Koronakriisi kiihdytti kyberrikollisuutta

Tietojenkalastelu, huijauspuhelut, kiristyshaittaohjelmat, tietomurrot, huijaukset, murtautumiset sometileille – tietoverkoissa tapahtuva rikollisuus on lisääntynyt koronakriisin aikana. Rikoksen motiivina on yleensä raha. Valitettavan usein taloudellisten tappioiden lisäksi yrityksen maine joutuu vaakalaudalle. Myös tapahtumien lippuhuijaukset ovat lisääntyneet tänä vuonna.

Haitalliset ilmiöt nostavat päätään, kun ihmisillä on hätä. Kyberturvallisuuskeskukseen tulleiden tietoturvaloukkausilmoituksien määrä on noussut koko vuoden. Esimerkiksi elokuussa ilmoitusten määrä kasvoi yli 120 prosenttia.

– Viime kevään lockdownin aikana ryöpsähtivät koronaan liittyvät huijaukset liikkeelle. Perustettiin esimerkiksi koronaan liittyviä pahantahtoisia verkkosivuja ja valeverkkokauppoja. Kun ihmisillä on huoli omasta toimeentulosta, rikolliset yrittävät hyötyä siitä välittömästi, sanoo Nixu oyj:n tietoturva-asiantuntija Anu Laitila.

Myös tapahtumien lippuhuijaukset lisääntyivät.

– Tapahtumat loppuivat kuin seinään ja kun niitä lähdettiin viemään verkkoon, monet tapahtumanjärjestäjät hyödynsivät Facebookia ja sen tarjoamia mahdollisuuksia. Myös kyberrikolliset haistoivat huijausmahdollisuudet ja he alkoivat luoda tapahtumajärjestäjien nimissä epäaitoja tapahtumia. Taustatietoja kerätään usein avoimista lähteistä ja rikastetaan tapahtumasivujen sisältöä niillä. Tosin se ei edes ole välttämätöntä, sillä ihmiset ovat luottavaisia eivätkä useinkaan tarkistele esimerkiksi yrityksien Facebook-profiilien sisältöjä.

Kannattaa varautua siihen, että jotain voi todella tapahtua.”

Feikkiprofiilit häiriköivät

Sen jälkeen epäaidon profiilin nimissä lähdetään kommentoimaan oikeaa tapahtumaa. Esimerkiksi kommenteissa voidaan ohjata väärään striimiin, epäaitoon lippukauppaan tai tietojenkeruusivulle, jolla kalastellaan osallistujien henkilö- ja luottokorttitietoja. Striimissä voidaan sitten näyttää vaikka aikuisviihdettä. Toisin sanoen epäaito profiili kommentoi ja kuormittaa Facebookin oikeaa tapahtumaa.

– Facebook puuttuu valitettavan hitaasti ja harvoin väärinkäytöksiin. Alustalla on paljon epäsopivaa ja rikollista toimintaa, sanoo Laitila.

Tapahtuman järjestäjän on varauduttava väärinkäytöksiin ja oman Facebook-tapahtuman ylläpitäminen saattaakin yhtäkkiä olla kokopäiväistä työtä.

– Muutaman viikon aikana eräästä tapahtumasta poistettiin 300 postausta ja 500 kommenttia.

Laitila kertoo, että tehokkain tapa saada Facebook reagoimaan epäaitoon tapahtumaan on tehdä tekijänoikeusilmoitus Facebookille raportointipainikkeiden kautta, mikäli organisaatiolla ei ole suoria yhteyksiä Facebookin maaorganisaatioihin esimerkiksi mediatoimiston kautta.

– Tapahtumajärjestäjän kannattaa aktiivisesti etsiä omaan tapahtumaan liittyviä epäaitoja tapahtumia. Algoritmit toimivat muun muassa kommentoinnin ja tykkäyksien avulla, mutta häiriötilanteessa voi olla järkevää sulkea kommentointi kokonaan. Valitettavasti.

Tiettyjä sanoja voi filtterin avulla sulkea Facebookin asetuksista, ja huijausprofiilien vakiosanat voi blokata automaattisesti.

– Näillä toimilla voi häiriköinti vähentyä hieman, ja jatkuva moderointi tietysti auttaa, mutta se on työlästä, sillä kommentoijia voi olla kymmeniä ja joskus jopa satoja.

