Blogi

Digitaaliset ryöstöt ovat lisääntyneet - Kuinka suojautua tietoturvauhkia vastaan

Kirjoittanut Panu Palmu 24.9.2019 19:07

Etevän 14 vuoden historian aikana sen asiakaskunnassa on kaksi kertaa varastettu isoja summia rahaa. Nämä molemmat tapaukset ovat vuodelta 2019. Erilaisia kalastelu ja hakkerointiyrityksiä on ollut niin kauan kun Internet on ollut olemassa. Meille suomalaisille, suomenkielen vaikeus on ollut yleensä suuri suoja erilaisia hyökkäyksiä vastaan. Tämäkin suoja tuntuu murenevan ainakin jossain määrin.

Tässä blogitekstissä kerron kahdesta tapauksessa ja siitä miten nämä tapaukset oltaisiin todennäköisesti pystytty estämään. Tämä blogi on osa isompaa blogisarjaa tietoturvasta. Lue lisää pääblogista: Yrityksen tietoturva kuntoon - Mistä aloittaa?

Kalastelun yleisyydestä kertoo se, että tätä tekstiä kirjoittaessa sain meidän omalta asiakkaalta kalasteluviestin:

tietojenkalastelu

 

Tapaus 1: Ryöstö sähköpostilaatikoiden kautta

Ensimmäinen tapaus on monimutkaisempi kahdesta. Rahansiirtäminen ulkomaisille tileille alkoi siitä, kun tilitoimiston kirjanpitäjä sai yrittäjien sähköpostiosoitteista viestejä, joissa pyydettiin maksamaan suuria summia ulkomaisille tileille. Yrityksen prosessi ostolaskujen suhteen on pääosin mennyt tavanomaisesti, että laskut tulevat skannauspalvelun kautta tai sähköisinä laskuina suoraan taloudenhallintaohjelmistoon. Sieltä ne asiatarkastetaan sekä laitetaan maksatukseen. Vain yrittäjillä on ollut oikeudet laittaa laskuja lopullisesti maksuun.

Molemmista yrittäjien sähköpostiosoitteista vahvistettiin maksut. Kirjanpitäjä laittoi laskut maksuvalmiiksi taloudenhallintaohjelmistoon. Sen jälkeen, kun laskut olivat maksatus valmiina, pääsivät rikolliset taloudenhallintaohjelmistoon sähköposteista löytyneillä tiedoilla ja tunnuksilla sekä niin, että salasana oli ollut sama kuin sähköpostilaatikkoon mistä tiedot löytyivät. Näin rikolliset pääsivät vahvistamaan laskut maksuun asti.

Murtautuminen

Ennen kuin analysoidaan kaikki epäonnenkantamoiset ja toimintavirheet, niin käydään läpi vielä miten sähköpostilaatikoihin oltiin päästy käsiksi. Poliisin resurssipulan vuoksi, tämä aspekti rikoksesta jääneen arvailujen varaan. Oma arvaukseni on että joko a) yrittäjät olivat langenneet sähköpostitse tulleeseen Office 365 pohjaiseen kalasteluviestiin (phishing) tai b) heidän tunnukset oli varastettu toisesta palvelusta.

Kalasteluyritys (a) tapahtuu (ja näitä myös tapahtuu paljon) niin, että sähköpostiviestissä, joka näyttää tulevan tutusta osoitteesta, kerrotaan liitetiedostosta. Viesti voi lukea esim. ”Moi, Tässä pyytämäsi liitetiedosto yst. terv. Teppo”. Kun klikkaa linkkiä, niin siitä aukeaa Office 365 kirjautumisikkunan näköinen sivu, joka pyytää käyttäjätunnusta ja salasanaa. Ei ole loogista laittaa oman sähköpostilaatikon tunnuksia tällaisessa tilanteessa sisään, mutta moni niin valitettavasti tekee. Näin tunnukset menevät automaattisesti rikollisille, joiden järjestelmä automaattisesti alkaa testata tunnuksien toimivuutta.

Toinen vaihtoehto (b) tarkoittaa sitä, että käyttäjä on rekisteröitynyt johonkin julkiseen pilvipalveluun työsähköpostiosoitteella ja käyttänyt samaa salasanaa kuin omaan työsähköpostiinsa. Näitä palveluja, mistä tunnuksia on varastettu, ovat mm. Spotify, Facebook, Linkedin sekä Dropbox. Tietoja saatetaan myös yhdistää useamman hakkeroidun palvelun tiedoista (eli käyttäjätunnus yhdestä paikasta ja salasana toisesta). Linkkien takaa löytyy esimerkkejä vuotojen uutisoinneista. Vaikka osa ovat jo jonkun vuoden vanhempia niin ihmisten sähköpostiosoitteet (eli käyttäjätunnukset) eivät lähtökohtaisesti muutu ja valitettavasti ei myöskään salasanat.

