Tietoturva Nyt!
Kyberturvallisuuskeskus on vastaanottanut alkuvuonna merkittävän määrän ilmoituksia turvapostiteemaisista kalasteluviesteistä. Uusi kampanja käynnistyi aktiivisena huhtikuun puolivälissä ja murrettuja sähköpostitilejä on havaittu Kyberturvallisuuskeskuksen tilastojen mukaan 20:ssa eri organisaatiossa. Turvapostiteemaisia kalasteluviestejä on lähetetty Suomessa huhtikuussa Kyberturvallisuuskeskuksen arvion mukaan viisinumeroinen määrä. Monivaiheisen tunnistautumisen käyttöönotto on edelleen tehokas keino tilimurtojen estämiseen.
Useiden suomalaisten organisaatioiden Microsoft 365 -käyttäjätileille on taas murtauduttu
Erityisesti kuntasektori ja julkishallinto korostuvat tilastoissa. Murrettuja tilejä käytetään tuhansien uusien tunnuskalasteluviestien lähettämiseen ja esimerkiksi laskutuspetosten yrityksiin. Kyberturvallisuuskeskus kehottaa kaikkia Microsoft 365 -asiakkaita viestimään sisäisesti kalasteluviestien uhista. Suosittelemme käyttämään kaksivaiheista tunnistautumista ja rajoittamaan sähköpostin edelleenlähetyssääntöjen tekemistä.
Sähköpostitse lähetettyjä kalasteluviestejä on väärennetty alkuvuonna näyttämään turvaposti-ilmoituksilta, joihin on lisätty esimerkiksi kuntien, Kansaneläkelaitoksen, lääkäriaseman, hyvinvointialueen tai vakuutusyhtiön logo. Tärkeäksi turvapostiksi naamioitu huijausviesti houkuttelee vastaanottajaa syöttämään sähköpostitunnuksen ja salasanan huijarin hallitsemalle kalastelusivulle. Kalastelun uhri luulee syöttävänsä tunnuksia esimerkiksi Microsoft 365 -kirjautumissivulle, mutta tunnukset päätyvätkin rikollisen haltuun.
Otsikot ja viestipohjat vaihtelevat
Viestien otsikoissa on havaittu viimeaikoina esimerkiksi sanoa muistutus, matkalippu, tilaus, lasku tai hakija, ja ne sisältävät aidonnäköisen turvapostipohjan linkkeineen. Huhtikuun aikana turvapostiteemaisia kalasteluviestejä on lähetetty arviomme mukaan viisinumeroinen määrä Suomessa.
Lähiviikkoina huijareiden on havaittu vaihtavan turvapostikalastelujen viestipohjaa uuden tietomurron onnistuessa. Tällöin murretulta sähköpostitililtä lähetetään samaa turvapostikalasteluviestiä, mutta murretun organisaation logolla. Kalastelijat kehittävät jatkuvasti toimintaansa paremman saaliin toivossa.
Kalasteluviestit lähetetään usein murretun sähköpostitunnuksen aiemmille kontakteille ja yhteystiedoista löytyville henkilöille
Myös tästä syystä viesti saattaa vaikuttaa uskottavalta ja viestit leviävät nopeasti. Jos siis olet kalasteluviestin vastaanottajana, se ei tarkoita, että viesti olisi juuri sinulle erityisesti kohdennettu. Ilmoitathan epäilyttävästä viestistä organisaatiosi tietoturvasta vastaaville tahoille ennalta sovittujen prosessien mukaisesti. Suosittelemme ilmoittamaan asiasta myös Kyberturvallisuuskeskukselle.
"Ilmoitusten perusteella teemme haitallisille sivustoille alasajopyyntöjä ja keräämme tilannekuvaa ilmiön tilanteesta ja aktiivisuudesta Suomessa. Olemme tarvittaessa yhteydessä uhriorganisaatioon, mikäli ilmoitus kalasteluviestistä tuli kolmannelta osapuolelta", kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Satu Kurunsaari.
