Tietoturva Nyt!
Tällä viikolla kerromme mm. Facebook-tilimurtoihin johtavista huijausviesteistä, 12.3. pidettävästä Tietoturva 2025 -seminaarista ja siitä miten salasanoja hallitaan turvallisesti.
Tällä viikolla katsauksessa käsiteltäviä asioita
Facebook-tunnuksia kaapataan jälleen puhelinnumerokyselyillä
Facebookin Messengerissä lähetetään huijausviestejä, joissa pyritään kaappaamaan Facebook-tili puhelinnumeron ja vahvistuskoodin avulla. Kyseessä ei ole uusi ilmiö, mutta huijaustapa on edelleen aktiivinen ja saamme säännöllisesti ilmoituksia kyseisellä menetelmällä toteutetuista tilikaappauksista.
Huijaus etenee usein seuraavanlaisesti:
1. Saat Facebook-kaveriltasi Facebook Messengerissä viestin, jossa hän kysyy sinulta puhelinnumeroasi. Todellisuudessa viestin on lähettänyt kaverisi tilin kaapannut huijari.
2. Kaveriksesi tekeytynyt huijari kertoo osallistuvansa kilpailuun tai arvontaan ja tarvitsee tätä varten puhelinnumeroasi.
3. Annettuasi puhelinnumerosi, huijari pyytää sinua toimittamaan asiaan liittyvän koodin, jonka saat kohta tekstiviestillä.
4. Kilpailuun tai arvontaan osallistumisen sijaan huijari yrittää päästä kaappaamaan myös sinun Facebook-tilisi puhelinnumeron ja vahvistuskoodin avulla. Jos annat puhelinnumerosi ja tekstiviestillä tulleen koodin, huijari yrittää kirjautua käyttäjätunnuksellesi ja pyrkii vaihtamaan salasanasi ja käyttäjätunnuksesi sähköpostiosoitteen.
6. Kaappauksen onnistuttua tunnuksesi on hyökkääjän hallussa, ja lähettää nyt eteenpäin vastaavia huijauksia kaverilistallesi.
7. Jos huijari on ehdottanut jakavansa mahdolliset voitot kanssasi, saatat saada vielä pankkitietojasi kalastelevan viestin "voittojen siirtämistä" varten.
Tietoturva 2025 -seminaari 12.3. – teemana digitaalisen yhteiskunnan suojaaminen
Elämme aikakaudella, jossa digitaaliset teknologiat muovaavat elämäämme, työskentelytapojamme ja yhteiskunnallista vuorovaikutustamme. Miten hyvin olemme valmistautuneita suojelemaan tätä nopeasti kehittyvää digitaalista ympäristöä? Kuinka varmistamme, että yhteiskuntamme ja arkemme perustuvat kyberturvallisiin ratkaisuihin – aina maanpinnalta avaruuteen saakka? Millaisia uhkia kohtaamme lähivuosien aikana?
Muun muassa näitä kysymyksiä käsitellään Traficomin ja Huoltovarmuuskeskuksen järjestämässä maksuttomassa Tietoturva 2025 -seminaarissa 12. maaliskuuta klo 9–17.
Tapahtuman kansainvälisiä huippupuhujia ovat mm. Deputy Director General Emmanuel Naëgelen Ranskan kyberturvallisuusviranomainen ANSSI:sta, Chief Analyst John Hultquist Google Threat Intelligencestä, professori Alice Hutchings Cambridgen yliopistosta, Managing director (Cyber security) Dr. Alexander Schellong Schwartz Digits KG:ltä ja CISO Joseph Carson Wiretrapilta.
Tilaisuuden aamupäivän ohjelma on englanniksi ja iltapäivän puheenvuorot ovat suomeksi. Tapahtumaa voi seurata etänä verkossa. Verkkolähetys on avoin kaikille.
Tutustu ohjelmaan ja ilmoittaudu mukaan osoitteessa tietoturvaseminaari.fi .
Hallitse salasanojasi turvallisesti
Salasanoja tarvitaan digitaalisissa palveluissa edelleen paljon, vaikka myös avainkoodien kaltaiset uudenlaiset kirjautumistavat ovat yleistymässä. Jokaisen käytetyn salasanan pitäisi olla uniikki ja käytössä vain yhdessä palvelussa, jotta yhteen palveluun tehty tietomurto ei anna rikolliselle pääsyä muille käyttäjätileille. Tunnuksia alkaa nykyisin olla niin paljon, että harva meistä kykenee muistamaan kaikkien palveluiden salasanat. Sen vuoksi salasanojen hallintaan kannattaa käyttää salasanojen hallintaohjelmaa.
Hallintaohjelmien tehtävänä on säilyttää eri palveluiden salasanat suojatusti yhden pääsalasanan takana. Hallintaohjelmat voivat olla joko pilvipohjaisia palveluita tai laitteelle tallennettavia ohjelmia, joista molemmilla on omat etunsa ja riskinsä.
Salasanojen hallintaohjelmia valittaessa on tärkeää pyrkiä arvioimaan niiden luotettavuutta. Ohjelmaa tai palvelua valitessa kannattaa etsiä lisätietoa ja arvioita ohjelmista ja tarjoajista. Tunnettuja ja hyvämaineisia palveluntarjoajia kannattaa käyttää, sillä ne ovat turvallisempia kuin satunnaiset verkkosivustot, joiden taustasta ja toiminnasta ei ole varmuutta.
Selaimen salasanasäilön käyttöä kannattaa harkita kriittisesti, sillä sinne tallennetut salasanat ovat haittaohjelmien ensimmäisiä kohteita. Jos päädyt tallentamaan salasanat selaimeen, kannattaa suojata tallennetut salasanat pääsalasanan taakse, mikäli selain tällaisen ominaisuuden tarjoaa.
Vaikka salasanojen hallintaohjelmat parantavat tietoturvaa, ne eivät poista riskejä kokonaan. Jos pääsalasana tai koko palvelu joutuu tietomurron kohteeksi, hyökkääjä voi päästä käsiksi kaikkiin tallennettuihin salasanoihin. Tämän vuoksi pääsalasanan on oltava erityisen vahva, ja monivaiheinen tunnistautuminen kannattaa ottaa käyttöön. Erityisen kriittisiä tunnuksia, kuten tärkeimmän pilvipalvelutunnuksen salasanaa tai sähköiseen tunnistautumiseen liittyviä muihin palveluihin pääsyt antavia tunnuksia, ei välttämättä kannata tallentaa edes hyvin suojattuun järjestelmään, vaan opetella ne ulkoa.
Tietoturva Nyt!: Neuvoja salasanan hallintasovelluksen käyttöönottoon
Into Certification laajensi Katakri 2020 -pätevyyttään
Liikenne- ja viestintävirasto Traficom on 25.2.2025 laajentanut tietoturvallisuuden arviointilaitos Huld Certification Oy:n arviointilaitoshyväksyntää niin, että se kattaa jatkossa myös Katakri 2020 -pätevyysalueen turvallisuusluokkien TL IV ja TL III osalta.
Into Certification Oy toimi aikaisemmin nimellä Huld Certification Oy. Nimen muutos astui voimaan 28.2.2025.
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
- Ohjeet tietovuodon uhrille (Ulkoinen linkki)
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 28.02.-06.03.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.