitusjohtajahuijauksia sekä petoksen yrityksiä yritetään tehdä verkossa Matkahuollon ja Postin nimiä käyttäen.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Sähköpostitilimurtoja jälleen liikkeellä
- Petoksen yrityksiä toimitusjohtajaksi tekeytymällä
- Matkahuollon ja Postin nimissä maksupetosyrityksiä
- Yhdessä tekstiviestihuijauksia vastaan – jo 70 lähettäjätunnusta on suojattu
- Laita kalenteriin: Kansallisen koordinointikeskuksen kumppanuustapahtuma 23.–24.4.2024
Sähköpostitilimurtoja jälleen liikkeellä
Kyberturvallisuuskeskus on jälleen saanut ilmoituksia Microsoft 365 -tilimurroista. Turvapostiksi naamioidut huijausviestit johtavat tietojenkalastelusivulle, jossa kalastellaan käyttäjätunnuksia ja salasanoja. Jos huijausviestistä avautuvalle verkkosivulle erehtyy syöttämään sähköpostitilinsä käyttäjätunnuksen salasanoineen, rikollinen saa tilin haltuunsa ja käyttää sitä petoksiin sekä uusien tietojenkalasteluviestien lähettämisen edelleen. Murrettuja tilejä voidaan käyttää tuhansien uusien tunnuskalasteluviestien lähettämiseen.
Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita viestimään sisäisesti kalasteluviestien uhista. Suosittelemme käyttämään kaksivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä. Kaksivaiheisen tunnistautumisen pakotettu käyttöönotto on tehokas suojautumiskeino tietojenkalastelukampanjoita vastaan. Jos kaksivaiheisen tunnistautumisen käyttö jätetään vapaaehtoiseksi, se ei tuo täyttä suojaa.
Lue lisää: Viikkokatsaus 04/2024 ja Varoitus 1/2023
Petoksen yrityksiä toimitusjohtajaksi tekeytymällä
Toimitusjohtajahuijauksia on jälleen raportoitu Kyberturvallisuuskeskukselle runsaasti. Viime viikkoina on nähty eri yhteisöjen taloushallintoon osuneita samantyyppisiä sähköposteja, joissa toimitusjohtajan tai pääjohtajan nimissä kysellään saldoa ja pyydetään tekemään kiireellinen kymmenien tuhansien eurojen siirto ulkomaiselle tilille. Myös kotimaisia tilejä on käytetty maksupetoksiin. Huijausviesteissä käytetään kohtuullisen hyvää suomen kieltä ja lähettäjän osoite saattaa näyttää oikealta. Joukossa on epämääräisempiä satunnaisista gmail-osoitteista lähetettyjä viestejä, mutta ei pidä luulla, että väärä lähettäjän osoite on varma tapa erottaa huijausviesti aidosta.
Joissain tapauksissa organisaation sähköpostitili on murrettu ja sitä kautta johtajan osoite on rikollisten käytössä. Aidosta johtajan osoitteesta lähetetty aito Teams-viesti tai sähköposti lisää huijauksen uskottavuutta. Jos sähköpostilaatikko on murrettu, sähköpostitse lähetettyihin varmistusviesteihin vastaakin huijari, joka vakuuttaa kaiken olevan kunnossa. Epäilyttävät viestit voi varmistaa soittamalla lähettäjälle puhelimitse. Usein huijausviesteissä vedotaan kiireeseen tai salaisuuteen tai väitetään, että puhelimessa ei juuri nyt voi puhua, mutta rahasiirto olisi saatava tehtyä pikaisesti. Taloushallinnolta tarvitaan malttia ja pidättäytymistä organisaation normaaleissa maksuhyväksyntäkäytännöissä, vaikka huijausviestissä vaadittaisiinkin ohittamaan normaalit tarkistukset ja hyväksynnät.
Tavanomaisten toimitusjohtajahuijausten lisäksi on nähty myös palkanmaksuhuijauksia. Niissä huijari lähettää palkanlaskijalle johtajan nimissä viestin, jossa pyytää vaihtamaan palkkatilinsä toiseksi. Myös näissä tapauksissa on tarpeen pitää kiinni organisaation turvallisista varmistuskäytännöistä eikä vaihtaa kenenkään palkkatiliä pelkän viestin perusteella.
Toimitusjohtajahuijaus on laskutuspetos
- Huijausta yritetään yleensä sähköpostitse johtajan tai muun auktoriteetin nimissä.
- Huijauksen kohteina ovat yleensä sijaiset, taloushallinto tai palkanlaskijat.