Yritysten ja muiden organisaatioiden kaapatut sähköpostitilit ovat rikollisille rahanarvoisia hyödykkeitä. Rikollinen asettaa kaapatulle tilille uudelleenohjaussääntöjä, joiden avulla sähköpostiliikennettä voi lukea ja seurata. Laskutuspetoksiin rikolliset käyttävät sellaisia sähköpostitilejä, joissa käsitellään mm. laskuja tai rahaliikennettä. Hallintaan saatuja kiinnostavien organisaatioiden tilejä ostetaan ja myydään rikollisten foorumeilla ja loput tilit käytetään uusien kalasteluviestien levittämiseen osoitekirjasta löytyville henkilöille. Tutusta osoitteesta tuleva huijausviesti luetaan varmemmin kuin sattumanvarainen roskaposti.
Kyberturvallisuuskeskus tarkistaa vastaanotetut ilmoitukset linkkeineen
Tarvittaessa haitalliselle sivustolle tehdään alasajopyyntö ja olemme yhteydessä organisaatioon, jonka murretulta sähköpostitililtä on lähetetty kalasteluviestejä eteenpäin. Avoimuutta ei voi liikaa korostaa - tilimurrosta on syytä ilmoittaa välittömästi omalle organisaatiolle sekä sähköpostista löytyville yhteystiedoille. Tarvittaessa tapauksesta voi viestiä myös organisaation verkkosivuilla.
Erilaiset huijaukset ja kalastelut on hyvä ilmoittaa Kyberturvallisuuskeskukselle. Ilmoittamalla parannatte kansallista tilannekuvaa ja autatte muita organisaatioita. Kyberturvallisuuskeskuksen tekemät alasajopyynnöt haitallisille verkkosivuille katkaisevat kalastelukampanjalta siimat ja Kyberturvallisuuskeskus ottaa yhteyttä murrettuihin organisaatioihin tarkistaakseen, onko tapaus huomattu ja tarvitseeko organisaatio apua.
Ota monivaiheinen tunnistautuminen käyttöön nyt
"Kaksi- tai monivaiheinen tunnistautuminen on edelleen tehokas keino torjua tilimurtoja ja estää kalastelujen onnistuminen. Jos organisaatiossa on lykätty monivaiheisen tunnistautumisen käyttöönottoa, on viimeistään nyt syytä kiirehtiä sen kanssa", sanoo Kyberturvallisuuskeskuksen erityisasiantuntija Jere Finne.
Organisaatioiden tulee viipymättä ottaa monivaiheinen tunnistautuminen käyttöön vähintään kaikissa ulkoisten yhteyksien kautta käytettävissä palveluissa, kuten pilvipohjaisissa sähköpostipalveluissa.
Monivaiheisella tunnistautumisella tarkoitetaan palveluun kirjautuvan käyttäjän todentamista useammalla eri tunnistautumismenetelmällä. Käytännössä tämä tarkoittaa sitä, että käyttäjätunnuksen ja salasanan syöttämisen jälkeen kirjautuminen varmistetaan vielä palveluun liitetyllä älypuhelimella toimivalla sovelluksella, jossa periaate on samankaltainen kuin pankkipalveluihin kirjautumisessa.
Monivaiheisen tunnistautumisen käyttöönotto on tehtävä ensin teknisten henkilöiden toimesta, ennen kuin se voidaan ottaa käyttöön peruskäyttäjillä. Ylläpito voi myös ohjatusti pakottaa kaikki käyttäjät siirtymään monivaiheiseen tunnistautumiseen. Vähintään organisaation kriittisille toimijoille tulee ottaa käyttöön mahdollisimman tehokas monivaiheinen tunnistautuminen. Kevein ratkaisu on SMS-pohjainen, tämän jälkeen tulevat erilaiset todennussovellukset ja lopuksi ns. FIDO-standardin mukainen WebAuthn.