Tietomurtoaalto suomalaisten organisaatioiden sähköpostitileillä
Liikenne- ja viestintävirasto Traficom antoi tänään vakavan varoituksen tietomurtoaallosta. Ongelma on ilmennyt suomalaisten organisaatioiden sähköpostitileillä.
Tietomurto leviää organisaatiosta toiseen, kun yritysten työntekijöiden käyttäjätunnuksia ja salasanoja kalastellaan sähköpostitse ja huijaussivujen avulla.
Rikolliset ovat Traficomin mukaan kirjautuneet saamillaan tunnuksilla Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetään siten, että uusia tietojenkalastelun viestejä lähtee sekä yrityksen sisäisesti että muihin organisaatioihin. Hyökkääjä lähettää murretuilta tileiltä viestejä käyttäjätilin aiemmille kontakteille.
Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä kalasteluviesteistä. Keskuksen tiedossa ei kuitenkaan ole, että tämä olisi johtanut rikollisten laajaan etenemiseen organisaation järjestelmien sisällä. Tilien murrot kuitenkin altistavat muillekin tietoturvaloukkausten riskeille.
Kalastelusivuilla on Traficomin mukaan käytetty kehittynyttä AitM-automatiikkaa, joka joissakin tapauksissa kykenee ohittamaan myös monivaiheisen tunnistamisen.
Monissa tapauksissa nyt käytetty kalasteluviesti näyttää turvapostiviestiltä. Viesti on väärennetty muistuttamaan yleistä turvapostiratkaisua, mutta linkki turvapostipalveluun on muokattu ohjaamaan rikollisten hallussa olevalle sivustolle.
Lisäksi hyökkääjä on lähettänyt oikeita turvapostiviestejä. Kalasteluun ohjaava linkki on ollut niissä viestin sisällössä.
Mitä tavallisen netinkäyttäjän olisi nyt Traficomin mukaan syytä tehdä?
Jos epäilet saamasi viestin aitoutta, älä vastaa viestiin vaan pyri varmistumaan sen sisällöstä jotain muuta reittiä, esimerkiksi puhelulla tai pikaviestillä.
Jos epäilet, että sähköpostitilisi on murrettu, tarkista edelleenlähetyssäännöt sekä ylläpitäjän näkymästä että käyttäjän näkymästä.
Murrettujen tilien salasanojen vaihtaminen ei Traficomin mukaan yleensä riitä, jos rikolliset ovat onnistuneet varastamaan niin kutsutun session cookien.
Eräs turvakeino on perua käyttäjän kaikki käyttöoikeudet hetkeksi.
Tietomurrosta tai sen yrityksestä tulisi tehdä rikosilmoitus. Lisäksi tapauksista kannattaa ilmoittaa Traficomin Kyberturvallisuuskeskukselle.