Tietoturva Nyt!
Tietojenkalastelu- ja huijausviestit kehittyvät jatkuvasti. Erilaiset teknologiat, kuten koneoppiminen ja tekoäly sekä psykologiset keinot auttavat rikollisia pyrkimyksissään voittaa uhrin luottamus. Kalastelukampanjat tuottavatkin jatkuvasti tulosta rikollisille ja Kyberturvallisuuskeskuksen arvion mukaan noin sadan organisaation sähköpostitilejä on murrettu onnistuneesti lähikuukausien aikana.
Yksi suurimmista kehitysaskeleista verkkohuijauksien uskottavuudessa on ollut sosiaalisen manipuloinnin käyttö. Huijarit pyrkivät tutkimaan tarkasti potentiaalisia uhrejaan ja keräämään heistä tietoa esimerkiksi avoimia tietolähteitä käyttäen. Avoimina tietolähteinä voivat toimia sosiaalisen median profiilit, organisaatioiden verkkosivut ja verkossa olevat uutiset. Näiden tietojen pohjalta rikolliset pyrkivät räätälöimään huijauksen kohteelle sopivaksi. Esimerkiksi laskutushuijauksia pyritään kohdistamaan henkilöille, jotka hoitavat organisaation laskutusta ja rahaliikennettä.
Kyberturvallisuuskeskukselle ilmoitetuissa tapauksissa on mm. käytetty tunnettujen brändien ja organisaatioiden logoja sekä valheellisesti esiinnytty organisaation työntekijänä osana huijausta. Etenkin turvapostiteemaisessa kalastelukampanjassa on nähty organisaatioiden logojen käyttöä osana huijausviestiä.
Tekoäly on mahdollistanut vakuuttavien käännösten tekemisen, joten kieliopillisten virheiden löytäminen huijausviesteistä voi olla nykyään haastavaa. Tämä mahdollistaa myös sen, että rikollinen pystyy käymään uskottavaa keskustelua kaapatulta tunnukselta seuraavien mahdollisten uhrien kanssa.
Rikolliset ovat entistä pitkäjänteisempiä
Kesäkuun aikana kyberturvallisuuskeskus on saanut runsaasti ilmoituksia huijausviesteistä, joita lähetetään murretuilta tunnuksilta valetilien sijaan. Tällä hetkellä aktiivisena ovat turvapostiksi naamioidut tietojenkalasteluviestit, sekä Facebook-huijausviestit. Myös erilaisista laskutushuijauksista on tullut ilmoituksia. Huijausviestit eivät välttämättä ole opportunistista massaviestittelyä, vaan rikollinen voi olla valmis käymään pidempääkin dialogia uhrien kanssa onnistuakseen huijauksessaan.
Tällä hetkellä liikkuvissa huijaus- ja tietojenkalastelukampanjoissa on törmätty ilmiöön, jossa rikollinen on pyrkinyt vakuuttelemaan viestin aitoutta, jos vastaanottaja on kysynyt asiasta vastaamalla rikollisen lähettämään viestiin. Koska onnistuneita tilimurtoja tehdään jatkuvasti, on epäilyksen herätessä aina syytä varmistaa viestin aitous lähettäjältä jotain muuta kautta kuin samaan viestiin vastaamalla. Hyvä keino voi olla esimerkiksi soittaa lähettäjälle, jos puhelinnumero on saatavilla.
Turvapostiteemainen tietojenkalastelukampanja
Turvapostiteemainen tietojenkalastelukampanjan toimii hyvänä esimerkkinä tietojenkalastelun ja huijausviestien kehittymisestä. Viestit saapuvat murretulta tunnukselta, eli väärennetyn sähköpostiosoitteen sijasta ne tulevatkin oikealta käyttäjältä oikeasta organisaatiosta. Aiheina viesteissä on nähty monia eri variaatioita, mutta näitä kaikkia on yhdistänyt se, että viestissä oleva “dokumentti” toimitetaan yleensä turvapostin välityksellä.
Tärkeäksi turvapostiksi naamioitu huijausviesti houkuttelee vastaanottajaa syöttämään sähköpostitunnuksen ja salasanan huijarin hallitsemalle kalastelusivulle. Kun kalastelusivustolle syötetyt tunnukset saadaan haltuun, vastaavanlaista kalasteluviestiä levitetään yhteystiedoista löytyville kontakteille. Tässä yhteydessä rikollinen saattaa vaihtaa kalasteluviestiin uhriorganisaation logot, mutta on myös tapauksia missä viestissä on käytetty esimerkiksi Kelan brändiä.
Rikollinen asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata. Osassa tapauksissa säännöillä on ohjattu vastaanottajilta tulevat vastaukset ohjautumaan omaan piilotettuun kansioon, jolla on voitu heikentää paljastumisen mahdollisuutta. Murtohetkestä viestien jälleenlähettämiseen ja uudelleenohjaussääntöjen asettamiseen kuluu yhä vähemmän aikaa ja tilanteeseen ei vältämättä ehditä puuttumaan tarpeeksi ajoissa.
