Kuinka suojautua tietojenkalastelulta ja digitaalisilta ryöstöiltä?

Kirjoittanut Panu Palmu 9/2019

 

Tietojenkalastelu_tietoturva_digitaalisetmurrot

 

Etevän 15 vuoden historian aikana sen asiakaskunnassa on kaksi kertaa varastettu isoja summia rahaa. Nämä molemmat tapaukset ovat tapahtuneet viimeisen kahden vuoden sisällä. Erilaisia kalastelu ja hakkerointiyrityksiä on ollut niin kauan kun Internet on ollut olemassa. Meille suomalaisille, suomenkielen vaikeus on ollut yleensä suuri suoja erilaisia hyökkäyksiä vastaan. Tämäkin suoja tuntuu murenevan ainakin jossain määrin.Tässä blogitekstissä kerron kahdesta tapauksessa ja siitä miten nämä tapaukset oltaisiin todennäköisesti pystytty estämään. 

 

Tapaus 1 - Ryöstö sähköpostilaatikoiden kautta

Ensimmäinen tapaus on monimutkaisempi kahdesta. Rahansiirtäminen ulkomaisille tileille alkoi siitä, kun tilitoimiston kirjanpitäjä sai yrittäjien sähköpostiosoitteista viestejä, joissa pyydettiin maksamaan suuria summia ulkomaisille tileille. Yrityksen prosessi ostolaskujen suhteen on pääosin mennyt tavanomaisesti, että laskut tulevat skannauspalvelun kautta tai sähköisinä laskuina suoraan taloudenhallintaohjelmistoon. Sieltä ne asiatarkastetaan sekä laitetaan maksatukseen. Vain yrittäjillä on ollut oikeudet laittaa laskuja lopullisesti maksuun.

Molemmista yrittäjien sähköpostiosoitteista vahvistettiin maksut. Kirjanpitäjä laittoi laskut maksuvalmiiksi taloudenhallintaohjelmistoon. Sen jälkeen, kun laskut olivat maksatus valmiina, pääsivät rikolliset taloudenhallintaohjelmistoon sähköposteista löytyneillä tiedoilla ja tunnuksilla sekä niin, että salasana oli ollut sama kuin sähköpostilaatikkoon mistä tiedot löytyivät. Näin rikolliset pääsivät vahvistamaan laskut maksuun asti.

 

Murtautuminen

Ennen kuin analysoidaan kaikki epäonnenkantamoiset ja toimintavirheet, niin käydään läpi vielä miten sähköpostilaatikoihin oltiin päästy käsiksi. Poliisin resurssipulan vuoksi, tämä aspekti rikoksesta jääneen arvailujen varaan. Oma arvaukseni on että joko a) yrittäjät olivat langenneet sähköpostitse tulleeseen Microsoft Office 365 pohjaiseen kalasteluviestiin (phishing) tai b) heidän tunnukset oli varastettu toisesta palvelusta.

Kalasteluyritys (a) tapahtuu (ja näitä myös tapahtuu paljon) niin, että sähköpostiviestissä, joka näyttää tulevan tutusta osoitteesta, kerrotaan liitetiedostosta. Viesti voi lukea esim. ”Moi, Tässä pyytämäsi liitetiedosto yst. terv. Teppo”. Kun klikkaa linkkiä, niin siitä aukeaa Office 365 kirjautumisikkunan näköinen sivu, joka pyytää käyttäjätunnusta ja salasanaa. Ei ole loogista laittaa oman sähköpostilaatikon tunnuksia tällaisessa tilanteessa sisään, mutta moni niin valitettavasti tekee. Näin tunnukset menevät automaattisesti rikollisille, joiden järjestelmä automaattisesti alkaa testata tunnuksien toimivuutta.

Toinen vaihtoehto (b) tarkoittaa sitä, että käyttäjä on rekisteröitynyt johonkin julkiseen pilvipalveluun työsähköpostiosoitteella ja käyttänyt samaa salasanaa kuin omaan työsähköpostiinsa. Näitä palveluja, mistä tunnuksia on varastettu, ovat mm. Spotify, Facebook, LinkedIn sekä Dropbox. Tietoja saatetaan myös yhdistää useamman hakkeroidun palvelun tiedoista (eli käyttäjätunnus yhdestä paikasta ja salasana toisesta). Linkkien takaa löytyy esimerkkejä vuotojen uutisoinneista. Vaikka osa ovat jo jonkun vuoden vanhempia niin ihmisten sähköpostiosoitteet (eli käyttäjätunnukset) eivät lähtökohtaisesti muutu ja valitettavasti ei myöskään salasanat.

 

Prosessit ja maalaisjärki

Hälytysmerkit viesteissä olivat melko selkeät. Yritys ei ole vuosien saatossa maksanut ulkomaille kuin joitain pieniä ja yksittäisiä laskuja. Toinen varoitus oli viestien kieliasu (huonohkoa suomea), sekä tiettyjen laskuille ominaisten perustietojen puuttuminen (kuten eräpäivä tai selkeä kuvaus veloituksen tarkoituksesta).

