Tietoturvatiedotteet

Organisaatio! Torju Office 365 -tunnusten kalastelu oppaamme avulla

Tunnisteet: phishing, tietomurto, traficom

Sitkeä Microsoft Office 365 -käyttäjätunnusten kalastelu ja varastelu koskee monia kotimaisia organisaatioita. Uhkan torjumista ja siltä suojautumista varten olemme koonneet kattavan oppaan: Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta. Oppaamme on tarkoitettu organisaatioiden ylläpidosta ja tietoturvasta vastaaville, yritysjohtoa ja tietosuojavastaavia unohtamatta.

sähköpostihuijaus kaaviona

Office 365 -tietojenkalastelun takana ovat verkkorikolliset. Yksinkertaisimmillaan kalastelu tapahtuu sähköpostitse, kun verkkorikollinen lähettää kalasteluviestin mahdollisimman usealle vastaanottajalle. Hyvin todennäköisesti joku tuhansista huijausviestin saaneista erehtyy antamaan tietonsa. Kalastelu voi olla myös kohdennettua, jolloin hyökkääjä haluaa käyttöönsä esimerkiksi IT-ylläpitotunnukset, joiden avulla hän voi tehdä laajaa tuhoa. 

Varsinaisista kalasteluviesteistä on erittäin vaikea päästä eroon, mutta tietojenkalastelun vaikutuksia voi rajoittaa merkittävästi tai suojaustoimin jopa kokonaan estää. Muun muassa monipuoliset suojaukset, lokituksen seuranta, päätelaitteiden hallinta ja henkilöstön koulutus ovat avaintekijöitä suojautumisessa. 

Miten suojautua Office 365 -kalastelulta?

Jos kalasteluviesti tunnistetaan ajoissa, huijaus jää yritykseksi ja muun muassa arvokkaat käyttäjätunnukset verkkorikolliselta saamatta. Office 365 ja muut Microsoftin palvelut sisältävät monia eri palvelu- ja lisenssiratkaisuja, joiden avulla tietojenkalastelulta voi suojautua. 

Olipa käytössä mikä palvelu tahansa, seuraavat suojaustoimet sopivat jokaiselle organisaatiolle:

  • Ota käyttöön moderni tunnistautuminen ja sen pakotus.
  • Ota käyttöön monivaiheinen tunnistautuminen (MFA).
  • Varmista lokituksen laatu, määrä ja riittävä säilytysaika.

Organisaation koko henkilöstön kannattaa tutustua erityisesti oppaamme lukuhin 3. ja 4., jotka sisältävät keskeisiä suojausohjeita ja neuvoja, mitä tehdä, jos vahinko on jo tapahtunut. Periaatteet, jotka liittyvät muun muassa viranomaisilmoituksiin ja tietojenkalastelusta tiedottamiseen, on jokaisen hyvä sisäistää.

Ennalta suojautuminen paras keino, mutta vahinkoja sattuu kaikille 

Hyökkäysyritykset ovat jatkuvia. Viikottain saamme tietoomme useita uusia Office 365 -tilien tietomurtoja. 

Huijauksen tapahduttua ei kannata hävetä tai painaa päätä pensaaseen, vaan tulla rohkeasti esiin ja perata tapaus kunnolla läpi. Varhaisessa vaiheessa tehdyllä ilmoituksella voidaan suojata muita potentiaalisia uhreja.

Tee ilmoitukset viranomaisille mahdollisimman aikaisessa vaiheessa, vaikka vajavaisin tiedoin. Kun ilmoitat myös Kyberturvallisuuskeskukseen, autat meitä kitkemään verkosta pois kalastelusivustoja ja varoittamaan muita uhreja sekä seuraamaan ilmiön teknistä kehitystä.

Täsmävinkki oppaan käyttöön

Oppaan loppupuolella on taulukko, johon on tiivistetty Office 365 -kalasteluun liittyviä uhkia ja niiden rajoittamiskeinoja. Taulukossa on riveittäin eritelty erilaisia suojaustoimia ylätason uhkien alle. Sarakkeissa esitetään, millä toimilla tai keinoilla kunkin palvelun kautta uhkilta voi suojautua. 

Taulukkoon on otettu yleisesti Suomessa käytössä olevia lisenssitasoja sekä Office 365 -palvelusta että Azure AD -palvelusta. 

Taulukosta voi tarkastaa, millaisia suojauskeinoja jo käytössä olevilla lisensseillä voi toteuttaa ja harkita muutoksia eri käyttäjien lisenssitasoihin tarpeen mukaan. 

Taulukko ei ole kattava matriisi palveluiden koostumuksesta, ja tiettyihin lisenssitasoihin on saatavilla
lisätoimintoja ilman varsinaista lisenssin korotusta seuraavalle tasolle.