- Viestissä käsketään vaikkapa tekemään tilisiirto, hankkimaan lahjakortteja, tai vaihtamaan työntekijän palkanmaksutili toiseksi.
- Huijauksessa vedotaan usein kiireeseen tai salassapitovelvollisuuteen.
- Valejohtaja saattaa antaa viestissään huijarin puhelinnumeron tai väittää, ettei juuri nyt pääse puhelimeen.
Älä anna kiireen hämätä – aina on aikaa tarkistaa tilanne
- Joskus viestin epämääräinen lähetysosoite voi paljastaa huijarin.
- Huijausviesti saatetaan kuitenkin lähettää myös kaapatulta yritystililtä, jopa johtajan itsensä sähköpostiosoitteesta.
- Tarkista tilanne soittamalla suoraan johtajan oikeaan numeroon.
- Noudata aina organisaation rahaliikenteen turvallisia varmistuskäytäntöjä.
Matkahuollon ja Postin nimissä maksupetosyrityksiä
Uutena ilmiönä kahden edellisen viikon aikana saamissamme ilmoituksissa on ollut Matkahuollon ja Postin nimissä tapahtuvat maksupetosten yritykset erilaisilla verkon kauppapaikoilla. Saamissamme ilmoituksissa korostuu huijausten ja petosyristen kohdentaminen myyjiä kohtaan. Tietojemme mukaan halukas ostaja lähestyy myyjää ja tarjoutuu maksamaan tuotteen Matkahuollon tai Postin kautta. Todellisuudessa maksua osoittava sivusto on rikollisten luoma tiedon kalastelusivusto, jonne myyjä uskotellaan täyttämään maksuvälinetietonsa ja antamaan verkkopankkitunnuksensa maksun vastaanottaakseen.
Olemme saaneet ilmoituksia huijauksista ja petosten yrityksistä ainakin Tori.fi-palveluiden ja Facebook MarketPlacen käyttäjiltä. Uhreille lähetetyissä viesteissä käytetty suomen kieli on ollut kohtuullisen vakuuttavaa. Huijari saattaa perustella ehdottamansa maksupalvelun käyttöä sillä, että häntä on huijattu aiemmin toisissa palveluissa.
Mikäli syötät epähuomiossa omat tietosi kalastelusivulle, ota välittömästi yhteyttä omaan pankkiisi, tämän lisäksi suosittelemme tekemään asiasta rikosilmoituksen sekä ilmoituksen meille (ilmoita tästä ).
Suosittelemme tutustumaan myös ohjeeseemme Näin suojaudut nettihuijaukselta
Yhdessä tekstiviestihuijauksia vastaan – jo 70 lähettäjätunnusta on suojattu
Moni meistä on viime vuosina saanut aidon näköisiä huijausviestejä, joissa tekstiviestin lähettäjätunnus antaa ymmärtää, että viesti on tullut esimerkiksi omalta pankilta tai pakettia toimittavalta logistiikkayhtiöltä. Viestin ja niiden sisältämien linkkien takana on kuitenkin ollut huijaussivustoja, joiden avulla rikolliset kalastelevat esimerkiksi verkkopankkitunnuksia.
Liikenne- ja viestintävirasto Traficomin ja operaattoreiden yhteistyön ansiosta tekstiviestihuijausten tehtaileminen on rikollisille taas hitusen hankalampaa. Traficom on 9.11.2023 alkaen tarjonnut organisaatioille mahdollisuuden suojata oman lähettäjätunnuksensa.Tähän mennessä eri organisaatiot ovat suojanneet jo 70 tekstiviestin lähettäjätunnusta. Mukana ovat mm. Nordea, OP, S-Pankki, Posti, Kansaneläkelaitos, Verohallinto ja Poliisi. Voit tarkistaa suojatut tunnukset ja suojauksen voimaantulopäivän Traficomin verkkosivuilta (Ulkoinen linkki).
Mitä suojaus käytännössä tarkoittaa ja edellyttää hakijalta? Lue lisää uutisestamme (Ulkoinen linkki).
Laita kalenteriin: Kansallisen koordinointikeskuksen kumppanuustapahtuma 23.–24.4.2024
Laita päivämäärä kalenteriin! Kansallinen koordinointikeskus (NCC-FI) järjestää kansainvälisen kumppanuustapahtuman 23.–24.4.2024 Helsingissä. Tarkempi kutsu ja ohjelma päivittyy tapahtumasivulle pian!
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 16.02.-22.02.2024). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.