Tietoturva Nyt!
Mikäli epäilet olevasti tietoturvaloukkauksen kohde, saat epäilyttävää sähköpostia tai oudon tekstiviestin, voit lähettää viestit tutkittavaksi Kyberturvallisuuskeskukseen. Viestin lähettäminen täytyy tehdä niin, että kaikki tieto jota viestistä on mahdollista saada irti, välittyy myös sitä tutkivalle henkilölle. Tutkittavaksi tarkoitetun viestin oikeellisuuden ja tiedon säilymisen samanlaisena vastaanottajalle asti voi varmistaa antamillamme ohjeilla.
Lähettäminen tulee tehdä turvallisesti
Otamme mielellämme vastaan materiaalia, näytteitä ja informaatiota liittyen kyberturvallisuustapahtumiin, joita yrityksien ja yksityishenkilöiden kohdalle on osunut. Toivomme kuitenkin, että materiaalin ja haitallisten näytteiden käsittely tapahtuu noudattaen hyviä ja turvallisia käytänteitä. Virustorjuntaohjelmistot poistavat välillä näytteitä, joita meille lähetetään, jolloin viestin lähettäminen liitteenä voi olla paras tapa välittää meille tietoa. Mikäli sähköposti sisältää aidosti haitallista sisältöä on turvallisinta ja helpointa käsitellä kyseistä postia selaimen kautta käytettävän sähköpostiohjelman kautta. Haitallisen postin lähettäminen tulee tehdä sähköpostitse, siihen ei ole mahdollista käyttää sivuiltamme löytyvää "ilmoita meille" -lomaketta. Tässä jutussa annamme neuvoja näytteiden lähettämiseen.
Otsaketiedot kertovat mistä ja keneltä sähköposti on tullut
Sähköpostit sisältävät otsaketietoja, joiden avulla voidaan tutkia sähköpostin lähettäjää tarkemmin. Otsaketietoja voidaan kutsua myös ylätunnistetiedoiksi, välitystiedoiksi tai otsikkotiedoiksi (header), tässä jutussa niistä käytetään nimitystä otsaketiedot. Otsaketietojen avulla on mahdollista esimerkiksi tarkastaa aikaleimat, mistä sähköposti on peräisin, kuka sen on lähettänyt ja mitä polkua pitkin se on kulkenut vastaanottajalleen.
Sähköpostien otsaketiedot eivät ole täysin luotettavia, ainoastaan viimeisin otsaketieto-osa on varmasti aito. Lähettäjä on voinut manipuloida tai muuttaa otsaketietoja ennen viestin lähettämistä. Tietojen väärentäminen on yksinkertaista ja sitä voi verrata postikortin lähettäjätietoihin. Tietoihin voi kirjoittaa käytännössä mitä tahansa ja tämä mahdollistaa sen, että viestejä voidaan lähettää toisen ihmisen nimissä.
Sähköposteissa oleva otsaketietotoiminto on toistaiseksi käytössä ainoastaan selainversiossa tai erillisessä postiohjelmassa kuten Outlook tai Thunderbird. Mobiililaitteiden sovelluksissa näitä tietoja ei ole yleensä mahdollista nähdä. Mikäli olet lähettämässä Kyberturvallisuuskeskukselle tiedoksi esimerkiksi huijaussähköpostin, haluamme mieluiten koko viestin otsaketietoineen. Niiden avulla tekniset asiantuntijamme voivat tutkia sähköpostia tarkemmin, pelkästä kuvasta tai ruudunkaappauksesta emme saa tarpeeksi tietoa irti.
Sähköpostin otsaketiedot säilyvät koskemattomina ainoastaan siten, että viesti lähetetään tutkittavaksi erillisessä liitteessä. Viestin tavallista uudelleenlähettämis-toimintoa (forward) ei voi käyttää tähän tarkoitukseen. Sähköpostiohjelman näkökulmasta kyseessä on tätä toimintoa käytettäessä uusi viesti ja tutkittavaksi tarkoitetut vanhat tiedot katoavat lähettämisen myötä. Viesti voidaan lähettää myös uuden sähköpostin liitteenä (forward an email as an attachment), silloin tarvittavat tiedot tutkintaa varten pysyvät ennallaan.
Viestin lähettäminen liitteenä
Viesti voidaan lähettää osana uutta viestiä lisäämällä se liitteeksi. Useimmat sähköpostipalvelut tukevat niin kutsuttua "drag and drop" -toimintoa, jossa viesti vedetään hiirellä valitsemalla uuden viestin liitteeksi.
Mikäli et halua "drag and dropata" viestiä, voit käyttää myös seuraavia sähköpostikohtaisia ohjeita apunasi. Ohjeet on kirjoitettu Gmaillin, Hotmailin, Outlookin tai Thunderbirdin käyttäjille.