 

Kuvassa lista Wikipediassa listatuista viimeisimmistä tunnetummista tietovuodoista:

wikipedia_tietojenkalastelu

https://en.wikipedia.org/wiki/List_of_data_breaches

https://www.techradar.com/news/facebook-hack-leaks-data-from-50-million-users

https://blog.malwarebytes.com/threat-analysis/2017/09/compromised-linkedin-accounts-used-to-send-phishing-links-via-private-message-and-inmail/

 

Prosessit ja maalaisjärki

Hälytysmerkit viesteissä olivat melko selkeät. Yritys ei ole vuosien saatossa maksanut ulkomaille kuin joitain pieniä ja yksittäisiä laskuja. Toinen varoitus oli viestien kieliasu (huonohkoa suomea) sekä tiettyjen laskuille ominaisten perustietojen puuttuminen (kuten eräpäivä tai selkeä kuvaus veloituksen tarkoituksesta).

Prosessi oli kuitenkin melko hyvällä tasolla. Tilitoimistolla ei ollut maksatusoikeuksia ja vain yrittäjillä eli omistajilla oli maksatusoikeudet. Eli joko automaattisesti tai tilitoimiston kautta laskut ja tilisiirrot laitettiin taloudenhallintaohjelmistoon, mutta vain omistajat pystyivät laittamaan rahan lopullisesti liikkeelle. Tässä tapauksessa kävi kaksi vahinkoa tai virhettä. Ensimmäinen on tietenkin se, että sähköpostilaatikoihin päästiin käsiksi ja toinen on se, että sieltä löytyi tarvittavat tiedot päästä taloudenhallintaan käsiksi omistajien oikeuksilla, jotta maksut saatiin liikkeelle. Jos taloudenhallintaohjelmistoon olisi ollut käytössä vahva tunnustautuminen (esim. pankkitunnuksilla) niin rahan siirto olisi tyssännyt siihen.

Kirjanpitäjä oli kaiketi pyytänyt vahvistusta näihin maksuihin toiselta omistajalta, josta oli tullut asianmukainen vahvistusviesti. Kirjanpitäjä ei toki tiennyt, että sähköpostilaatikoihin on pääsy ulkopuolisella taholla. Kirjanpitäjä olisi voinut koittaa vahvistaa vaikkapa puhelimitse nämä maksut. Toki hänellä ei ollut maksatusoikeuksia, joten eipä hän olisi voinut arvata, että omistajien tunnuksilla käydään laittamassa vääriä maksuja maksatukseen.

Rahaa oli siirretty monenessa osassa jo useamman päivän ajan useita satoja tuhansia euroja kunnes tämä asia selvisi. Kun saimme Etevällä tiedon asiasta, muutimme kaikki salasanat ja teimme erilaisia toimenpiteitä, jotta pääsy sähköpostilaatikoihin poistettaisiin ulkopuoliselta taholta. Tämän jälkeen yrityksellä on vaihtunut taloudenhallintaohjelmisto ja tietoturvaa on parannettu entisestään.

Suurin osa rahoista on saatu pankkien avulla takaisin. Tekijöitä tuskin saadaan kiinni.

 

Tapaus 2: Yksinkertainen huijausviesti

Toinen tapaus on huomattavasti yksinkertaisempi ja suoraviivaisempi. 20 hengen ja 10 vuotta vanhan yrityksen assistentti oli saanut sähköpostiviestin yrityksen toimitusjohtajalta mikä luki seuraavasti: ”Hei, Paljonko meillä on tilillä rahaa? Ystävällisin terveisin, Tiina Toimitusjohtaja”. Tähän vastattiin kertomalla tilin tilanne.

Seuraava viesti oli muotoa:

”OK

Tee maksu samalle tilille

Nimi: Piotr Pawel Zawadka
Pankki: HSBC
IBAN GB31HBUK40051972068923
BIC: HBUKGB4107H
Määrä: 42 500 euroa
Viite: AD-5347M
Tarkoitus: Hankkeen hankinta 

2 Market Place
Chippenham SN15 3HE
U.K

Lähetä minulle maksun kuitti siirron jälkeen

Terveiset,

Tiina Toimitusjohtaja”

Assistentti teki työtä käskettyä ja laittoi verkkopankin kautta summan maksuun. Tässä viestikeskustelussa oli selkeät varoitusmerkit näkyvissä.