Prosessi oli kuitenkin melko hyvällä tasolla. Tilitoimistolla ei ollut maksatusoikeuksia ja vain yrittäjillä eli omistajilla oli maksatusoikeudet. Eli joko automaattisesti tai tilitoimiston kautta laskut ja tilisiirrot laitettiin taloudenhallintaohjelmistoon, mutta vain omistajat pystyivät laittamaan rahan lopullisesti liikkeelle. Tässä tapauksessa kävi kaksi vahinkoa tai virhettä. Ensimmäinen on tietenkin se, että sähköpostilaatikoihin päästiin käsiksi ja toinen on se, että sieltä löytyi tarvittavat tiedot päästä taloudenhallintaan käsiksi omistajien oikeuksilla, jotta maksut saatiin liikkeelle. Jos taloudenhallintaohjelmistoon olisi ollut käytössä vahva tunnistautuminen (esim. pankkitunnuksilla) niin rahan siirto olisi tyssännyt siihen.

Kirjanpitäjä oli kaiketi pyytänyt vahvistusta näihin maksuihin toiselta omistajalta, josta oli tullut asianmukainen vahvistusviesti. Kirjanpitäjä ei toki tiennyt, että sähköpostilaatikoihin on pääsy ulkopuolisella taholla. Kirjanpitäjä olisi voinut koittaa vahvistaa vaikkapa puhelimitse nämä maksut. Toki hänellä ei ollut maksatusoikeuksia, joten eipä hän olisi voinut arvata, että omistajien tunnuksilla käydään laittamassa vääriä maksuja maksatukseen.

Rahaa oli siirretty monessa osassa jo useamman päivän ajan useita satoja tuhansia euroja kunnes tämä asia selvisi. Kun saimme Etevällä tiedon asiasta, muutimme kaikki salasanat ja teimme erilaisia toimenpiteitä, jotta pääsy sähköpostilaatikoihin poistettaisiin ulkopuoliselta taholta. Tämän jälkeen yrityksellä on vaihtunut taloudenhallintaohjelmisto ja tietoturvaa on parannettu entisestään.

Suurin osa rahoista on saatu pankkien avulla takaisin. Tekijöitä tuskin saadaan kiinni.

 

 

Tapaus 2 - Yksinkertainen huijausviesti

Toinen tapaus on huomattavasti yksinkertaisempi ja suoraviivaisempi. 20 hengen ja 10 vuotta vanhan yrityksen assistentti oli saanut sähköpostiviestin yrityksen toimitusjohtajalta mikä luki seuraavasti: ”Hei, Paljonko meillä on tilillä rahaa? Ystävällisin terveisin, Tiina Toimitusjohtaja”. Tähän vastattiin kertomalla tilin tilanne. Seuraava viesti oli muotoa:

 

”OK. Tee maksu samalle tilille

Nimi: Piotr Pawel Zawadka
Pankki: HSBC
IBAN GB31HBUK40051972068923
BIC: HBUKGB4107H
Määrä: 42 500 euroa
Viite: AD-5347M
Tarkoitus: Hankkeen hankinta 

2 Market Place
Chippenham SN15 3HE U.K

Lähetä minulle maksun kuitti siirron jälkeen

Terveiset, Tiina Toimitusjohtaja”

 

Assistentti teki työtä käskettyä ja laittoi verkkopankin kautta summan maksuun. Tässä viestikeskustelussa oli selkeät varoitusmerkit näkyvissä

          • Viesti tuli toimitusjohtajan osoitteen sijaan @yahoo.com -domainista ja tämä näkyi vastaanottajan Outlookissa selvästi
          • Firma ei ole juurikaan koskaan maksanut mitään Suomen ulkopuolelle
          • Firman sisäisessä viestissä on ”ystävällisin terveisin, koko nimi”

Yrityksen prossessipuoli on kuitenkin ehkä kuitenkin suurempi syypää tapaukselle. 10 vuotta vanhalla yrityksellä ei ollut itsellään käytössä taloudenhallintaohjelmistoa minkä kautta prosessoida maksuja. Assistentilla oli pankkitunnukset verkkopankkiin, minkä kautta hän pystyi maksamaan mitä tahansa maksuja ilman valvontaa tai omistajien hyväksyntää. Mikäli prosessi olisi vaatinut vahvistusta niin tämä ei olisi ollut mahdollista.

Omistajille suositeltiin välittömästi muuttamaan prosesseja niin, että taloudenhallintaohjelmistoon voidaan esim. assistentin puolesta lisätä maksulistalle laskuja, mutta maksatukseen asti se vaatii kahden eri omistajan hyväksynnän. Ohjelmistoon voidaan myös määrittää automaatti hyväksyntä tiettyjen toimittajien laskuille tai tietyn summaisille. Isot summat uusille toimittajille pitää vahvistaa erikseen.

