Etsi

Tietoturva

KRP varoittaa Office 365 -tietomurroista: "Pahinta on, ettei huijausta tunnista"

Microsoft Office 365 -tunnusten tietojenkalastelu on Keskusrikospoliisin mukaan Suomessa erityisen yleistä. Rahalliset menetykset ovat olleet merkittäviä.

Keskusrikospoliisin Kyberrikostorjuntakeskus on viimeisen vuoden aikana havainnut useita suuriin tai keskisuuriin suomalaisyrityksiin kohdistettuja verkkohyökkäyksiä. Poliisin arvion mukaan hyökkäykset liittyvät yrityksille suunnatun Microsoft Office 365 -tunnusten tietojenkalasteluun, mistä Liikenne- ja viestintäviraston alainen Kyberturvallisuuskeskus varoitti yrityksiä viime marraskuussa.

Kyseessä on kansainvälinen ilmiö, joka viime aikoina on esiintynyt Suomessa erityisen voimakkaana. Hyökkäysten kohteina ovat olleet Suomessa toimivat organisaatiot, erityisesti suuret ja keskisuuret yritykset.

Suomessa Office 365 -tietomurtoja tutkii Keskusrikospoliisiin sijoitettu Poliisin Kyberrikostorjuntakeskus. Tutkintanimike on joko tietomurto, identiteettivarkaus tai petosrikos.

Tutkinnanjohtajan, rikoskomisario Marko Leposen mukaan tapauksia on tullut tasaiseen tahtiin.

– Viime viikon aikana ei ole tullut uusia tapauksia. Se ei kuitenkaan sulje pois sitä, etteikö tapauksia olisi.

Leposen mukaan ilmiö on häirinnyt suomalaisia yrityksiä jo pitkään. Poliisi havahtui ongelmaan toden teolla viime vuoden viimeisellä neljänneksellä.

– Kalastelujen alkuperää emme osaa varmuudella sanoa. Se tiedetään, että kalastelutapauksissa, joissa on saatu vietyä rahaa, osa maksuliikenteestä on suuntautunut Britanniaan. Se ei kuitenkaan vielä kerro, mistä käsin tietomurrot on tehty.

Uhri ei useinkaan huomaa kalastelua

Tietomurrot on toteutettu kalastelemalla Office 365-käyttäjiltä käyttäjätunnuksia ja salasanoja. Tyypillisesti rikollinen lähestyy uhria sähköpostilla, jossa on linkki väärennetylle Office 365 -sivustolle. Sivu saattaa näyttää hämäävän aidolta. Kyseisellä kalastelusivustolla käyttäjää pyydetään syöttämään kirjautumistietonsa, jonka jälkeen hänet ohjataan aidolle Office 365-kirjautumissivulle.

Tunnuksia on kalasteltu myös Microsoftin SharePoint-ympäristössä. Näissäkin tapauksissa SharePoint-käyttäjiä on ohjattu väärennetyille kalastelusivustoille ja uhri on useimmissa tapauksissa ollut tietämätön tunnusten kalastelusta.

– Tämän huijaustyypin pahin puoli on se, että sivustot ovat todella hyvin toteutettuja. Ne näyttävät täysin Microsoftin vastaavilta kirjautumissivuilta. Ainoa mikä ne erottaa toisistaan, on osoiterivillä oleva osoite.

Leposen mukaan huijarit muokkaavat sivustojaan nopeasti sen jälkeen, jos Microsoft tekee muutoksia omille virallisille sivustoilleen.

– Huijaussivustot on kaiken lisäksi generoitu niin, että ne avautuvat kyseisen maan kielellä. Jos sivusto havaitsee, että käyttäjä on Suomesta, se tarjoaa suomenkielistä kirjautumista.

Kalastelusivustojen aidosta ulkoasusta kertoo se, että käyttäjä ei yleensä ole huomannut luovuttaneensa tunnuksiaan rikollisille. Haltuun saatujen käyttäjätunnusten avulla on kirjauduttu työntekijöiden sähköpostitileihin, joiden kautta on lähetetty väärennettyjä, mutta aidonnäköisiä laskuja henkilöille, jotka yrityksissä hyväksyvät laskuja. Laskut ovat tulleet aidoista tai aidonnäköisistä sähköpostiosoitteista.

Poliisi kannustaa kaksivaiheiseen tunnistautumiseen

Poliisin mukaan yrityksissä tulisi kiinnittää erityistä huomiota siihen, että laajasti käytössä olevan työskentely-ympäristön turvaominaisuudet on otettu kattavasti käyttöön.

