Tietojenkalastelu, Opsec Oy

Tietojenkalastelu on uhka yrityksille – rikolliset hyödyntävät käyttäjien tunnuksia monin eri tavoin

Kerroimme aikaisemmin, mitä tietojenkalastelu on ja miten rikolliset saavat haltuunsa yritysten käyttäjätunnuksia ja salasanoja. Mitä rikolliset sitten tekevät varastetuilla tunnuksilla? Levittävät tietojenkalasteluviestejä ja tavoittelevat taloudellista hyötyä. Yritys voi tietojenkalastelun seurauksena joutua tietomurron kohteeksi ja pahimmillaan menettää rahansa, tietonsa ja maineensa.

Tietojenkalasteluviestien levittäminen

Tietojenkalasteluun liittyvien viestien levitykseen rikolliset käyttävät käyttäjän sähköpostiosoitetta ja sähköpostista löytyviä yhteystietoja. Kalasteluviestejä levitetään käyttäjän nimissä hänen yhteystiedoistaan löytyville henkilöille. Yhden käyttäjän sähköpostista voi löytyä tuhansia yhteystietoja, joihin kalasteluviestejä lähetetään. Jos muutama noista tuhannesta vastaanottajasta avaa tutun henkilön nimissä saadun viestin ja jättää tunnuksensa rikollisille, on rikollisten käsissä jälleen muutama varastettu tunnus enemmän sekä tuhansia uusia yhteystietoja. Käyttäjillä voi olla myös pääsy yhteiskäyttöisiin sähköposteihin, jolloin myös nämä sähköpostiosoitteet ja niiden yhteystiedot päätyvät rikollisten käsiin. Kalasteluviestit leviävät siis nopeasti ja käyttäjän nimissä lähtevien viestien vastaanottajat ovat yleensä yrityksen muuta henkilökuntaa sekä asiakkaita ja yhteistyökumppaneita.

Kerromme seuraavassa tietojenkalastelua käsittelevässä blogissa lisää siitä, miten yrityksen pitäisi varautua tietojenkalastelusta johtuviin tietomurtoihin ja miten yrityksessä pitäisi toimia tämänkaltaisen tietomurtohavainnon jälkeen.

Taloudellisen hyödyn tavoittelu

Taloudellista hyötyä rikolliset tavoittelevat usein tunnuksilla, joiden takaa löytyy yrityksen johtaja tai rahaliikennettä käsittelevä käyttäjä. Päästessään tunnuksilla käyttäjän sähköpostiin rikolliset asettavat käyttäjän sähköpostiin uudelleenlähetyssääntöjä, jolloin rikolliset saavat kopion jokaisesta käyttäjän lähettämästä ja vastaanottamasta sähköpostiviestistä. Näistä viestien kopioista rikolliset voivat päätellä kannattaako käyttäjätunnuksia käyttää taloudellisen hyödyn tavoitteluun vai ei.

Taloudellista hyötyä rikolliset havittelevat tunnuksilla usein silloin, kun käyttäjältä löytyy sähköpostista esimerkiksi laskutukseen tai palkkoihin liittyviä tietoja. Näitä tietoja hyödyntämällä rikolliset lähettävät sähköposteihin aidonnäköisiä laskutus- ja maksutietoja. Lähetetyt tiedot sisältävät kuitenkin rikollisten tilinumeron, joten yritysten raha siirtyy rikollisten tileille.

Varastetuilla tunnuksilla voi päästä käsiksi kaikkiin yrityksen tietoihin

Yrityksissä ei aina tiedosteta, että sähköpostin kautta varastetuilla käyttäjien tunnuksilla pääsee usein myös yrityksen muihinkin käytössä oleviin palveluihin, sovelluksiin ja järjestelmiin. Tämä taas tarkoittaa sitä, että rikolliset saattavat päästä käsiksi kaikkiin yrityksen tietoihin.

Yrityksen tietoja rikolliset voivat hyödyntää esimerkiksi väärentämällä rahaliikenteeseen liittyviä tietoja tai kiristämällä tietoja vastaan. Yrityksen tietoja voidaan myös muuten väärentää, varastaa tai poistaa. Jos rikolliset saavat käsiinsä pääkäyttäjien tunnuksia, niin he voivat halutessaan estää kaikkien käyttäjien pääsyn yrityksen tietoihin.

Tietojen varastamiseen liittyy joskus myös yritysvakoilu eli tietojenkalastelua tehdään kilpailijoiden toimesta. Joskus tietojen poistaminen tai tietoihin pääsyn estäminen voi olla jopa kiusantekoa, jolla voi olla surulliset seuraukset yrityksen näkökulmasta.

Esimerkki tapahtumaketjusta

Yrityksellä on käytössä Office 365 -palvelu ja yksi käyttäjä saa Outlook -sähköpostiinsa tutun henkilön nimissä lähetetyn ja sujuvaa tekstiä sisältävä viestin, jonka seurauksena käyttäjä syöttää tunnuksensa aidonnäköiselle kirjautumissivulle. Tämän jälkeen rikollisilla on tunnukset, joilla he pääsevät käyttäjän sähköpostiin.

Sähköpostista rikolliset selvittävät käyttäjän muut käytössä olevat palvelut ja järjestelmät, jonka jälkeen rikollisilla on pääsy yrityksen OneDrivelle, SharePointiin ja Teamsiin sekä muutamaan muuhun palveluun ja järjestelmään, joihin käyttäjä on tunnuksillaan joskus kirjautunut.

Käyttäjältä löytyy laajat oikeudet yrityksen tietoihin, joten rikollisille jää enää mietittäväksi, mihin tunnuksia ja kaikkia niiden takaa löytyviä ja kopioituja tietoja voisi hyödyntää. Rikollisilla on käsissään mm. erilaisia sopimuksia, asiakkaiden ja henkilökunnan henkilötietoja, palkka- ja laskutustietoja, luottokorttitietoja, tuotesalaisuuksia, raportteja, suunnitelmia, jne.

Uskotko, että kyseinen yritys selviäisi tilanteesta ilman tietojen, rahan tai maineen menetystä?

Yhden käyttäjän tunnukset rikollisten käsissä voivat siis aiheuttaa ison riskin koko yrityksen toiminnalle. Yritys voi kuitenkin estää varastettujen käyttäjätunnusten hyödyntämisen suojaamalla käyttäjätilit.

Teksti syntyi toimitusjohtaja Mika Lindbergin ja markkinoinnista ja viestinnästä vastaavan Annukka Talvitien iltapäiväkeskustelusta, jossa Annukka halusi selvittää, mitä kaikkea tietojenkalastelu on aiheuttanut yrityksille.


Jatkamme tietojenkalastelun blogisarjaa vielä ensi viikolla. Kerromme, miten yrityksen tulisi toimia jouduttuaan tietojenkalastelusta johtuvan tietomurron kohteeksi ja mitä tunnusten ja tietojen vuotaminen tarkoittaa tietosuojalainsäädännön näkökulmasta.