Puhelimitse maksujen varmistaminen on hyvä jatkossa idea. Toki kannattaa huomioida, että myös ihmisten ääni voidaan nykyään väärentää lennossa, että puhelimitse soitettu toimeksianto voi olla jo nyt väärennetty. Tekstiviestit on tässä kohtaa melko hyvä tapa vielä vahvistaa maksuja.

 

 

Tietomurto_tietoturva

 

Mitä tästä opimme?

Molemmissa tapauksissa olisi hyödytty perinteisen tietoturvan ehostamisesta sekä paremmista prosesseista. Perinteinen tietoturva tarkoittaa esim. vahvaa tunnistautumista sekä käyttäjien kouluttamista (miten toimia tunnuksien kanssa netissä). Ensimmäisessä tapauksessa perinteinen tietoturva oli tärkeä ja jälkimmäisessä prosessit.

Tässä otsikkotasolla tärkeimpiä asioita, miten edellämainitut tapaukset voidaan melko pitkälle estää. Meidän suositus on käyttää ulkopuolista tahoa auttamaan tietoturvan ja prosessien kehittämisessä. Taloudenhallinnan prosesseja ei välttämättä osaa kehittää tietoturvakonsultti ja toisinpäin.

Tärkein asia on muistaa, että johto, omistajat ja yrittäjät ovat loppupeleissä vastuussa tietoturvasta, prosesseista ja raha-asioista. On siis äärimmäisen tärkeää, että johto perehtyy mm. tässä artikkelissa mainittuihin asioihin ja käyttää ulkopuolista apua tarpeen mukaan. Lähtökohtainen oletus on, että jotain pahaa tapahtuu ja sitä vastaan pitää kehittää toimintatapoja ja harjoittaa valvontaa.

Tärkeimmät tietoturvaa parantavat toimenpiteet

Toimi fiksusti netissä

          • Käytä eri sähköpostitilejä eri palveluihin (väärennetyillä nimillä)
          • Älä käytä omaa työsähköpostiosoitetta mihinkään paitsi firman työkaluihin!
          • Käytä aina eri salasanaa eri palveluihin (voit käyttää salasanantallennusratkaisuja (esim. Apple iCloud+Keychain)
          • Käytä aina esim. Paypalia maksamiseen, johon olet laittanut vahvan tunnistautumisen päälle
          • Älä ikinä tallenna puhelinnumeroa, luottokortteja, sotua, omaa oikeaa osoitetta mihinkään palveluun ellei ole täysin pakko!
          • Pyri poistamaan tilejä jos et käytä palvelua
            • Käytä esim. Revolut tyyppistä virtuaalipankkia maksukorttien käsittelyyn ja lopettamiseen hätätilanteissa
        •  

 

Lue lisää blogista: Yrityksen tietoturva kuntoon - Mistä aloittaa?

Harjoittele tunnistamaan huijausviestejä Googlen Phishing -testaus sivustolla.
https://phishingquiz.withgoogle.com

Mielenkiintoista statistiikkaa verkkorikollisuudesta löytyy täältä:
https://www.bestvpnrating.com/cyber-security-statistics-and-facts

 

Tilaa tietoturvakartoitus

 

Topics: tietoturva, varmuuskopiointi, tietojen kalastelu, tietoturvauhka, haittaohjelmat, tietoturvakoulutus, identiteettivarkaus, tietomurto

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa

 
Psykoterapiakeskus Vastaamo - Tietomurto joka kaatoi koko yrityksen

Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia. Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa...

Lue lisää
Etevän tietoturva-asiantuntija: Ihminen on tietoturvan heikoin lenkki!

Miksi? Ihmiset eivät tiedä tarpeeksi eivätkä ole tarpeeksi valppaita. Tietoturva aiheena on laaja ja vaikeaselkoinen. Ihmiset tuntuvat myös olevan aika...

Lue lisää
Miksi varmuuskopiointi on tärkeää - Turvaa tiedostosi

Jokaisella tietokoneella, tabletilla ja älypuhelimella on tiedostoja ja tietoja, jotka olisi hyvä varmuuskopioida. Osa tiedoista ei ole välttämättä niin tärkeitä...

Lue lisää
logo-rgb_valk

Etevän sydämessä sykkii sujuva IT-tuki ja erityisosaamista löytyy luovan alan toimistojen, sekä finanssialan yritysten IT-ympäristöjen ja tietoturvaratkaisujen tuottamisessa.

Y-tunnus 1981812-8

Myynti

Eteva_icon_valk_tyhja  09 - 42 550 338
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjamyynti@etevat.fi Sovi tapaaminen

IT-tuki

Eteva_icon_valk_tyhja09 - 427 20 929
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjaapu@etevat.fiLataa tukiohjelmisto
Dell Authorized partner_valk
Microsoft_silv_part_valk
hp-business-partner_valk
F-Secure_horizontal_Silver_RGB_white
CSP_Partner_Silver_logo-white
apple-certified-support-professional_white2
© Etevä tietopalveluyhtiö