Sähköpostiliikenteen turvallisuutta tutkivat raportti kertoi 94% organisaatioista törmänneen phishing-hyökkäyksiin viimeisen 12 kuukauden aikana. Toisen henkilön esittämiseen perustuvien huijausten määrä on lisääntynyt 67%:lla viimeisen vuoden aikana. Tietojenkalastelua kohdistetaan kaikenlaisiin toimijioihin, viimeisimpänä mm. rahtilaivaliikenteeseen. Jokaisen organisaation on huolehdittava, että oma henkilöstö ymmärtää phishingiin liittyvät vaarat.
Tietojenkalastelu on tietynlainen sosiaalisen digiturvahyökkäyksen tyyppi, jota käytetään luottamuksellisen (kuten salasanat, luottokorttitiedot, käyttäjätunnukset) onkimiseen uhrilta.
Yleensä huijaus alkaa hyökkääjän esittämällä luotettua tahoa (esim. tuttua palveluntarjoajaa) ja huijaamalla uhrin avaamaan esimerkiksi sähköpostin, pikaviestin tai tekstiviestin.
Perusidea toistuu - toteutustavat kehittyvät
Jokaisen tietojenkalasteluhuijauksen perusideana on yrittää jotenkin huijata sinut antamaan luottamuksellisia tietoja huijarille. Sen sijaan huijauksen kohteena olevat tiedot, huijaukseen käytetty kanava sekä huijauksen toteutuksen hienostuneisuus vaihtelevat suuresti.
Nykyään ei enää kannata ajatella, että tietojenkalasteluyrityksen tunnistaa oudosta lähetysosoitteesta, kirjoitusvirheistä tai muuten selkeästi haiskahtavasta sisällöstä. Monet huijaukset ovat erittäin taitavasti toteutettuja ja saattavat jopa hyödyntää henkilökohtaisia tietojasi, jotka ovat vuotaneet jonkin aiemman tietoturvaloukkauksen yhteydessä. Sinun voidaan tietää vaikka tilanneen tietyn palvelun tai vierailleen tietyssä paikassa, jonka avulla huijausviestiin saadaan rutkasti lisää uskottavuutta.
Kun phishing-huijaus kohdistetaan tietoisesti valittuihin henkilöihin, esimerkiksi rikkaisiin tai muuten arvokasta tietoa omaaviin, käytetään osuvasti rinnakkaisia termejä 'spear-phishing' tai 'whaling'.
Yksi kuuluisimmista phishing-tapauksista on Hillary Clintonin kampanjapäällikkö John Podestan sähköpostitilin kaappaaminen. Kampanjahenkilökunta reagoi tämän tyyliseen viestiin, joka näytti tulevan Googlelta (kampanjan sähköpostipalvelujen tarjoajalta).
Vaihdettuaan salasanan linkin takaa löytyneellä sivulla, Podesta antoi Google-tilin salasanansa venäläiselle hakkeriryhmälle ja pian hänen sähköpostejaan alkoi ilmestyä WikiLeaks-sivustolle.
5 phishing-esimerkkiä ja ohjeet suojautumiseen
Ennen kuin aloitetaan, haluan korostaa salasanojen hallintajärjestelmän tärkeyttä. Se on jokaiselle tietotyöläiselle pakollinen järjestelmä tulevaisuudessa ja se suojaa myös phishing-huijauksilta; järjestelmä kun tyrkyttää salasanaa täytettäväksi ainoastaan oikealla kirjautumissivulla. Salasanojen fiksusta hallinnasta voit myös lukea aiemmasta kirjoituksestamme.
Väärennetty toimenpideviesti tuttua palveluntarjoajaa esittäen
Mitä tapahtuu: Saat viestin, jossa joku esittää sinulle tuttua ja yleisesti tunnettua palveluntarjoajaa (Microsoft, Facebook, Amazon, jne.) ja pyytää sinua tekemään jotain tähän tiliin liittyvää, kuten vahvistamaan tilin omistuksen, päivittämään salasanan tai tarkistamaan tietoja. Viestin linkki ohjaa yleensä väärennetylle kirjautumissivustolle.
Miten tunnistat: Katso lähettäjän osoitetta tarkasti. Onko se juuri se osoite, jota he käyttävät omaan viestintäänsä? Ole epäileväinen sähköpostiviestejä kohtaan, jotka pyytävät toimenpiteitä, etenkin niiden tullessa yleisiltä palveluntarjoajilta. Tarkista, mihin linkki vie, ennen kuin klikkaat. Kirjautumissivulla voit tunnistaa huijauksen mm. väärennetystä osoitteesta, samaan tapaan kuin lähettäjätiedon kanssa.
Väärennetty kirjautumislaajennus
Mitä tapahtuu: Törmäät sosiaalisessa mediassa mainokseen artikkelista, jota klikkaat. Sinut viedään sivustolle, joka pyytää Facebook-kirjautumista ennen, kuin saat nähdä artikkelin.