  1. Viesti tuli toimitusjohtajan osoitteen sijaan @yahoo.com -domainista ja tämä näkyi vastaanottajan Outlookissa selvästi
  2. Firma ei ole juurikaan koskaan maksanut mitään Suomen ulkopuolelle
  3. Firman sisäisessä viestissä on ”ystävällisin terveisin, koko nimi”

Yrityksen prossessipuoli on kuitenkin ehkä kuitenkin suurempi syypää tapaukselle. 10 vuotta vanhalla yrityksellä ei ollut itsellään käytössä taloudenhallintaohjelmistoa minkä kautta prosessoida maksuja. Assistentilla oli pankkitunnukset verkkopankkiin, minkä kautta hän pystyi maksamaan mitä tahansa maksuja ilman valvontaa tai omistajien hyväksyntää. Mikäli prosessi olisi vaatinut vahvistusta niin tämä ei olisi ollut mahdollista.

Omistajille suositeltiin välittömästi muuttamaan prosesseja niin, että taloudenhallintaohjelmistoon voidaan esim. assistentin puolesta lisätä maksulistalle laskuja, mutta maksatukseen asti se vaatii kahden eri omistajan hyväksynnän. Ohjelmistoon voidaan myös määrittää automaatti hyväksyntä tiettyjen toimittajien laskuille tai tietyn summaisille. Isot summat uusille toimittajille pitää vahvistaa erikseen.

Ostolaskut_ja_tilisiirrot_prosessi

Puhelimitse maksujen varmistaminen on hyvä jatkossa idea. Toki kannattaa huomioida, että myös ihmisten ääni voidaan nykyään väärentää lennossa, että puhelimitse soitettu toimeksianto voi olla jo nyt väärennetty. Tekstiviestit on tässä kohtaa melko hyvä tapa vielä vahvistaa maksuja.

 

Mitä tästä opimme?

Molemmissa tapauksissa olisi hyödytty perinteisen tietoturvan ehostamisesta sekä paremmista prosesseista. Perinteinen tietoturva tarkoittaa esim. vahvaa tunnistautumista sekä käyttäjien kouluttamista (miten toimia tunnuksien kanssa netissä). Ensimmäisessä tapauksessa perinteinen tietoturva oli tärkeä ja jälkimmäisessä prosessit.

Tässä otsikkotasolla tärkeimpiä asioita, miten edellämainitut tapaukset voidaan melko pitkälle estää. Meidän suositus on käyttää ulkopuolista tahoa auttamaan tietoturvan ja prosessien kehittämisessä. Taloudenhallinnan prosesseja ei välttämättä osaa kehittää tietoturvakonsultti ja toisinpäin.

Tärkein asia on muistaa, että johto, omistajat ja yrittäjät ovat loppupeleissä vastuussa tietoturvasta, prosesseista ja raha-asioista. On siis äärimmäisen tärkeää, että johto perehtyy mm. tässä artikkelissa mainittuihin asioihin ja käyttää ulkopuolista apua tarpeen mukaan. Lähtökohtainen oletus on, että jotain pahaa tapahtuu ja sitä vastaan pitää kehittää toimintatapoja ja harjoittaa valvontaa.

Tärkeimmät tietoturvaa parantavat toimenpiteet

  • Sisäiset prosessit ja tietosuojapolitiikka kuntoon
  • Vahva tunnistauminen käyttöön
  • Henkilökunnan kouluttaminen kuinka toimia erilaisissa tilanteissa
  • Käyttäjäoikeuksia rajoittaminen
  • Oikeanlaiset ratkaisut ja ohjelmistot

Toimi fiksusti netissä

  • Käytä eri sähköpostitilejä eri palveluihin (väärennetyillä nimillä)
  • Älä käytä omaa työsähköpostiosoitetta mihinkään paitsi firman työkaluihin!
  • Käytä aina eri salasanaa eri palveluihin (voit käyttää salasanantallennusratkaisuja (esim. Apple iCloud+Keychain)
  • Käytä aina esim. Paypalia maksamiseen, johon olet laittanut vahvan tunnistautumisen päälle
  • Älä ikinä tallenna puhelinnumeroa, luottokortteja, sotua, omaa oikeaa osoitetta mihinkään palveluun ellei ole täysin pakko!
  • Pyri poistamaan tilejä jos et käytä palvelua
    • Käytä esim. Revolut tyyppistä virtuaalipankkia maksukorttien käsittelyyn ja lopettamiseen hätätilanteissa

 

Harjoittele tunnistamaan huijausviestejä Googlen Phishing -testaus sivustolla.
https://phishingquiz.withgoogle.com

Mielenkiintoista statistiikkaa verkkorikollisuudesta löytyy täältä:
https://www.bestvpnrating.com/cyber-security-statistics-and-facts

 

Topics: tietoturva, tietojen kalastelu

Ota yhteyttä