Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Tällä viikolla kerromme mm. liikkeellä olevista Signal- ja Telegram-huijausviesteistä sekä siitä, miten Kelan nimissä lähetetään aktiivisesti huijaustekstiviestejä.

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  • Signal- ja Telegram-huijausviestejä liikkeellä. Älä luovuta vahvistuskoodejasi!
  • Kelan nimissä tapahtuvasta tietojenkalastelusta useita kymmeniä ilmoituksia
  • Teknisen tuen huijauspuhelut aiheuttaneet merkittäviä rahallisia menetyksiä

Signal- ja Telegram-huijausviestejä liikkeellä. Älä luovuta vahvistuskoodejasi!

Kyberturvallisuuskeskus on vastaanottanut ilmoituksia Signal- ja Telegram-sovelluksiin liittyvistä tietojenkalasteluviesteistä. Rikollisten kohteena ovat niin sanottujen lyhyiden puhelinnumeroiden omistajat ja tavoitteena on saada haltuun näiden henkilöiden Signal-tilit. Huijausviestit saapuvat tekstiviesteillä, ja niissä pyydetään vastaamaan viestiketjuun vastaanottajalle saapuneella vahvistuskoodilla tai klikkaamaan viestissä olevaa linkkiä.

Vahvistuskoodilla tai linkkiä klikkaamalla rikollinen saa rekisteröityä vastaanottajan Signal-tilin omalle laitteelleen. Vaarana voi olla arkaluontoisten tietojen päätyminen rikollisen haltuun. Älä ikinä luovuta vahvistukoodia tai kaksivaiheisen tunnistautumisen koodia kolmannelle osapuolelle.

Miten huijaus etenee?

Signal

Rikolliset lähettävät uhrille tekstiviestin, jossa kerrotaan tilin olevan rekisteröity kahdelle eri laitteelle. Viestien lähettäjä on väärennetty näyttämään siltä, että viestit saapuvat Signalin nimissä. Viestissä pyydetään vastaamaan viestiketjuun vastaanottajalle saapuvalla vahvistuskoodilla tai klikkaamaan viestissä olevaa linkkiä, mikä toimii kaksivaiheisena tunnistautumisena. Vastauksella väitetysti vahvistetaan vain käyttäjän puhelinnumero, mutta todellisuudessa viestillä kalastellaan vahvistuskoodi, jolla Signal-tili saadaan rekisteröityä toisessa puhelimessa.

Mikäli Signal-tili rekisteröidään toiseen laitteeseen, saapuvat myös tästä edespäin vastaanotetut viestit tähän laitteeseen. Tämä voi vaarantaa arkaluonteisia tietoja. Haltuun saatu tili tarjoaa rikolliselle myös mahdollisuuden jatkohuijausten tehtailuun.

Telegram

Lyhyiden puhelinnumeroiden haltijoille on myös saattanut tulla vastaavia huijausviestejä Telegramin nimissä. Näissä rikollisen tavoitteena on luoda uhrin nimissä Telegram-tili. Valetili antaa rikolliselle mahdollisuuden esiintyä uhrina ja altistaa monille erilaisille riskeille.

Havaintoja viesteistä

Kyberturvallisuuskeskukselle ilmoitetuista tapauksista on käynyt ilmi, että viestejä voi saapua ruotsin-, suomen- tai englanninkielisinä, ja kohteena ovat olleet lyhyitä puhelinnumeroita käyttävät henkilöt. Viesteissä on kirjoitusvirheitä, mistä voi päätellä, että viestit eivät ole Signalin lähettämiä.


Toimintaohjeita:

  • Älä luovuta sinulle saapuvaa vahvistuskoodia tai klikkaa viestissä olevaa linkkiä.
  • Ota käyttöön Signalin "Registration lock" -ominaisuus

CERT-EU on laatinut ohjeet Signal-sovelluksen tietoturvan vahvistamisesta (ulkoinen linkki) (Ulkoinen linkki).

Huijauksia Signalin/Telegramin nimissä, kuvassa esimerkkikuva sekä seuraava teksti: Signal ja Telegram. 1) Kalasteluviestissä kerrotaan, että laite täytyy rekisteröidä puhelinnumerolle uudelleen. Viestejä lähetetään suomeksi, ruotsiksi ja englanniksi. 2) Lähettäjä on väärennetty: viesti näyttää saapuvan Signalin tai Telegramin nimissä. 3) Viesteissä pyydetään jakamaan tekstiviestillä saapuva vahvistuskoodi tai klikkaamaan linkkiä. Jos tiedot luovuttaa, rikollinen saa tilin omaan käyttöönsä.