Miten tunnistat: Tarkista, oletko jo valmiiksi kirjautunut Facebookiin? Jos olet, ei aidon SSO-ikkunan pitäisi pyytää sinua kirjautumaan uudelleen. Yleisesti mieti aina, miksi tässä kohtaa minulta pyydetään henkilökohtaisia tietoja? Kirjautumissivut kannattaa nähdä "vaaran alueina". Tässä kyseessä on pelkkä sivulle kirjoitettu HTML-koodinpalanen (eikä oikea "ikkuna"), joten voit myös yrittää kirjautumisosion sivustoalueelta ulos, jolloin huomaat ettei tämä onnistu.
Väärennetty viesti suoraan kollegan / asiakkaan / kumppanin sähköpostista
Niinsanotut business-email-compromise (BEC) -tapaukset ovat yleistyneet huomattavasit viime aikoina. Niissä jonkin sinulle läheisen henkilön työsähköposti on jo huijareiden käsissä, ja sen avulla yritetään huojata sinua joko suoraan tai keskustelun kautta.
Mitä tapahtuu: Saat kollegasi tai asiakkaasi nimissä sähköpostin, jossa ei välttämättä ole edes mitään epäilyttävää. Viestissä ei ole linkkejä, ei liitetiedostoja - ainoastaan kaino pyyntö henkilöltä, joka esittää ehkäpä kaukaista kollegaa tai asiakkaan päättäjää. Näiden kautta pyritään perinteisista phishing-hyökkäyksistä poiketen reaaliaikaiseen keskusteluun kohteen kanssa. Jossain vaiheessa hyökkääjä pyytää jotain - lähettämään dokumentin, muokkaamaan tiedostoa, käynnistämään ruudunjaon tai muuta vastaavaa.
Miten tunnistat: Varma tapa tunnistaa tällaiset huijaukset on käyttää ns."channel-switching" -käytäntöä. Siinä tietyntyyliset pyynnöt vahvistetaan aina eri kanavaa myöten. Jos saat pyynnön lähettää dokumentti sähköpostilla, voit vahvistaa homman Slackin kautta.
Huijausviestit viestintäsovellustan kautta
Mitä tapahtuu: Näissä huijauksissa käytetään samoja metodeja kuin sähköpostin kautta (haitalliset linkit, toiseksi tekeytyminen jne.), mutta ne toimitetaan uusia kanavia pitkin, joita ovat mm. Slack, WhatsApp, Microsoft Teams, Twitter tai Facebook Messenger.
Miten tunnistat: Osaa epäillä huijausta myös muualla kuin sähköpostissa tai verkkosivulla. Tarkista, millaiselta tililtä viesti tulee. Onko tili vahvistettu? Jos googletan, tuleeko tämä tili ensimmäisenä vastaan tältä toimijalta? Onko muu sisältö tilillä asiallista? Jos googletat lähettäjän numeron, tuleeko vastaan tietoja huijauksesta?
Phishing-linkit jaettujen tiedostojen sisällä
Sähköpostiohjelmat ovat melko hyviä tunnistamaan haitaillisia linkkejä, joten huijarit ovat alkaneet sijoittaa niitä tiedostojen sisälle, jotka jaetaan ensin luotettavan oloisina ja tuttujen (Dropbox, Google Drive, OneDrive) palvelujen kautta.
Mitä tapahtuu: Saat huijarilta viestin, jossa ei näytä olevan mitään epäilyttävää. Siinä linkataan OneDrivessä jaettuun tiedostoon. Tämä tiedosto sisältääkin ainoastaan linkin eteenpäin, mm. huijauskirjautumissivulle, jossa pyydetään kirjautumaan ennen tiedoston näkemistä. Tiedostojen jakopalvelut pyrkivät tunnistamaan haittaohjelmat, mutta eivät välttämättä etsi tiedostojen sisäisiä haitallisia linkkejä.Tätä takiikkaa käytetään yhdessä BEC:n kanssa, jolloin jaettu tiedosto vieläpä läheteätään esimerkiksi asiakkaan sähköpostista.
Miten tunnistat: Käytä salasanojen hallintajärjestelmää. Sanoin sen jo kerran, mutta sanon uudelleen. Tapoja huijata ihminen oikean näköiselle kirjautumissivulle on monia. Salasanahallinta ei huijaannu sivun ulkonäöstä, vaan seuraa ainostaan verkko-osoitteen vastaavuutta tallennetun salasanan tietoihin. Sinulla on huomattavasti paremmat mahdollisuudet huomata huijaus.
Törmäsitkö phishing-huijaukseen?
Huijausyritykseen törmäävän kannattaa aina ottaa yhteyttä organisaationsa ylläpitoon tai digiturvatoimijoihin. Suomessa suositellaan myös ilmoittamista Kyberturvallisuuskeskukselle, joka voi osaltaan jakaa tietoa eteenpäin.
P.s. Jos satuit jo tekemään jotain tai täyttämään tietoja - vaihda salasanat, älä klikkaa enää lisää, dokumentoi mitä kävi ja ilmoita sitten eteenpäin.