Microsoft Office 365 -tietojenkalastelulta ja tietomurroilta suojautuminen

Lue lisää

Katsaus sähköpostitunnusten kalastelusivustoihin

Tunnisteet: kalastus

Kyberturvallisuuskeskukseen tulleiden kalasteluilmoitusten seasta esiin nousi tapaus, jossa kalasteluportaali muutti muotoaan potentiaalisen uhrin saaman sähköpostin perusteella. Portaalissa oli valmiiksi mallinnettuna suurimpien postitarjoajien kirjautumissivuja. Lisäksi myös Google Translaten "Käännä verkkosivu"-toimintoa käytetään kalasteluissa avuksi.

Kalastelusivustojen ja niille houkuttelevien sähköpostiviestien laatu vaihtelee paljon. Joissain tapauksissa viestin kieliasusta ja logoista pystyy jo suoraan päättelemään, että kyseessä on haitallinen tapaus. Myös kalastelusivujen laatu vaihtelee: joskus sivusto on hyvin aidon näköinen ja sisältää oikean toimijan logoja ja kuvamateriaalia.

Tamminkuun 2019 lopussa meille ilmoitetussa tapauksessa kalastelun kohteena ollut henkilö vastaanotti sähköpostiviestin, jossa ilmoitettiin sähköpostilaatikon täyttyneen. Perässä oli linkki, jota vastaanottajaa houkuteltiin klikkaamaan sähköpostilaatikon aktivoimiseksi uudelleen. Viesti itsessään oli kieliopillisesti oikeinkirjoitettua englantia, ja lähettäjän osoite oli väärennetty vastaamaan teknistä lähetysosoitetta. Ainoat selkeät tunnusmerkit väärinkäytökselle olivat pyyntö aktivoida sähköpostilaatikko sekä linkin osoittama oleva verkko-osoite: postilaatikoita ei tarvitse aktivoida uudelleen niiden täyttyessä ja linkin osoite ohjasi vieraaseen verkko-osoitteeseen.

Linkin seassa oli hyökkääjän toimesta liitetty parametriksi käyttäjän sähköpostiosoite. Testeissä havaittiin, että kalastelusivusto oli rakennettu tunnistamaan sähköpostiosoitteen loppuosasta palveluntarjoaja, esimerkiksi Googlen Gmail sekä Yahoon postipalvelu, ja muuttamaan kirjautumisikkunaa suoraan sen mukaan. Uhri ei pystynyt muokkaamaan kirjautumisosoitetta lainkaan portaalissa omatoimisesti ja portaali generoi yksilöllisen kirjautumisinstanssin jokaiselle uhrille erikseen.

Alla olevissa kuvissa mustan viivan vasemmalla puolella oleva kuvakaappaus on hyökkääjän luoma portaali, ja oikealla oleva on havaintohetkellä olemassa ollut aito portaali. Kalasteluportaaliin oli luotu varmenne Let's Encrypt -palvelun kautta vähentämään epäilyksiä, mutta Yahoon osalta ulkoisesta lähteestä haettu kuva rikkoi selaimessa https-istunnon luottamuksellisuuden.

Googletunnusten kalasteluportaali
Google-tunnusten kalasteluportaali sekä aito kirjautumissivusto
Microsoft-tunnusten kalastelusivusto
Microsoft-tunnusten kalastelusivusto
Yahoo-kalastelusivusto
Yahoo-tunnusten kalastelusivusto
Yandex-tunnusten kalastelusivusto
Yandex-tunnusten kalastelusivusto

Jos portaali ei tunnistanut uhrin sähköpostiosoitteesta tarjoajaa, esiin tuli geneerinen OpenXchangen webmailin kirjautumisikkuna, tosin maustettuna domainkohtaisella otsikolla (esimerkissä Icloud).

Geneerinen kalasteluportaali
Geneerinen kalastelusivusto

Tämän lisäksi portaaliin oli myös luotu Gmailin MFA-autentikaatiota varten turvakysymyksiä, varasähköpostiosoitteita sekä puhelinnumeroita varten omat kalastelunäkymänsä. Näkymät poikkeavat todellisista siinä, että Google sumentaa osan merkeistä ja jättää muutaman näkyviin; eli esim. puhelinnumerosta näkyisi kaksi viimeistä numeroa suuntanumeron lisäksi.

Väärennetty Googlen turvakysymys
Väärennetyt Googlen turvakysymyslomakkeet

Emme testanneet käytännössä, osasiko MFA-portaali murtaa suojatun Gmail-tilin samanaikaisesti, mutta teoriatasolla hyökkääjä olisi saanut näillä metodeilla riittävästi tietoa päästä tiliin sisään edes kerran ja suorittaa muita toimenpiteitä tilin oikeuksilla kunnes salasana vaihdettaisiin uuteen.

