Viranomaiselta varoitus yrityksille: Hyökkääjät soittavat Teams-puheluita

IT-tukena esiintyvät hyökkääjät ottavat yhteyttä organisaatioiden työntekijöihin soittamalla Microsoft Teams -puhelun.

Traficomin alainen Kyberturvallisuuskeskus varoittaa yrityksiä ja organisaatioita huijareista, jotka lähestyvät kohteitaan Teams-puheluilla.

Soittajat esiintyvät it-tukena ja pyrkivät luomaan etäyhteyden vastaanottajan laitteeseen. Etäyhteysohjelman avulla hyökkääjä voi ujuttaa kohdeympäristöön haittaohjelmia, viedä tietoja ja aktivoida esimerkiksi kiristyshaittaohjelman. Kyberturvallisuuskeskuksen mukaan kyseessä on puhelun kautta tapahtuva tietojenkalasteluyritys. Viranomaiset kehottavat organisaatioita rajoittamaan ulkopuolisista Teams-organisaatioista tulevia yhteydenottoja hyökkäysten torjumiseksi.

Jos työntekijä suostuu etäyhteysohjelman käyttöön, IT-tukena esiintyvä rikollinen saa pääsyn yrityksen järjestelmään.

Näin huijaus etenee

Teams-puhelu kohdistetaan usein organisaation työntekijälle. Yhteydenoton tekijänä esiintyy ”Help Desk” tai muu IT-tukeen viittaava käyttäjänimi. Puheluun vastaa englantia puhuva henkilö, joka kertoo työntekijän tietokoneella olevan ongelmia. Henkilö voi esiintyä organisaation oikean IT-työntekijän nimissä. Ongelmien ratkaisemiseksi ”IT-tuki” ehdottaa etäyhteysohjelman käyttämistä (AnyDesk, Quick Assist).

Jos työntekijä suostuu etäyhteysohjelman käyttöön, IT-tukena esiintyvä rikollinen saa pääsyn yrityksen järjestelmään. Etäyhteysohjelman kautta järjestelmässä voidaan selata tietoja tai sinne voidaan tuoda haittaohjelma. Haittaohjelman tavoitteena voi Kyberturvallisuuskeskuksen mukaan olla tietojen kerääminen tai kiristyshaittaohjelmahyökkäyksen valmistelu. Lopulta hyökkäys voi johtaa yhden tai useamman järjestelmän haltuunottoon ja tiedoilla kiristämiseen.

Näin suojaudut

Viranomaisen mukaan Microsoft Teams sallii oletusarvoisesti kaikki ulkopuolisista organisaatioista saapuvat yhteydenotot kohdeorganisaation omaan Teamsiin. Rikolliset hyödyntävät tätä oletusasetusta ollessaan yhteydessä yrityksiin, jotka eivät ole estäneet yhteydenottoja ulkopuolisista lähteistä.

Organisaatiot voivat rajoittaa ulkopuolisista Teams-organisaatioista tulevia yhteydenottoja tarkastamalla Microsoft Teamsin vierailijoiden (guest access) ja ulkoisten käyttäjien (external access) asetukset organisaation tietoturva poliitikan mukaiseksi. Katso tarkemmat ohjeet täältä.

Kyberturvallisuuskekus kehottaa yrityksiä lisäksi tarkastamaan vierailijan oikeudet Teamsissa (puhelut, kokoukset ja keskustelut). Viranomaisen mukaan yrityksessä tulisi luoda omat ohjeet IT-tuen käyttöön kertaamalla ohjeet henkilöstön kanssa ja muistuttaa sisäisistä ilmoituskäytännöistä tilanteissa, joissa ulkopuolinen esiintyy IT-tukena.

Oletko jo Suomen Yrittäjien jäsen? Lue jäsenyyden eduista ja hyödyistä