Facebook-huijausviestit
Viime aikoina puheenaiheena ovat olleet myös erilaiset Facebook-huijausviestit, joissa viestit tulevat niin ikään murretulta tunnukselta. Viesteissä pyritään huijaamaan uhreilta tilin haltuun ottamiseen tarvittava puhelinnumero ja puhelinnumeroon saapuva kaksivaiheisen tunnistautumisen PIN-koodi. Viestien aiheena on ollut arpajaisiin osallistuminen ja edellä mainitut tiedot ovat olleet “edellytyksenä osallistumiselle”. Todellisuudessa huijari on tämän jälkeen saanut haltuunsa uhrin tunnuksen Facebookin tilinpalautusominaisuutta käyttäen.
Huijarit ovat saattaneet myös pyytää uhrien pankkitunnuksia väittäen, että arvonnasta voitetut rahat siirretään niiden avulla uhrin tilille. Todellisuudessa tililtä ollaankin siirretty rahat rikollisen tilille.
Laskutushuijaukset
Avoimet tietolähteet voivat tarjota rikollisille tavan kartoittaa organisaatioiden rakennetta ja esimerkiksi laskutushuijaustapauksissa rikolliset ovat voineet tekeytyä organisaation johtajaksi ja lähestyä organisaation muita jäseniä tarkoituksena maksattaa huijauslaskuja heillä.
Yritysten verkkosivut ja sosiaalisen median kanavat voivat toimia kanavana kartoittaa yrityksen tai organisaation rakennetta ja Kyberturvallisuuskeskus on saanut ilmotuksia tapauksista, joissa rikollinen on osannut johtajaksi tekeydyttyään lähestyä juuri haluamiaan organisaation jäseniä huijauslaskuilla. Sähköpostit ovat tulleet joko valetileiltä tai murretuilta tunnuksilta.
Huijauslaskuja voidaan yrittää saada maksetuksi myös eri yritysten nimissä esiintyen tai väliintulohyökkäyksellä (Man-in-the-Middle - MiTM), jossa hyökkääjä on saanut jalansijan kahden tahon välissä käytävään viestinvaihtoon.
Ohjeita
Huijari pyrkii usein kiirehtimään asiaa ja saamaan huijauksen kohteen ohittamaan tavalliset prosessit. Siksi onkin tärkeää, että organisaatiolla on selkeät käytännöt ja prosessit siitä, miten normaalitilanteessa toimitaan ja miten pyynnön oikeellisuus varmistetaan. Huijausten kanssa myös maltti on valttia, eli poikkeamiin ja yllättäviin pyyntöihin on syytä suhtautua varauksella.
Organisaatiossa kannattaa panostaa henkilöstön tietoturvatietoisuuden lisäämiseen ja aktiiviseen ylläpitämiseen. Tässä tehokkaita keinoja ovat säännöllinen harjoittelu ja erilaiset kalastelu- ja huijaustapausten simuloinnit, joihin löytyy tänä päivänä myös erittäin hyviä ohjelmistoja.
Mikäli omassa organisaatiossa tapahtuu tietomurto ja murretuilta tunnuksilta lähetetään huijausviestejä, on tärkeää pyrkiä informoimaan huijausviestien vastaanottajat mahdollisimman nopeasti, jotta voidaan minimoida seuraavien tietomurtojen määrä. Sama pätee myös some-tilimurtoihin, joissa murretuilta tunnuksilta aletaan tehtailla huijauksia. Eli jos huijari sattuu pääsemään murretulle tilille, varoita ystäviäsi mahdollisista vilpillisistä viesteistä, jotka tulevat tililtäsi.
Monivaiheinen tunnistautuminen on oiva keino minimoida tietomurron riski, mutta ei välttämättä aina estä sitä. Kyberturvallisuuskeskuksella on tiedossa tapauksia, joissa tietojenkalastelusivusto on pyytänyt myös monivaiheisen tunnistautumisen koodia, jonka uhri on antanut huijarille.
Tietojenkalastelulta ja huijauksilta välttyminen vaatii tarkkaavaisuutta.
- Suhtaudu varauksella kaikkiin epäilyttäviin viesteihin ja muista, että voit aina varmistaa lähettäjältä viestin todenperäisyyden. Käytä kuitenkin jotain muuta viestintäkanavaa.
- Monivaiheinen tunnistautuminen antaa vielä yhden mahdollisuuden tarkistaa mihin olet kirjautumassa, käytä se siis hyödyksi äläkä kiirehdi.
- Niin kuin tulipalotilanteessa suljetaan ikkunat palon leviämisen estämiseksi, on tietomurron sattuessa tehtävä tarvittavat toimenpiteet, ettei “palo” leviä. Eristä ja tarkista tunnus ja viesti asiasta.