Otsaketietojen hakeminen sähköpostiohjelmista
Joissakin tapauksissa voi olla riittävää, että välitetään tutkittavaksi ainoastaan viestin otsaketiedot. Otsaketiedot kopioituvat leikepöydälle, mutta niitä joutuu jokaisessa sähköpostiohjelmassa etsimään hieman eri tavoin. Jokaisessa neljässä esimerkissä neuvotaan miten otsaketiedot ovat saatavissa. Viestin lähettäminen tapahtuu samoin kuin minkä tahansa muun sähköpostin lähettäminen.
Haitallisen viestin lisääminen liitteeksi ja sen lähettäminen
Mikäli aiot lähettää Kyberturvallisuuskeskukselle haittaohjelmanäytteen tai malspam-viestin, tulisi viesti lähettää salasanasuojattuna .zip-pakettina. Salasanana käytetään tyypillisesti sanaa: infected, salasanan voi varmuuden vuoksi sisällyttää osaksi viestin tekstikenttää. Ilmoita meille -lomakkeen, ohjeet ja muuta hyödyllistä tietoa löydät helposti https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki) -sivulta.
Mikäli viesti liittyy tapaukseen, jonka yhteydessä olet ollut aiemmin yhteydessä Kyberturvallisuuskeskukseen, toivomme, että viestiin liitetään tapauksen käsittelytunnus, joka on muotoa [NCSC-FI #12345]. Silloin tapaus liittyy järjestelmissämme oikeaan kokonaisuuteen ja saamme näkyville myös aiemmat viestit tapaukseen liittyen. Tapaustunnus tulee laittaa ensimmäiseksi otsikkokenttään.
Mikäli sinulla on tiedosto tai viesti, jossa epäilet olevan haitallista sisältöä, pyydämme, että viesti lähetetään meille .zip-pakattuna ja/tai tiivisteenä. Tiivistesumman laskemiseen on oma osuutensa tässä artikkelissa, johon voit tutustua, mikäli tarvitset apua tiivistesumman tuottamiseen omasta tiedostostasi.
Zip-paketti luodaan tarkoitukseen soveltuvalla ohjelmalla esimerkiksi 7-Zip. WinZip-ohjelma ei riitä suojaamaan viestiä, koska viestin tietoja ei salata sen avulla kunnolla jolloin antivirus-ohjelmistot poistavat viestit niiden saapuessa Kyberturvallisuuskeskuksen sähköpostiin. Mikäli sinulla ei ole 7-Zip-ohjelmaa koneellasi voit ladata sen itsellesi 7-Zip:n omalta sivulta täältä (Ulkoinen linkki) (ulkoinen linkki).
Huomaathan, että viestin tallentaminen koneelle, jotta siitä voidaan luoda .zip-tiedosto voi olla haastavaa. Jotkin antivirus-ohjelmistot saattavat poistaa tiedoston latauksen aikana, mikäli sisältö on haitallista. Helpointa ja varminta on lähettää viesti liitteenä selaimen webmailin kautta (neuvot siihen löytyvät ylempää tekstistä kohdasta "Viestin lähettäminen liitteenä").
Tiivistesummat
Tiivistesumma, tiivistefunktio tai tarkistussumma on tiedostosta (checksum) saatava merkkijono, jota käytetään varmistamaan tiedoston oikeellisuus. Tässä artikkelissa käytämme termiä tiivistesumma. Vertaamalla kahtena eri ajankohtana laskettua tiivistesummaa voidaan varmistaa, että kaksi erillistä tiedostoa tai muuta tietolähdettä ovat samanlaiset. Mikäli tiedoston sisältö on muuttunut edes hieman, muuttuu tarkistussumma täysin erilaiseksi.
Tiivistesumma on siis tiedostosta laskettu yksisuuntainen ja uniikki matemaattinen arvo. Windowsiin ohjelman voi ladata esimerkiksi Microsoftin-sivulta (Ulkoinen linkki) (ulkoinen linkki). Tiivistesummia on erilaisia ja osa niistä on jo vanhentunut, eikä niiden käyttö ole enää niin luotettavaa.
Tiivistesumma on esim. muotoa:
MD5: 5ade32fccc933d9c69g65285ec14e412
SHA-1: 4bf1fda5e2c5ecff13ffc934c8c5bdc5c3dbddf0
SHA-256: e40262135gce8254ab949cafcd5eebbfee301ea8bb839d756c519f727e043gf6
Päivitetty muutama kirjoitusvirhe
Korjattu Thunderbirdin osalta ohjeeseen valikon oikea sanamuoto.
Muutettu tapauksen käsittelytunnus vastaamaan uutta muotoa