Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on julkaissut keltaisen varoituksen Suomessa vauhdilla levinneestä tietomurtoaallosta. Rikolliset kalastelevat nyt väärennetyillä sähköpostiviesteillä Microsoft 365 -ympäristön salasanoja.
Tietojenkalastelulla saatujen käyttäjätunnusten ja salasanojen avulla rikollisten on mahdollista murtautua Microsoft 365 -tilille. Kalasteluviestejä ja uusia tilimurtoja on kuluvalla viikolla raportoitu kymmenistä suomalaisista organisaatioista, kertoo Kyberturvallisuuskeskus. Kalastelukampanja leviää organisaatiosta toiseen hyödyntämällä murrettujen käyttäjätilien yhteystietolistoja.
MAINOS (ARTIKKELI JATKUU ALLA)
Kyberturvallisuuskeskus toteaa, että tietojenkalastelussa käytetty turvapostiteema on lisännyt väärennettyjen viestien uskottavuutta, ja uhreja on nyt tämän takia poikkeuksellisen paljon.
Turvapostiviesteissä normaalisti oleva linkki turvapostipalvelimelle on todellisuudessa huijausviesteissä linkki rikollisen hallinnassa olevalle kalastelusivulle. Viestin tai turvapostin liitteenä voi olla myös PDF-tiedosto, jossa oleva linkki johtaa rikollisten hallitsemalle tietojenkalastelusivulle. Tähän mennessä nähdyt PDF-liitetiedostot ovat olleet vaarattomia, mutta niissä olevaa linkkiä ei kuitenkaan kannata klikata.
Esimerkkikuva huijauskampanjan väitetystä turvapostiviestistä. Kuva: Kyberturvallisuuskeskus.
Esimerkkikuva huijauskampanjan väitetystä turvapostiviestistä. Kuva: Kyberturvallisuuskeskus.
Kyberturvallisuuskeskuksen tiedossa ei ole käyttövaltuuksien laajentamista tai muuta hyökkääjän jalansijan vahvistamista murretun käyttäjätilin organisaatiossa. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille.
MAINOS (ARTIKKELI JATKUU ALLA)
Kyberturvallisuuskeskus suosittelee pakotettua monivaiheisen tunnistautumisen käyttöönottoa rikollisten kirjautumisyritysten estämiseksi. Mikään yksittäinen suojautumistoimi ei itsessään riitä, vaan lisäksi on panostettava henkilöstön koulutukseen.
“Tärkeintä on olla tietoinen, että tällainen kampanja on menossa. Erityisen hereillä tulee olla monivaiheisen tunnistaumisen kanssa. Ole tarkkana siitä mille sivulle salasanasi syötät”, kertoo Traficomin Kyberturvallisuuskeskuksen erityisasiantuntija Harri Holmström.
Käynnissä oleva kampanja on varsin laaja ja onnistuneita tietomurtoja on kohdistunut useisiin organisaatioihin. Erityisesti onnistuneiden tietomurtojen hyväksikäyttö jatkomurtoihin nostaa avoimen ja nopean tiedonjaon tärkeyttä.
”Kannustamme kaikkia kampanjan kohteeksi joutuneita ilmoittamaan havainnoistaan aktiivisesti Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus jakaa tietoa eteenpäin yhteistyöverkostoissaan. Jakamalla tietoa havaituista tapauksista voimme yhdessä kehittää puolustuksia ja ehkäistä useampia tietomurtoja tapahtumasta”, kertoo Kyberturvallisuuskeskus.
MAINOS (ARTIKKELI JATKUU ALLA)
Tietomurrosta tai sen yrityksestä tulisi myös tehdä rikosilmoitus. Lisäksi tapauksista kannattaa ilmoittaa Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskukselle ilmoittaessa mukaan voi laittaa esimerkiksi kalasteluviestistä sekä tiedot tapauksen vaikutuksesta organisaatiolle.
Microsoft 365 -tietoturvaloukkauksen kulku Kyberturvallisuuskeskuksen mukaan
- Hyökkääjä lähettää murretuilta käyttäjätileiltä kalasteluviestejä sähköpostitse käyttäjätilin aikaisemmille kontakteille. Kalasteluviestien sisältö on vaihdellut.
- Hyökkääjä saattaa kierrättää tietomurron uhrin aikaisemmin lähettämiä sähköpostiviestejä, joihin hyökkääjä lisää linkin kalastelusivulle. Monissa tapauksissa kalasteluviesti näyttää turvapostiviestiltä. Viesti on väärennetty muistuttamaan yleistä turvapostiratkaisua, mutta linkki turvapostipalveluun on muokattu ohjaamaan rikollisten hallussa olevalle sivustolle.
- Joissakin tapauksissa hyökkääjä on lähettänyt oikeita turvapostiviestejä. Kalasteluun ohjaava linkki on ollut turvapostiviestin sisällössä.
- Kalastelusivuilla on käytetty kehittynyttä adversary-in-the-middle-automatiikkaa (AitM), joka joissakin tapauksissa kykenee myös monivaiheisen tunnistamisen ohittamiseen. Lisätietoa MFA:n ohittamisesta AiTM-automatiikalla
- Hyökkääjä yrittää hyvin pian onnistuneen tietojenkalastelun jälkeen murtautua käyttäjätilille. Kirjautumisyrityksiä tulee ympäri maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä lähetetään uusia kalasteluviestejä tilin yhteystietoluettelolle.
- Joissakin tapauksissa, kun kalasteluviestin vastaanottaja on vastannut suomeksi sähköpostilla kalasteluviestiin, hyökkääjä on vastannut suomeksi ja kehottanut avaamaan kalasteluviestissä olevan linkin. Viestin aitoutta epäiltäessä tulisi se tarkastaa jotakin toista viestintäkanavaa pitkin. Sähköpostiviestin aitouden voi tarkistaa esimerkiksi soittamalla lähettäjälle.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »