Vastaa kyselyyn: Miten vie­tät­te tal­vi­lo­maa, vai­kut­taa­ko ra­ha­ti­lan­ne suun­ni­tel­miin?

Kolumni: Totuus odottaa yhä ker­to­jaan­sa

Tra­fi­co­mil­ta vakava va­roi­tus tie­to­mur­to­aal­los­ta suo­ma­lais­ten or­ga­ni­saa­tioi­den säh­kö­pos­ti­ti­leil­lä

Joissakin tapauksissa rikolliset kykenevät ohittamaan myös monivaiheisen tunnistamisen.

Liikenne- ja viestintävirasto Traficom antoi tänään vakavan varoituksen tietomurtoaallosta. Ongelma on ilmennyt suomalaisten organisaatioiden sähköpostitileillä.

Tietomurto leviää organisaatiosta toiseen, kun yritysten työntekijöiden käyttäjätunnuksia ja salasanoja kalastellaan sähköpostitse ja huijaussivujen avulla.

Rikolliset ovat Traficomin mukaan kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään siten, että uusia tietojenkalastelun viestejä lähtee sekä yrityksen sisällä että muihin organisaatioihin. Hyökkääjä lähettää murretuilta tileiltä viestejä käyttäjätilin aiemmille kontakteille.

Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä kalasteluviesteistä. Keskuksen tiedossa ei kuitenkaan ole, että tämä olisi johtanut rikollisten laajaan etenemiseen organisaation järjestelmien sisällä. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille.

Kalastelusivuilla on Traficomin mukaan käytetty kehittynyttä AitM-automatiikkaa, joka joissakin tapauksissa kykenee ohittamaan myös monivaiheisen tunnistamisen.

Edellinen hyökkäys kesti yli vuoden

Kyberturvallisuuskeskuksesta kerrottiin perjantaina, että nyt käynnissä olevan hyökkäyksen kestoa ei ole helppoa ennakoida.

– Tietomurtoaallon kesto riippuu paljolti siitä, miten hyvin organisaatiot Suomessa onnistuvat kalastelua torjumaan. Vuonna 2018 tänne tehtiin varsin vastaavanlainen hyökkäys, joka sillä kertaa kesti yli vuoden, sanoi erikoisasiantuntija Juha Tretjakov STT:lle.

Hänen mukaansa yritysten käyttämä Microsoft 365 -palvelu on melko yleinen hakkereiden kohde.

– Meillä ei ole tämän murtoaallon yhteydessä tietoa siitä, että se suuntautuisi yksittäisiin kansalaisiin. Koska kalasteluviestejä kuitenkin lähtee murretun käyttäjätilin aiemmille kontakteille, niitä voi päätyä kenelle tahansa.

Tietomurrosta tai sen yrityksestä tulisi tehdä rikosilmoitus poliisille.

– Lisäksi tapauksista kannattaa ilmoittaa tänne kyberturvallisuuskeskukselle. Meitä kiinnostaa saada näytteitä rikollisten lähettämistä kalasteluviesteistä, Tretjakov lisää.

Hänen mukaansa Traficomin kyberturvallisuuskeskus on saanut viikon sisällä tiedon hakkerien hyökkäyksestä 20–30 organisaatiosta.

– Osassa niistä tietomurto on onnistuttu torjumaan, osassa ei.

Voi näyttää turvapostiviestiltä

Nyt meneillään olevassa murtoaallossa kalasteluviesti voi monissa tapauksissa näyttää turvapostiviestiltä. Viesti on väärennetty muistuttamaan yleistä turvapostiratkaisua, mutta sen linkki on muokattu ohjaamaan uhri rikollisten hallitsemalle sivustolle.

Lisäksi hyökkääjä on lähettänyt oikeita turvapostiviestejä. Kalasteluun ohjaava linkki on ollut niissä viestin sisällössä.

Mitä tavallisen netinkäyttäjän olisi nyt Traficomin mukaan syytä tehdä?

Jos epäilet saamasi viestin aitoutta, älä vastaa viestiin vaan pyri varmistumaan sen sisällöstä jotain muuta reittiä, esimerkiksi puhelulla tai pikaviestillä.

Jos epäilet, että sähköpostitilisi on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän näkymästä että käyttäjän näkymästä.

Murrettujen tilien salasanojen vaihtaminen ei Traficomin mukaan yleensä riitä, jos rikolliset ovat onnistuneet varastamaan niin kutsutun session cookien.

Eräs turvakeino on perua käyttäjän kaikki käyttöoikeudet hetkeksi.

Juttua muokattu 13.56: lisätty Juha Tretjakovin kommentit.