Vakavia seurauksia yrityksiin kohdennetusta sähköpostitunnusten kalastelusta

Sähköpostilla käsitellään paljon yritysten tärkeitä tietoja, joten pääsy sähköpostiin kiinnostaa luonnollisesti myös rikollisia. Kyberrikolliset yrittävät jatkuvasti kohdennetusti huijaamaan käyttäjätunnuksia yritysten työntekijöiltä. Yrityksen sähköpostin käyttäjätunnukset sallivat yleensä pääsyn myös muihin yrityksen tietojärjestelmiin.

Luvattomia uudelleenohjauksia Office 365 Exchange Online -pilvisähköpostipalvelussa

Kesäkuussa 2017 Suomessa havaitiin runsaasti tietojenkalasteluun tähtääviä sähköpostiviestejä. Kampanja oli kohdennettu lähinnä yritysten johdolle ja IT-ylläpidossa työskenteleville henkilöille. Onnistuneen sähköpostitunnusten kalastelun seurauksena organisaatioiden käyttämään Office 365 Exchange Online -pilvisähköpostipalveluun on esimerkiksi asetettu luvattomia sähköpostin edelleenohjaussääntöjä, joiden olemassaolon havaitseminen on vaikeaa ylläpidon normaaleilla työkaluilla.

Tietojenkalastelu - helppoa ja toimivaa

Oikealta näyttävien kalastelusivujen tehtailu on helppoa. Ihminen on myös luonteeltaan hyväuskoinen. Tämä on yhdistelmänä rikolliselle äärimmäisen houkutteleva ja helppo työkalu, jolla erilaisia huijauksia, petoksia tai suurempia rikoskokonaisuuksia voidaan suorittaa. Tietojenkalastelu on usein ensimmäinen vaihe onnistuneen hyökkäyksen suorittamisessa.

Valtaosa tietojenkalastelusivustoille vievistä linkeistä levitetään sähköpostin avulla. Huijarit voivat monilla tavoin saada sähköpostiviestit näyttämään aidoilta. Myös puhelimitse tehtävää tiedonkeruuta tapahtuu. Esimerkiksi ulkoistuskumppanin nimissä soitettu puhelu ei ehkä olekaan asiakastyytyväisyyskysely kumppanin toiminnasta.

Motiiveita on monia, mutta yleensä se on raha

Rikollisten kohteena on yleensä yksityishenkilöiden tai organisaatioiden varallisuus. Tietojenkalastelun avulla kerätään tarvittavia tietoja, käyttäjätunnuksia, pankkitunnuksia, sekä luottokorttitietoja. Tietojenkalastelua voidaan myös käyttää esimerkiksi kartoittamaan organisaation rakenteita suuremman rikoskokonaisuuden varalle.

Tietojenkalastelun avulla haltuunotetulla sähköpostitilillä voidaan vaikkapa lähettää toimitusjohtajan nimissä laskutusosastolle viesti, jossa kehotetaan maksamaan lasku heti ulkopuoliselle tilille. Tällaista viestiä on melkein mahdotonta erottaa tekaistuksi. Tämän vuoksi on syytä varmistua toimeksiannon oikeellisuudesta ennen laskun maksamista. Kaapatun tilin avulla voidaan myös lähettää esimerkiksi yhteistyökumppaneille tekaistuja viestejä ja näin saada aikaan haittaa.

Mikäli yritys käsittelee arvokasta tietoa, voi hyökkääjän motiivi olla vain tiedon vieminen yritykseltä. Yleisesti esimerkiksi tuotekehitystiedot ovat kiinnostavia.

Sama tunnus moneen järjestelmään

Organisaatiotunnusten kalastelu on myös siksi ongelmallista, että yleensä samalla tunnuksella ja salasanalla kirjaudutaan organisaation moniin eri palveluihin. Yhden käyttäjätunnuksen varastamisen jälkeen hyökkääjällä voi siis pahimmassa tapauksessa olla pääsy kaikkiin organisaation tietojärjestelmiin. Mitä enemmän paljastuneiden tunnusten käyttäjällä on käyttövaltuuksia, sitä vakavampi uhka hänen tunnuksensa ovat väärissä käsissä.

Ilmoita huijauksista

Mikäli havaitset tai organisaationne havaitsee huijausyrityksiä, on asiasta tärkeää tiedottaa omaa henkilöstöä. Kyberturvallisuuskeskus ottaa vastaan ilmoituksia organisaatioihin kohdistuneista huijauksista ja niiden yrityksistä. Onnistuneista huijauksista on syytä tehdä rikosilmoitus paikallispoliisille.

Organisaatio voi suojautua vastaavilta hyökkäyksiltä esimerkiksi seuraavilla tavoilla:

  1. Luo käytännöt tietoturvapoikkeamien järjestelmälliseen käsittelyyn.
  2. Valista sähköpostin käyttäjiä tietojenkalastelusta ylipäänsä ja ajankohtaisista kalastelukampanjoista erityisesti. Opasta käyttäjiä ilmoittamaan havaitsemistaan tietoturvapoikkeamista.
  3. Käytä DMARC:a (Domain Message Authentication Reporting & Conformance)
  4. Harkitse edelleenohjausten asettamisen estämistä tavallisilta käyttäjiltä. Sähköpostijärjestelmän ylläpitäjä voi edelleen pyynnöstä asettaa edelleenohjauksia.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberrikollisuus , Sähköposti , Tietojen kalastelu (phishing) , Tietomurto , Tietovuoto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248