26 huhti Kuukauden kysymys: Mitä on tietojenkalastelu?
Kysymykseen vastasi toimitusjohtaja Mika Lindberg:
Tietojenkalastelusta varoitellaan tällä hetkellä paljon – ja syystä. Käytännössä tietojenkalastelu tarkoittaa huijausyritystä, jossa pyritään varastamaan käyttäjien käyttäjätunnuksia ja salasanoja. Usein tietojenkalasteluun käytetään sähköpostiviestiä, joka on lähetetty vastaanottajalle tutun henkilön nimissä tai aikaisemmin varastettuja tunnuksia käyttämällä. Kalasteluviestin sisällöstä löytyy pääsääntöisesti aina linkki huijaussivustolle, jonka tarkoitus on kerätä käyttäjien tunnuksia.
Huijaussivusto saattaa pyytää käyttäjää lataamaan tiedoston, mutta lataaminen onnistuu vasta, kun käyttäjä on “kirjautunut” sivustolle omilla tunnuksillaan. Toinen yleistynyt tapa kerätä tunnuksia on yksinkertaisesti saada käyttäjä avaamaan sähköpostista linkki, jonka takaa löytyy aidonnäköinen kirjautumissivu käyttäjälle tuttuun palveluun.
Tähän asti huijausviestit ja -sivustot ovat olleet kohtalaisen helposti tunnistettavissa, mutta asiat ovat muuttuneet. Tietojenkalasteluviestit ja -sivustot ovat muuttuneet hyvin kirjoitetuiksi ja tutun henkilön nimissä lähetetyiksi. Tunnuksia saattaa kysyä hyvin aidonnäköinen ja tuttu sivusto eikä käyttäjä lopulta edes tiedä antaneensa tunnuksia rikollisille.
Rikollisten kohteena ovat etenkin yritykset, koska yrityksillä on paljon hyödynnettävää tietoa, kuten rahaliikennettä. Rikolliset myös selvittävät helposti yrityksen käyttämän pilvipalvelun ja tekevät tämän tiedon perusteella kalastelusivustosta oikean kirjautumissivun kaltaisen. Huijaussivustolta saattaa löytyä kaikki vastaavat sisällöt kuin oikealta sivustolta. Huijaussivustot voivat myös käyttää yritysten kanssa saman palvelun osoitteita, joten huijaussivustojen erottaminen oikeista sivustoista on erittäin haastavaa.
Jos joku on tähän asti nauranut tietojenkalasteluyrityksille ja “hassuille” sähköpostiviesteille, ei kannata nauraa enää. Tietojenkalastelua tekevät kansainväliset rikolliset. Selvitimme vähän aikaa sitten varastettuihin käyttäjätunnuksiin liittyvää tietomurtotapausta ja huijauksen taustalta löytyi useita kaupunkeja Yhdysvalloista ja Kiinasta. Samoilla rikollisilla oli käytössään .ru -loppuinen maatunnus eli domain yhdistyi Venäjälle. Hyökkäys oli tehty tavalliseen suomalaiseen pk-yritykseen.
Huijausviestien ja -sivustojen tekeminen on helppoa ja halpaa. Myös kiinnijäämisen vaara on erittäin pieni. Verkko on rikollisille kuin “torimarkkinat”, josta etsitään uhreja. Useimmiten kalastelun ja hyökkäysten kohteena ovat tunnetut ja laajassa käytössä olevat pilvipalvelut, joihin tehdään ns. massahyökkäyksiä. Viime aikoina tietojenkalastelut ovat kohdistuneet etenkin Office 365 -käyttäjätileihin, joten yritysten tulisi ehdottomasti nyt suojautua näitä hyökkäyksiä vastaan. Myös Traficomin Kyberturvallisuuskeskus kehoittaa jatkuvasti yrityksiä suojautumaan kyseisiltä hyökkäyksiltä.
Mika Lindberg
toimitusjohtaja
IT-joukkueen pelaaja #22
Kirjoitamme tulevina viikkoina lisää tietojenkalastelusta ja siitä, kuinka yritysten tulisi suojautua niitä vastaan. Lisäksi kerromme, miten rikolliset hyödyntävät saatuja käyttäjätunnuksia ja miten yrityksen tulisi toimia jouduttuaan tietojenkalastelusta johtuvan tietomurron kohteeksi. Lisäksi tuomme esille, mitä yrityksen käyttäjätunnusten ja tietojen vuotaminen tarkoittaa tietosuojalainsäädännön näkökulmasta.