Uusi tietojenkalastelukampanja alkanut 26.7.

Sähköpostien ja valheellisten verkkosivustojen avulla toimiva tietojenkalastelukampanja kerää käyttäjiltä mm. nimen, henkilötunnuksen ja verkkopankin kirjautumistiedot.

Viikonlopun aikana on alkanut uusi tietojenkalastelukampanja. Kyberturvallisuuskeskus sai ensimmäiset havainnot kampanjasta lauantaina 26.7. Tietojenkalastelu on toteutettu sähköpostiviesteillä, joissa on linkki pankkien kotisivuja muistuttavalle verkkosivustolle. Verkkosivustot on toteutettu kohtuullisen hyvin, mutta sähköpostien suomen kieli ei ole ollut täysin sujuvaa. Tietojenkalastelun kohteena on ollut ainakin Nordea, Säästöpankki, Danske Bank, Osuuspankki ja Aktia.

Lisäys: 29.7. alkaen myös S-Pankki.

Tietojenkalastelusivulla on pyydetty käyttäjiltä nimeä, syntymäaikaa, osoitetta, puhelinnumeroa, sähköpostia, henkilötunnusta ja verkkopankin käyttäjätunnusta ja salasanaa. Lisäksi tietojenkalastelusivustolla lukee myös, että tietojen syöttämistä saattaa seurata puhelinsoitto, jossa käyttäjältä udellaan lisätietoja.

Aiemmista havaituista tietojenkalastelukampanjoista poiketen, verkkorikolliset ovat asettaneet tietojenkalastelusivut sisällönhallintajärjestelmää käyttäville palvelimille. Palvelimille on luultavasti murtauduttu hyödyntäen vanhentuneen sisällönhallintajärjestelmän haavoittuvuuksia. Maanantaiaamuun mennessä Kyberturvallisuuskeskuksen tietoon on tullut noin 30 eri verkko-osoitetta, joiden alle on ujutettu tietojenkalastelusivuja. Kyberturvallisuuskeskus on välittänyt tiedot tietojenkalastelusivustoista verkkopalveluiden omistajille. Suurin osa tähän mennessä havaituista tietojenkalastelusivuista ei enää ole toiminnassa.

Käyttäjiltä odotetaan valppautta. Alla olevista esimerkkisähköposteista näkee minkälaisia kampanjaan liittyvät viestit ovat olleet. Lisäksi alla on myös esimerkit eri pankkien tietojenkalastelusivuista. Helpoiten tietojenkalastelun voi tunnistaa selaimen osoitekentästä, koska tietojenkalastelusivut eivät ole pankin oman toiminimen (esimerkiksi nordea.fi, aktia.fi, saastopankki.fi) alaisuudessa. Lisäksi tietojenkalastelusivut eivät hyödynnä salattua verkkoliikennettä (lukittu lukko-ikoni puuttuu selaimen osoiteriviltä).

Jos erehtyy syöttämään tietonsa tietojenkalastelusivulle, tulee ensitilassa olla yhteydessä omaan pankkiin. Lisäksi tietojenkalastelusivuista kannattaa tehdä ilmoitus Viestintäviraston Kyberturvallisuuskeskukselle osoitteeseen:

cert@viestintavirasto.fi


Esimerkki Aktian nimissä lähetetystä tietojenkalasteluviestistä. Viestissä oleva linkki ohjaa tietojenkalastelusivulle.


Sähköpostin alussa oleva huono suomen kieli on hyvä vihje huijausyrityksestä:

"Hyvä asiakas,

Huomaa, että verkkopankin on päättymässä. Tämän palvelun jatkuvan keskeytyksettä napsauttamalla alla olevaa kuvaketta manuaalisesti päivittää tilisi."

Sähköpostien lähettäjätiedot on väärennetty. Lähettäjänä saattaa siksi näkyä esimerkiksi tilin.aktivointi@aktia.fi tai "NOOA SÄÄSTÖPANKKI".


Esimerkki Nordean kotisivua muistuttavasta tietojenkalastelusivusta. Väärennetyn sivun tunnistaa helpoiten selaimen osoiterivin verkkotunnuksesta. Esimerkin tietojenkalastelusivu on osoitteessa heritage.pk, vaikka Nordean oikea osoite on nordea.fi.


Esimerkki Aktian kotisivua muistuttavasta tietojenkalastelusivusta.


Esimerkki Säästöpankin kotisivua muistuttavasta tietojenkalastelusivusta.

Esimerkki Osuuspankin kotisivua muistuttavasta tietojenkalastelusivusta.


Esimerkki Danske Bankin kotisivua muistuttavasta tietojenkalastelusivusta.


Esimerkki S-Pankin kotisivua muistuttavasta tietojenkalastelusivusta. (Kuva lisätty 29.7.)

LISÄTIETOJA:

Säästöpankin tiedote tietojenkalasteluun liittyen (27.7.)

Aktian etusivun ajankohtaiset-osiossa on lisätietoja tietojenkalastelusta (27.7.)

Nordean tiedote tietojenkalasteluun liittyen (28.7.)

Osuuspankin tiedote tietojenkalasteluun liittyen (28.7.)

Kyberturvallisuuskeskuksen Näin meitä hujataan! -raportti (23.7.)

Danske Bankin tiedote tietojenkalasteluun liittyen (28.7.)


Päivityshistoria

Asiasanat: Tietoturva , Huijaus , NCSC-FI , Tietojen kalastelu (phishing) , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248