Kelan nimissä tapahtuvasta tietojenkalastelusta useita kymmeniä ilmoituksia

Viimeisen kuukauden aikana olemme saaneet noin kahdeksankymmentä ilmoitusta suomeksi saapuneista huijaustekstiviesteistä Kelan nimissä. Viestien teemat ja linkit ovat olleet vaihtelevia. Viesteistä valtaosa on sisältänyt jonkinlaisen varoituksen Kelan toimittaman maksun viivästymisestä puutteellisten maksutietojen vuoksi. Joissakin viesteissä pyydetään kirjautumaan pankkitunnuksilla verkkopalveluun tai lähettämään omia tietoja. Joissakin viesteissä on pyydetty vahvistamaan tai toimittamaan myös tilitietoja.

Viestejä on nähtävästi lähetetty satunnaisille vastaanottajille 046-alkuisista numeroista.

Viestien väitteitä ei pidä uskoa eikä niissä ole mitään todenperäisyyttä. Kela on julkaissut asiasta myös oman tiedotteensa 27.10. ja muistuttaa siinä, että: "Kela ei koskaan kysy henkilötietoja sähköpostitse tai tekstiviestillä. Kelan verkkopalveluun voi kirjautua turvallisesti vain osoitteessa www.kela.fi."

Kelan julkaisema tiedote (ulkoinen linkki) (Ulkoinen linkki).

Huijauksia Kelan nimissä, kuvassa esimerkkikuva sekä seuraava teksti: Kela ei kysy henkilötietoja sähköpostitse tai tekstiviestillä. Palveluun pääsee kirjautumaan turvallisesti vain osoitteessa kela.fi. 1) Viestejä on lähetetty ainakin 046-alkuisista numeroista. 2) Viestipohjia ja linkkejä on monia erilaisia. 3) Verkko-osoite paljastaa linkin huijaukseksi. 4) Linkit vievät hyvin uskottavan näköisille kalastelusivuille.

Teknisen tuen huijauspuhelut aiheuttaneet merkittäviä rahallisia menetyksiä

Olemme tämän viikon aikana saaneet ilmoituksia teknisen tuen huijauksista. Olemme kertoneet ilmiöstä ennenkin, viimeisimpänä Viikkokatsauksessa 17/2023 (Ulkoinen linkki) sekä laajemmassa aiheeseen keskittyvässä artikkelissa (Ulkoinen linkki).

Saamiemme ilmoitusten perusteella vaikuttaa siltä, että rikolliset esiintyvät tällä hetkellä englannin kielellä erityisesti Facebookin ja PayPalin teknisenä tukena. Tiedossamme on tapauksia, joissa käyttäjä on hakukoneen avulla hakenut asiakaspalvelun tietoja, mutta hakutulokset ovat johtaneet käyttäjää harhaan. Käyttäjä on oikean asiakaspalvelun sijaan päätynyt tietämättään soittamaan suoraan rikollisille.

Tiedossamme olevissa tapauksissa ilmoittajat ovat menettäneet tuhansia euroja rahaa rikollisille.

Pankkiin tulee olla välittömästi yhteydessä tilanteessa, jossa on menettänyt rahaa ja/tai on antanut ulkopuolisten tietoon pankkitunnuksensa. Asiakaspalvelun yhteystiedot on syytä etsiä menemällä palvelun sivuille tunnetun linkin kautta, esimerkiksi opettelemalla tärkeimpien palveluiden osoitteet ulkoa, ei hakukoneen kautta.

Mikäli koneelle on asennettu huijareiden pyynnöstä ohjelmia, tulee kone viedä huoltoon tarkistettavaksi ja ohjelmien poistamiseksi.

Haavoittuvuudet

CVE: CVE-2023-49103
CVSS: 10
Mikä: Kriittinen haavoittuvuus ownCloud -tuotteessa
Tuote: ownCloud
Korjaus: Valmistaja neuvoo poistamaan järjestelmästä owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php -tiedoston haavoittuvuuden hyväksikäytön estämiseksi

Haavoittuvuus 27/2023

Tutustu Viikkokatsaukseen

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 17.11.-23.11.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.