– Kuka tahansa voi tehdä feikkiprofiilin someen, joiden avulla ihmisiä voidaan helposti ohjata väärille sivuille. Esimerkiksi Asiakaspalvelu Suomi -profiilissa on kymmeniätuhansia tykkääjiä. Tällaisia tilejä saatetaan tehdä ihan vain huvin vuoksi.

Suoranaista rahallista motiivia ei ole, mutta tällainen tili voisi olla kommentoimassa esimerkiksi jossain tapahtumassa, ja sen avulla ohjata ihmisiä feikkilippukauppaan.

 

 

Oman Facebook-tapahtuman ylläpitäminen saattaakin yhtäkkiä olla kokopäiväistä työtä.”

Kohteeksi voi joutua kuka tahansa

Kyberturvallisuuskeskuksen mukaan merkittävimmät pidemmän aikavälin kyberuhkiin liittyvät ilmiöt ovat kiristyshyökkäykset, tietojenkalastelu, haavoittuvuuden hyväksikäyttö, heikko riskienhallinta ja lokitietojen puutteellisuus.

Kiristyshyökkäyksiin liittyy usein lunnasvaatimuksia, jotka ovat suuruusluokaltaan miljoonia, jopa kymmeniä miljoonia. Niitä ei pidä missään tilanteessa maksaa.

– Ohjenuora on aina se, ettei lunnaita pidä maksaa, vahvistaa Laitila.

Lunnasvaatimusta saatetaan tehostaa hyökkääjän haltuun saamien, luottamuksellisten tietojen julkaisemisella.

– Lunnaiden maksaminen ei poista vuodettuja tietoja rikollisilta. Kun rikollinen saa rahat, yrityksen tiedot menettävät arvonsa. Niille saatetaan tehdä ihan mitä tahansa.

Mitä yrityksen sitten pitäisi tehdä, jotta lunnaiden maksulta välttyisi?

– Ei pidä tuudittautua ajatukseen, ettei mitään voi tapahtua. Yrityksen pitäisi varautua tilanteeseen etukäteen, esimerkiksi tekemällä suunnitelmat häiriötilanteesta toipumiselle ja liiketoiminnan jatkuvuudelle. 

Ennakointi ja harjoittelu ovat avainasemassa.

–  Mitä organisaation sitten pitäisi tehdä ja miettiä etukäteen? Miten esimerkiksi liiketoiminta jatkuu, jos kaikki järjestelmät menevät alas, Suomessa tai globaalisti?

Laitila vertaa harjoittelua paloharjoituksiin. Erona on ainoastaan se, että kyberharjoitukset sijoittuvat verkkoympäristössä tapahtuvaan häiriöön, kyberhäiriöön.

Lunnasvaatimukset miljoonia

Satelliittipaikannuslaitteita valmistava Garmin joutui Wastedlocker-kiristyshaittaohjelman uhriksi heinäkuussa. Hyökkäys keskeytti yrityksen kaikki palvelut useaksi päiväksi. Lunnasvaatimuksen kerrotaan olleen 10 miljoonaa dollaria ja julkisuudessa on esitetty viittauksia siihen, että yritys olisi maksanut lunnaat. Yrityksen osakekurssi laski hetkellisesti noin kymmenen prosenttia.

Liikematkustusjätti CWT joutui niin ikään heinäkuussa hyökkäyksen kohteeksi. Reutersin mukaan rikolliset ottivat Ragnarlocker-nimisen kiristysohjelman avulla haltuun kymmenientuhansien työntekijöiden tietokoneet ja saivat haltuunsa luottamuksellisia tietoja 2 teratavun verran. Tekijät yrittivät kiristää noin kymmentä miljoonaa dollaria, mutta CWT sai neuvoteltua summan noin 4,5 miljoonaan dollariin vedoten koronakriisin aiheuttamaan tilanteeseen.

Miten rikolliset murtautuvat isojen, globaalien yritysten tietojärjestelmiin?

– Aina tarkkoja tietoja ei murtautumisista saada, mutta yksi menetelmä on sosiaalinen manipulointi eli etsitään yrityksen työntekijä, tutustutaan, jutellaan mukavia, tavataan ja lopulta pyydetään pääsyä tietokoneelle jollain verukkeella. Tiedustelua voidaan tehdä monta kuukautta. Yrityksen työntekijä voidaan myös lahjoa. Teslaan liittyen oli juuri uutinen, että yrityksen työntekijää oli yritetty lahjoa miljoonalla dollarilla. Summaa vastaan kyberrikollisten toiveena oli, että työntekijä olisi asentanut haittaohjelman Teslan kriittisiin järjestelmiin. Lisäksi tyypillistä on, että joku voi hairahtua klikkaamaan tietojen kalasteluviestiä, jolloin kyberrikollinen saa yhteyden tietokoneeseen ja voi sitä kautta vaikkapa seurata sähköpostiviestintää vaikka kuinka pitkään.