– Näissä poliisin tietoon tulleissa tapauksissa on havaittu, että kaksivaiheinen todentaminen ei ole ollut päällä. Suomessa näyttää olevan paljon sellaisia yrityksiä, joissa kaisivaiheista tunnistautumista ei ole otettu käyttöön sen kustannusten tai käyttöönoton hankaluuden takia. Käytännössä kaksivaiheinen tunnistautuminen tarkoittaa, että työntekijälle täytyy hankkia jokin toinen laite, jolla hän varmentaa olevansa sisäänkirjautuja. Se lisää kustannuksia, Leponen selvittää.

Poliisin mukaan yrityksen on hyvä kiinnittää huomiota omiin laskujen maksuprosesseihin ja lisätä niihin tarvittavat kontrollit, jotta poikkeavat maksut havaitaan ja tarvittaessa voidaan estää. 

– Salasanat tulee vaihtaa säännöllisesti ja välittömästi tietojenkalastelun havainnon jälkeen. Lisäksi eri palveluihin tulee käyttää eri salasanoja. Salasanojen vaihtaminen säännöllisesti on tietoturvaa jo sinällään, koska tietojenkalastelu on saattanut olla käynnissä jo pidemmän aikaa ilman että työntekijät ovat havainneet mitään.

Konsultaatio voi maksaa itsensä takaisin

Tietomurtojen ja tietojen kalastelun ennalta estämiseksi organisaatioiden kannattaa poliisin mukaan seurata, onko yrityksen järjestelmissä luvattomia edelleenlähetyssääntöjä käytössä tai onko yrityksen käyttämään järjestelmään kirjauduttu erikoisina aikoina.

Lisäksi tulee ottaa monivaiheinen todentaminen (2FA, MFA) käyttöön aina kun mahdollista. Organisaation tulee myös ennakkoon selvittää, missä eri palveluiden lokidata sijaitsee, miten kauan sitä säilytetään ja miten sen tarvittaessa saa organisaation tai poliisin haltuun tutkittavaksi.

– Tämä ei välttämättä onnistu jokaisessa yrityksessä, jos tarvittavaa osaamista ei ole. Silloin suosittelisin hankkimaan jonkinlaista konsultaatiota. Se maksaa, mutta kyseessä on pieni panos siihen verrattuna, miten isoilta kustannuksilta yritys voi säästyä, Leponen sanoo.

Merkittävät taloudelliset menetykset

Poliisin mukaan syyskuun jälkeen Office 365 -tietomurtojen uhrit ovat menettäneet noin 1,3 miljoonaa euroa.  Todellisuudessa menetykset ovat todennäköisesti tätä suuremmat, koska kaikista tapauksista ei ilmoiteta poliisille. Poliisi arvioi, että yrityksen asteelle jääneitä tapauksia on useiden kymmenien miljoonien eurojen edestä.

– Kun rikollinen pääsee järjestelmään sisälle, edelleenlähetyssäännöillä sähköpostiliikenteestä ja viestiliikenteestä voidaan saada haltuun laskupohjia, joiden avulla voidaan väärentää laskujen maksutietoja tai tehdä tekaistuja laskuja, jotka vaikuttavat olevan oikeita.

Toinen rikollisten suosima tapa on pyrkiä päästä käsiksi yrityksen arkaluontoisiin tietoihin, joita saatetaan säilyttää Office 365 -pilvipalvelussa.

– Näissä tapauksissa rahalliset vahingot näkyvät vasta myhemmin. Jokin kilpaileva yritys saattaa olla valmis maksamaan tiedoista ja toimimaan epäeettisellä tavalla. Menetykset voivat olla tällöin suurempia, kun yritys menettää arvokasta tietoa, jota ei haluta päästää yrityksen ulkopuolelle.

Poliisin Kyberrikostorjuntakeskus kannustaa organisaatioita ilmoittamaan mahdollisista ilmiöön liittyvistä tapauksista poliisille mahdollisimman nopeasti tehdyn havainnon jälkeen. Rikosilmoituksen voi tehdä suoraan poliisille tai netissä poliisin sähköisellä rikosilmoituslomakkeella.

Leposen mukaan nopeus ilmoittamisessa on kriittistä tapausten selvittämiseksi, sillä arvokas todistusaineistodata häviää nopeasti palveluntarjoajan palvelimilta.

Tarkemmin suojausohjeisiin voi perehtyä Liikenne- ja viestintäviraston alaisen Kyberturvallisuuskeskuksen sivuilta.

Kuva: Getty Images

Pauli Reinikainen

pauli.reinikainen (at) yrittajat.fi