Kirjautumisketjun läpi käytyään portaali katkaisi session ja ohjasi uhrin kyseisen tarjoajan oikealle kirjautumissivustolle, jos sellainen oli tiedossa. Geneerisen sivuston tapauksessa portaali ohjasi uhrin uudelleen samalle sivulle.

Akamain tietoturva-asiantuntija Larry Cashdollar julkaisi aiemmin tässä kuussa samasta aiheesta blogikirjoituksen, jossa käsitellään Google Translaten kautta tehtyä kalastelua. Samassa ketjussa pyrittiin kalastelemaan sekä uhrin Google- että Facebook-tilejä peräkkäin. Kirjoitus löytyy osoitteesta https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html(Ulkoinen linkki). Hyökkäystavassa uhri ohjattiin Google Translate -sivustolle valmiilla linkillä, ja varsinainen kalastelusivusto esitettiin kyseisen sovelluksen näkymän kautta. Tällöin osoiterivillä uhrille näkyy ensisijaisesti Googlen tunniste ja sertifikaatti, mutta ylärivissä näkyy myös Translaten luoma otsikkoalue.

Kokonaisuutena voitanee siis sanoa, että tunnusten kalastelun uhka on edelleen hyvin relevantti ja kalastelu on aktiivista jatkuvasti. Osa kalastelusivustoista on tehty teknisesti todella hyvin ja väärennöksen tunnistaminen vaatii suurta tarkkuutta. Hyökkääjät pyrkivät pääsääntöisesti kalastamaan tunnettujen palveluiden tunnuksia väärentäen kirjautumissivustoja näyttämään visuaalisesti aidoilta. Lisäksi myös monivaiheisen kirjautumisen vuoksi pyritään keräämään käyttäjältä lisätietoja helpottamaan tilille murtautumista.

Kyberturvallisuuskeskus kehottaa käyttäjiä olemaan edelleen valppaana, ja ilmoittamaan havaituista tapauksista joko sähköpostitse tai verkkolomakkeen kautta. Onnistuneissa kalastelutapauksissa myös rikosilmoituksen tekeminen poliisille on erittäin suotavaa.

Lue lisää

Turvallisesti netissä -oppaat lapsille ja vanhemmille

Tunnisteet: tietoturva nyt!

Mediataitoviikon kunniaksi julkaisemme lapsille ja heidän huoltajilleen tarkoitetut kyberturvallisuusoppaat. Jos tarvitset neuvoja muun muassa fiksuun ja turvalliseen internetin ja älylaitteiden käyttöön tai kaipaat kyberaiheisia tehtäviä lapsille, tämä opas on sinulle. Alkuperäiset oppaat on laatinut ja tuottanut Brasilian CERT.

Tänä vuonna keskitymme lapsiin ja heidän huoltajiinsa. Turvallisesti netissä -oppaissa on ohjeita muun muassa fiksuun ja turvalliseen internetin ja älylaitteiden käyttöön sekä hauskoja tehtäviä lapsille. Alkuperäiset oppaat on laatinut ja tuottanut Brasilian CERT (Cert.br).

Oppaiden nettiversiot saat verkkosivuiltamme. Oppaista on mahdollista saada myös maksuttomia ja painettuja paperiversioita, viimeistään viikolla 8. Tilaus hoituu sähköpostitse. Tiedotamme tilausohjeista lähiaikoina tarkemmin.

Mediataitoviikko (4. - 10.2.2019) on mediakasvatuksen teemaviikko, jonka tavoitteena on kehittää lasten ja nuorten mediataitoja sekä vahvistaa aikuisten valmiuksia mediakasvatukseen. Viikon aikana muun  muassa kouluissa, kirjastoissa ja päiväkodeissa käsitellään erilaisiin median ilmiöihin liittyviä aiheita ja kysymyksiä yhdessä lasten, nuorten ja aikuisten kanssa. 

Mediataitoviikkoa koordinoi Suomessa Kansallinen audiovisuaalinen instituutti KAVI. Kansalliseen mediataitoviikkoon liittyy myös kansainvälinen Safer Internet Day, jota vietettiin tiistaina 5.2. teemalla Together for a better internet.

Ehdit vielä mukaan esimerkiksi seuraamalla sosiaalisen median kanavia aihetunnisteilla #Mediataitoviikko ja  #mediakasvatus. Mediataitokoulun verkkosivuilla kerrotaan viikon eri tapahtumista tarkemmin.  

Turvallisesti netissä -kansikuva

Oppaat ja lisätietoa Mediataitoviikosta

Lue lisää

 

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.