Rikolliset eivät kuitenkaan katso yrityksen kokoa. Myös pienempi yritys voi joutua hyökkäyksen kohteeksi. Rikolliset etsivät maksukykyisiä yrityksiä. Suurin osa valikoituu kohteeksi heikon tietoturvan vuoksi.

FAKTA

Kyberrikollisuus eli tietotekniikkarikollisuus tarkoittaa tietotekniikkaan tai tietoverkkoihin kohdistuvia rikoksia tai tietotekniikkaa ja tietoverkkoja hyväksi käyttäen tehtäviä rikoksia. Tietoverkot ovat tänä päivänä olennainen osa rikollisuuden ja rikostorjunnan toimintaympäristöä ja nykyään yhä suurempi osa poliisin tietoon tulleista rikoksista tehdään tietoverkoissa tai tietojärjestelmissä. Lähde: KRP

 

ENNAKOI JA HARJOITTELE 

  • Pidä varmuuskopiot ajan tasalla ja eristä ne normaalista toimintaympäristöstä, jotta järjestelmät voidaan murron tapahtuessa palauttaa ajantasalle.
  • Harjoittele myös varmuuskopioiden palauttamista.
  • Laadi selkeät prosessit tietomurron varalta.
  • Kouluta henkilökunta tunnistamaan riskit.
  • Selkeytä vastuualueet, myös palveluntarjoajien ja heidän kumppaneidensa kanssa.
  • Vaihda aktiivisesti tietoa organisaatioiden kesken.
  • Pohdi etukäteen, miten yrityksen mainetta suojellaan ja kuka vastaa viestinnästä viranomaisille ja sidosryhmille.
  • Harjoittele toipumista hyökkäyksestä.

TOP5 kyberuhat

Laajamittaiset kiristyshyökkäykset

Kiristyshaittaohjelmat ovat merkittävä uhka pk-sektorin toimijoille. Kiristyshyökkäys uhkaa liiketoiminnan jatkuvuutta. Tapauksia on ollut myös Suomessa. Suurin osa yrityksistä valikoituvat kohteeksi siksi, että rikolliset olettavat kohteella olevan hyvä maksuvalmius. Rikolliset saattavat ajatella myös, että kohteella on suuri motiivi maksaa lunnaat. Lisäksi kohteeseen löytyy tapa murtautua, esimerkiksi paikkaamaton haavoittuvuus tai heikko tietoturva.

Tietojenkalastelu

Tietojenkalastelu ja käyttäjien manipulointi on erittäin yleistä. Vastaanottajan on usein vaikea havaita huijausta. Tällä hetkellä tyypillinen kalastelu on Office365-tuotteiden ja sähköpostin tunnuksien ja salasanojen kalastelu.

Tietojenkalastelu on keskeinen väline ammattirikollisten työkalupakissa. Sillä saa kerättyä tietomurtoihin tarvittavia tietoja, pankkitunnuksia, organisaatiorakenteita, henkilö-tietoja, käyttäjätunnuksia ja salasanoja. Tietojenkalasteluun ja manipulointiin voi varautua kouluttamalla henkilökuntaa ja ottamalla käyttöön kaksivaiheisen kirjautumisen.

Haavoittuvuuksien hyväksikäyttö

Haavoittuvuuksien hyväksikäyttö voi tapahtua hyvinkin nopeasti, jos päivityksiä tai muita tarvittavia toimenpiteitä ei suoriteta heti. Rikolliset kehittävät hyväksikäyttömenetelmiä heti ohjelmistopäivitysten ilmestyttyä.

Heikko kyberriskienhallinta ja epäselvä vastuunjako

Kyberrikoksia ei osata ennakoida ja riskit aliarvioidaan. Epäselvyydet palveluntoimittajan, alihankkijoiden ja tilaajan vastuiden välillä heikentävät organisaation tietoturvaa.

Lokitietojen puutteellisuus

Puutteellisten lokitetojen keruun, seuraamisen ja säilyttämisen vuoksi poikkeamatilanteita ei kyetä havainnoimaan tai selvittämään.

Julkaistu Evento-lehdessä 5/2020.

 

Tilaa Evento!

Tilaa digilehti!