Suomessa kiertää tavallista laajempi tietojenkalastelukampanja, jonka huijaussähköposteja on lähetetty tuhansille suomalaisille. Sähköpostit on lähetetty murretuista tileistä, eli huijausviesti voi tulla myös tutun ihmisen osoitteesta.
Yllä olevalla videolla: Valepoliisin huijaus tallentui poliisin tarkkailuvideolle.
– Toistaiseksi on tiedossa, että parin organisaation henkilöiden sähköpostitili on murrettu jotenkin ja tileistä on lähetetty tuhansittain huijausviestejä kaikille kontakteille. Vastaanottajia on ollut ympäri Suomea. Varsin laaja kampanja on kyseessä, kertoo tietoturva-asiantuntija Markus Lintula Viestintäviraston kyberturvallisuuskeskuksesta.
Sähköpostin sisältö on yksinkertainen:Otsikko: Tarkastele asiakirjoja Sisältö: Hei, Katso liitteenä. Jos sinulla on kysyttävää, lähetä minulle sähköpostia ja mielelläni vastaamme. |
Useimmiten huijausviesteihin liitetään suoraan linkki, jonka kautta tiedot viedään. Nyt kiertävän huijaussähköpostin liitteenä on PDF-dokumentti, jossa on linkki Dropbox-aiheiselle tietojenkalastelusivulle.
– Se voi olla, että sillä saa paremmin aitouden tunnetta viestiin. Toinen vaihtoehto on, että se voi mennä paremmin sähköpostisuodattimista läpi. Jos siellä on joku mystinen linkki sähköpostissa, voivat suodattimet ottaa sen pois. Jos se on PDF:n sisällä vaikeammassa muodossa, sitä ei ole helppoa tunnistaa.
Sähköpostin liitteenä olevan .PDF -dokumentin sisältö on Adoben logo ja linkki tietojenkalastelusivulle.
Tuhannet avanneet sähköpostin
Tietojenkalastelukampanja alkoi keskiviikkona puoliltapäivin. Torstai-iltaan mennessä tuhannet ihmiset olivat ehtineet avata sähköpostin liitteenä olleen PDF-tiedoston.
Pelkästään liitettä avaamalla ei luovuta tietojaan, vaan liitteen kautta siirrytään sivustolle, jolla pyydetään kirjautumaan Dropbox Business -tilille sähköpostitunnuksilla. Näin huijauspostin takana oleva taho saa tunnukset itselleen.
– Tällä saa pahimmassa tapauksessa täyden pääsyn organisaation käyttäjätileille. Tiedämme, että tätä on käytetty kampanjan eteenpäin levittämiseen, mutta muut motiivit ovat vielä epäselviä.
Tietojenkalastelusivu on Dropbox Business -teemainen ja siellä kalastetaan mm. Gmail, Office 365 ja Outlook -tunnuksia. Tietojenkalastelusivun tunnistaa selaimen osoitekentän osoitteesta, joka ei viittaa Dropboxin omille verkkosivuille.
Jos tunnukset on annettu tietojenkalastelusivulle, tulee ne vaihtaa heti.
– Salasanan vaihtaminen ei vaikuta siihen, mitä hyökkääjä on jo voinut tehdä tunnuksilla. Kannattaa olla yhteydessä organisaationsa IT-tukeen, jotta mahdollinen väärinkäyttö voidaan selvittää, Lintula sanoo