Tietoturva Nyt!
Tällä viikolla kerromme mm. liikkeellä olevista Signal- ja Telegram-huijausviesteistä sekä siitä, miten Kelan nimissä lähetetään aktiivisesti huijaustekstiviestejä.
Tällä viikolla katsauksessa käsiteltäviä asioita
- Signal- ja Telegram-huijausviestejä liikkeellä. Älä luovuta vahvistuskoodejasi!
- Kelan nimissä tapahtuvasta tietojenkalastelusta useita kymmeniä ilmoituksia
- Teknisen tuen huijauspuhelut aiheuttaneet merkittäviä rahallisia menetyksiä
Signal- ja Telegram-huijausviestejä liikkeellä. Älä luovuta vahvistuskoodejasi!
Kyberturvallisuuskeskus on vastaanottanut ilmoituksia Signal- ja Telegram-sovelluksiin liittyvistä tietojenkalasteluviesteistä. Rikollisten kohteena ovat niin sanottujen lyhyiden puhelinnumeroiden omistajat ja tavoitteena on saada haltuun näiden henkilöiden Signal-tilit. Huijausviestit saapuvat tekstiviesteillä, ja niissä pyydetään vastaamaan viestiketjuun vastaanottajalle saapuneella vahvistuskoodilla tai klikkaamaan viestissä olevaa linkkiä.
Vahvistuskoodilla tai linkkiä klikkaamalla rikollinen saa rekisteröityä vastaanottajan Signal-tilin omalle laitteelleen. Vaarana voi olla arkaluontoisten tietojen päätyminen rikollisen haltuun. Älä ikinä luovuta vahvistukoodia tai kaksivaiheisen tunnistautumisen koodia kolmannelle osapuolelle.
Miten huijaus etenee?
Signal
Rikolliset lähettävät uhrille tekstiviestin, jossa kerrotaan tilin olevan rekisteröity kahdelle eri laitteelle. Viestien lähettäjä on väärennetty näyttämään siltä, että viestit saapuvat Signalin nimissä. Viestissä pyydetään vastaamaan viestiketjuun vastaanottajalle saapuvalla vahvistuskoodilla tai klikkaamaan viestissä olevaa linkkiä, mikä toimii kaksivaiheisena tunnistautumisena. Vastauksella väitetysti vahvistetaan vain käyttäjän puhelinnumero, mutta todellisuudessa viestillä kalastellaan vahvistuskoodi, jolla Signal-tili saadaan rekisteröityä toisessa puhelimessa.
Mikäli Signal-tili rekisteröidään toiseen laitteeseen, saapuvat myös tästä edespäin vastaanotetut viestit tähän laitteeseen. Tämä voi vaarantaa arkaluonteisia tietoja. Haltuun saatu tili tarjoaa rikolliselle myös mahdollisuuden jatkohuijausten tehtailuun.
Telegram
Lyhyiden puhelinnumeroiden haltijoille on myös saattanut tulla vastaavia huijausviestejä Telegramin nimissä. Näissä rikollisen tavoitteena on luoda uhrin nimissä Telegram-tili. Valetili antaa rikolliselle mahdollisuuden esiintyä uhrina ja altistaa monille erilaisille riskeille.
Havaintoja viesteistä
Kyberturvallisuuskeskukselle ilmoitetuista tapauksista on käynyt ilmi, että viestejä voi saapua ruotsin-, suomen- tai englanninkielisinä, ja kohteena ovat olleet lyhyitä puhelinnumeroita käyttävät henkilöt. Viesteissä on kirjoitusvirheitä, mistä voi päätellä, että viestit eivät ole Signalin lähettämiä.
Toimintaohjeita:
- Älä luovuta sinulle saapuvaa vahvistuskoodia tai klikkaa viestissä olevaa linkkiä.
- Ota käyttöön Signalin "Registration lock" -ominaisuus
Kelan nimissä tapahtuvasta tietojenkalastelusta useita kymmeniä ilmoituksia
Viimeisen kuukauden aikana olemme saaneet noin kahdeksankymmentä ilmoitusta suomeksi saapuneista huijaustekstiviesteistä Kelan nimissä. Viestien teemat ja linkit ovat olleet vaihtelevia. Viesteistä valtaosa on sisältänyt jonkinlaisen varoituksen Kelan toimittaman maksun viivästymisestä puutteellisten maksutietojen vuoksi. Joissakin viesteissä pyydetään kirjautumaan pankkitunnuksilla verkkopalveluun tai lähettämään omia tietoja. Joissakin viesteissä on pyydetty vahvistamaan tai toimittamaan myös tilitietoja.
Viestejä on nähtävästi lähetetty satunnaisille vastaanottajille 046-alkuisista numeroista.
Viestien väitteitä ei pidä uskoa eikä niissä ole mitään todenperäisyyttä. Kela on julkaissut asiasta myös oman tiedotteensa 27.10. ja muistuttaa siinä, että: "Kela ei koskaan kysy henkilötietoja sähköpostitse tai tekstiviestillä. Kelan verkkopalveluun voi kirjautua turvallisesti vain osoitteessa www.kela.fi."
Kelan julkaisema tiedote (ulkoinen linkki) (Ulkoinen linkki).
Teknisen tuen huijauspuhelut aiheuttaneet merkittäviä rahallisia menetyksiä
Olemme tämän viikon aikana saaneet ilmoituksia teknisen tuen huijauksista. Olemme kertoneet ilmiöstä ennenkin, viimeisimpänä Viikkokatsauksessa 17/2023 (Ulkoinen linkki) sekä laajemmassa aiheeseen keskittyvässä artikkelissa (Ulkoinen linkki).
Saamiemme ilmoitusten perusteella vaikuttaa siltä, että rikolliset esiintyvät tällä hetkellä englannin kielellä erityisesti Facebookin ja PayPalin teknisenä tukena. Tiedossamme on tapauksia, joissa käyttäjä on hakukoneen avulla hakenut asiakaspalvelun tietoja, mutta hakutulokset ovat johtaneet käyttäjää harhaan. Käyttäjä on oikean asiakaspalvelun sijaan päätynyt tietämättään soittamaan suoraan rikollisille.
Tiedossamme olevissa tapauksissa ilmoittajat ovat menettäneet tuhansia euroja rahaa rikollisille.
Pankkiin tulee olla välittömästi yhteydessä tilanteessa, jossa on menettänyt rahaa ja/tai on antanut ulkopuolisten tietoon pankkitunnuksensa. Asiakaspalvelun yhteystiedot on syytä etsiä menemällä palvelun sivuille tunnetun linkin kautta, esimerkiksi opettelemalla tärkeimpien palveluiden osoitteet ulkoa, ei hakukoneen kautta.
Mikäli koneelle on asennettu huijareiden pyynnöstä ohjelmia, tulee kone viedä huoltoon tarkistettavaksi ja ohjelmien poistamiseksi.
Haavoittuvuudet
CVE: CVE-2023-49103
CVSS: 10
Mikä: Kriittinen haavoittuvuus ownCloud -tuotteessa
Tuote: ownCloud
Korjaus: Valmistaja neuvoo poistamaan järjestelmästä owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php -tiedoston haavoittuvuuden hyväksikäytön estämiseksi
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 17.11.-23.11.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.