Viranomaiselta vakava varoitus: suomalaisten organisaatioiden sähköpostitilejä kaapataan laajan tietojenkalastelukampanjan avulla
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on julkaissut sivuillaan vakavan varoituksen tietojenkalastelukampanjasta, joka on levinnyt laajalle ja jonka avulla suomalaisten organisaatioiden sähköpostitilejä kaapataan.
Kyberturvallisuuskeskuksen mukaan rikolliset kalastelevat yritysten työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla.
Näiden tunnusten avulla kirjaudutaan Microsoft 365 -sähköpostijärjestelmiin, ja kaapattuja tilejä käytetään uusien tietojenkalasteluviestien lähettämiseen sekä sisäisesti että muihin organisaatioihin.
Kalasteluviestien sisältö on Kyberturvallisuuskeskuksen mukaan vaihdellut. Monissa tapauksissa viesti näyttää turvapostiviestiltä, ja siinä on linkki väärennetylle sivustolle. Joissakin viesteissä on liitteenä PDF-tiedosto, joka sisältää huijauslinkin.
Viranomaisen mukaan kalastelusivuilla on käytetty kehittynyttä adversary-in-the-middle-automatiikkaa (AitM), joka joissakin tapauksissa kykenee myös monivaiheisen tunnistamisen ohittamiseen.
Kyberturvallisuuskeskus on saanut kymmeniä ilmoituksia murretuista Microsoft-tileistä ja niiltä lähetetyistä tietojenkalasteluviesteistä. Kirjautumisyrityksiä tulee ympäri maailmaa, myös Suomesta. Onnistuneen kirjautumisen jälkeen tililtä lähetetään uusia kalasteluviestejä tilin yhteystietoluettelolle.
Kyberturvallisuuskeskus antaa muutamia vinkkejä, joilla voi välttää huijatuksi joutumisen. Henkilöstöä tulisi kouluttaa ja tiedottaa aiheesta, ja epäilyttävät viestit kannattaa aina varmistaa muuta reittiä pitkin, esimerkiksi soittamalla lähettäjälle.
Käynnissä oleva kampanja on varsin laaja ja onnistuneita tietomurtoja on kohdistunut useisiin organisaatioihin. Erityisesti onnistuneiden tietomurtojen hyväksikäyttö jatkomurtoihin nostaa avoimen ja nopean tiedonjaon tärkeyttä. Kyberturvallisuuskeskus kannustaa kaikkia kampanjan kohteeksi joutuneita ilmoittamaan havainnoistaan aktiivisesti Kyberturvallisuuskeskukselle.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT