Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Tällä viikolla kerromme Palo Alto -verkkolaitteiden kriittisestä haavoittuvuudesta ja siihen julkaistusta keltaisesta varoituksesta. Luottotietorekisteriin nimissä on liikkeellä tietojenkalasteluviestejä ja organisaatiot ovat vastaanottaneet erilaisia laskutushuijauksia.

TLP:CLEAR

Palo Alton kriittinen haavoittuvuus johtanut tietomurtoihin myös Suomessa

Julkaisimme 18.4. varoituksen Palo Alton GlobalProtect-tuotteissa olevasta haavoittuvuudesta, joka vaatii laitteiden välitöntä päivitystä ja tutkintaa. Palo Alto GlobalProtect Gateway ja sen hallintaan käytetty GlobalProtect Portal ovat tuotteita, joita organisaatiot käyttävät esimerkiksi turvallisiin VPN-etätyöratkaisuihin. Haavoittuvuutta käytetään aktiivisesti hyväksi ja sille alttiita laitteita on syytä epäillä murretuiksi.

Perjantaina 12.4. julkaisimme haavoittuvuustiedotteen  Palo Alton kriittisestä haavoittuvuudesta CVE-2024-3400. Palo Alto ilmoitti aluksi pienen konfigurointimuutoksen mitigoivan, eli estävän haavoittuvuuden hyväksikäytön. Tämä ei enää pidä paikkaansa ja useita onnistuneita tietomurtoja on havaittu myös Suomessa. Organisaatioiden tulee päivittää haavoittuvat Palo Alto -laitteet uusimpiin versioihin ja on erittäin suositeltavaa tutkia laitteet mahdollisen tietomurron vuoksi. Esimerkiksi laitteen lokista ja laitteelle lisätyistä uusista tiedostoista voi selvitä, mikäli laite on murrettu.

Otamme mielellämme vastaan ilmoituksia haavoittuvuuden hyväksikäytöstä, mikäli organisaatiossanne on niistä havaintoja. Havainnot voi ilmoittaa kotisivujemme lomakkeella tai cert@traficom.fi -sähköpostiosoitteen kautta.

Tietoturvayhtiö Rapid7 on julkaissut kattavat ohjeet (Ulkoinen linkki) laitteiden tutkintaan.

Tietomurtoja Palo Alton tuotteisiin. 27.-27.3 haavoittuvuutta käytetty hyväksi maailmalla ensimmäisiin organisaatioihin tunkeutumisessa. 7.4. epäonnistunut tunkeutumisyritys johtaa haavoittuvuuden jäljille, haavoittuvuus paikannetaan 10.4. 12.4. haavoittuvuustiedote julki ja estosuositukset Palo Altolta. 14.4. korjaavia päivityksiä aletaan julkaista. 17.4 estotoimenpiteet paljastuvat tehottomiksi, päivitykset asennettava. 17.4 Ensimmäiset tietomurtotapaukset Suomessa. 18.4 Traficomin vakava varoitus.
Aikajana Palo Alto -haavoittuvuuteen liittyen.

Huijausviestejä positiivisen luottotietorekisterin nimissä

Kyberturvallisuuskeskus on saanut useita ilmoituksia huhtikuun alussa avatun positiivisen luottotietorekisterin nimissä lähetetyistä huijausviesteistä. Huijausviesteissä on ollut muistutus, jonka mukaan vastaanottajalla on päivä aikaa vahvistaa positiivinen luottotietonsa. Viestissä oleva linkki vie huijaussivustolle, jossa kalastellaan pankkitunnuksia. Huijaussivustolle syötetyt pankkitunnukset päätyvät rikollisten käsiin.

Lyhyt reagointiaika ja kiireeseen vetoaminen ovat tyypillisiä tunnusmerkkejä huijauksille. Tällaisten viestien kohdalla kannattaakin olla erityisen tarkkana. Lisää ajankohtaisista huijauksista voit lukea tämän viikkokatsauksen lopusta.

Yksityishenkilö voi tarkistaa rekisterissä olevat tiedot rekisterin omasta sähköisestä asiointipalvelusta, jonne kannattaa kirjautua suoraan rekisterin sivuilta (Ulkoinen linkki). Verkko-osoite kannattaa kirjoittaa selaimeen ja välttää hakukoneiden käyttöä huijaussivustojen välttämiseksi.

Positiivisen luottotietorekisterin nimissä liikkuu myös muunlaisia huijauksia, joista on tiedotettu erikseen rekisterin verkkosivustolla (Ulkoinen linkki).

Suomalaisia organisaatioita laskutushuijauksien kohteena

Kyberturvallisuuskeskus on vastaanottanut useita ilmoituksia laskutuspetosten yrityksistä, jotka ovat kohdistuneet suomalaisiin organisaatioihin. Rikolliset pyrkivät esiintymään eri verukkeilla maksuja vaativana johtajana tai omia tilitietoja vaihtavana työntekijänä.

Laskutus- ja toimitusjohtajahuijaukset ovat huijauksia, joissa rikollinen yrittää saada organisaation HR- tai talousasioista vastaavan tahon tekemään muutoksia laskujen tai palkkojen maksutietoihin. Tavoitteena on saada maksu ohjattua rikollisen hallinnoimalle tilille. Joissain tapauksissa saatetaan myös pyytää suorittamaan jokin täysin tekaistu maksu.

Rikolliset ovat saattaneet tehdä taustatyön kattavasti ja saaneet selvitettyä organisaatiossa toimivan henkilön nimen, jonka nimissä huijauksissa esiinnytään. Julkisia lähteitä käyttäen on mahdollista selvittää organisaation rakennetta ja tätä kautta ohjata viesti HR- tai talous asioiden parissa työskentelevälle taholle.

Näin tunnistat laskutushuijauksen

  • Lähettäjä-kentässä saattaa olla oikean organisaatiossa työskentelevän henkilön nimi, mutta sähköpostiosoite ei vastaa organisaatiossa käytettävää mallia.
  • Viestissä on kirjoitusvirheitä.
  • Viestissä pyritään luomaan vastaanottajalle kiireen tunne.
  • Tilinumero halutaan vaihtaa ulkomaalaiseen tilinumeroon. Myös suomalaisia tilinumeroita on ollut joissain tapauksissa.
  • Mikäli jokin näistä asioista esiintyy maksuasioihin liittyvässä viestissä, on hyvä tarkistaa asia ennen maksun suorittamista. Asiaa ei kannata selvittää vastaamalla viestiin, vaan esimerkiksi soittamalla lähettäjälle.
Havainnollistava kuva laskutuspetoksista.
Havainnollistava kuva laskutuspetoksista.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Toimi näin, jos tulit huijatuksi

Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta

Haavoittuvuudet

CVE: CVE-2024-30407
CVSS: 8.1
Mikä: Useita haavoittuvuuksia Juniperin tuotteessa
Tuote: Juniper Cloud Native Router and Containerized Routing Protocol Daemon
Korjaus: Päivitä tuotteet

CVE: CVE-2024-31497
CVSS: Ei tiedossa
Mikä: Vakava haavoittuvuus PuTTY-ohjelmiston ECDSA-algoritmin toteutuksessa
Tuote: PuTTY
Korjaus: Päivitä uusimpaan versioon

CVE: CVE-2024-29204
CVSS: 9.8
Mikä: Useita haavoittuvuuksia
Tuote: Ivanti: Avalanche 6.4.3 
Korjaus: Päivitä uusimpaan versioon

Tutustu Viikkokatsaukseen

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso  12.4.-18.4.2024). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.