Näin meitä huijataan!

Kyberturvallisuuskeskus on julkaissut Näin meitä huijataan -raportin, johon on koottu tyypillisimpiä verkossa liikkuvia huijausmenetelmiä ja yksinkertaisia ohjeita huijauksilta suojautumiseen.

Tyypillisimpiä verkossa vastaan tulevia huijauksia ovat sähköposti- ja sosiaalisen median tunnusten, verkkopankkitunnusten ja luottokorttitietojen kalastelu sekä niin sanotut nigerialaishuijaukset.

Tässä tärkeimmät keinot, joilla huijauksia vastaan voi suojautua:

  1. Älä luota sokeasti sähköpostin lähettäjätietoihin, koska ne ovat kohtuullisen helposti väärennettävissä. Vaikka sähköposti näyttää tulevan esimerkiksi tutulta yritykseltä, saattaa lähettäjänä silti olla kyberrikollinen. Erityisesti sähköpostin sisältämiä linkkejä avatessa tulee olla varuillaan.
  2. Älä luota kaikkiin verkkosivustoihin. Sivusto on saatettu luoda vain tietojenkalastelutarkoituksessa. Erityisen varovainen tulee olla, jos päätyy tuntemattomalta verkkosivustolta linkkiä klikkaamalla esimerkiksi verkkopankin tai jonkin muun palvelun sisäänkirjautumissivulle.
  3. Tarkista selaimen kohdeosoite. Tietojenkalastelusivut on usein rekisteröity verkkotunnusten alle, jotka muistuttavat aitoja verkkosivuja. Väärennetyn sivuston erottaminen vaatii käyttäjältä tarkkaavaisuutta.
  4. Tarkista, onko selaimen tietoliikenteen salaus päällä ja varmenne oikea. Esimerkiksi kaikki verkkopankit hyödyntävät salattua selainliikennettä. Salauksen puuttuminen on varma merkki väärennetystä verkkopankkisivusta.

 

https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/07/ttn201407231408.html

Salakirjoitusta hyödyntävä Cryptowall-kiristyshaittaohjelma havaittu Suomessa

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut ensimmäinen
varmistettu Cryptowall-kiristyshaittaohjelmatartunta suomessa. Tapaus
osoittaa kuinka pelkät tekniset tietoturvakontrollit eivät riitä tietokoneen
suojaamiseksi, vaan käyttäjän tekemät toimenpiteet muodostavat merkittävät
osan kokonaistietoturvasta. Artikkelissa kuvattu
kiristyshaittaohjelmatartunta sai kuitenkin onnellisen lopun, koska käyttäjä
oli huolehtinut henkilökohtaisista varmuuskopioista asianmukaisella tavalla.

Käyttäjän tiedostot salakirjoittava Cryptowall toimii samalla periaatteella
kuin vuonna 2013 havaittu CryptoLocker-kiristyshaittaohjelma
. Cryptowall tartunta voi pahimmillaan johtaa kaikkiin käyttäjän
tiedostojen menettämiseen. Cryptowall vaatii lunnasrahojen maksua
tiedostojen palauttamiseksi, mutta lunnaiden maksaminenkaan ei takaa
tiedostojen pelastamista. Haittaohjelmasta on 10.7.2014 saatu ensimmäinen
vahvistettu havainto suomalaisen käyttäjän tietokoneessa.

CryptoLocker on ollut useiden maiden riesana vuodesta 2013 alkaen.
Verkkorikolliset levittivät kyseistä haittaohjelmaa Gameover Zeus
-bottiverkon avulla. Kesäkuussa 2014 toteutetun monikansallisen operaation
seurauksena Gameover Zeus komentopalvelimien toiminta
onnistuttiin estämään, jolloin myös itse bottiverkon toimintakyky laski
merkittävästi. Tämän seurauksena myös CryptoLocker tartunnat vähenivät
merkittävästi ympäri maailmaa. Useat tahot kuitenkin ennustivat, että
CryptoLocker ei jää viimeiseksi tiedostoja salakirjoittavaksi
kiristyshaittaohjelmaksi.

Kesän 2014 aikana onkin havaittu useita CryptoLocker kopioita, jotka
pyrkivät kiristämään käyttäjältä rahaa tiedostojen palauttamiseksi. Näistä
nähdyistä kopioista vaarallisin tällä hetkellä on Cryptowall, jonka
salakirjoitus on toteutettu CryptoLocker -kiristyshaittaohjelman tapaan
julkisen ja salaisen avaimen salausperiaatteella. Tämä salakirjoitustapa
tekee salakirjoituksen purkamisen käytännössä mahdottomaksi, ellei käytössä
ole verkkorikollisten hallussa olevaa salaista avainta.

Levityksessä hyödynnetään tuotteistettuja hyväksikäyttömenetelmiä sekä
sähköpostiviestejä

Cryptowall –haittaohjelmaa tiedetään levitettävän niin kutsuttujen Exploit
Kittien, eli tuotteistettujen hyväksikäyttömenetelmien avulla (esimerkiksi
Angler- ja Goon -Exploit kitit). Haittaohjelmaa levitetään myös
perinteisemmällä menetelmällä, eli sähköpostin liitetiedostona. Suomessa
havaittu tartunta tapahtui haitallisen sähköpostiliitteen kautta, jonka
käyttäjä erehtyi avaamaan. Kyseisen sähköpostin sisältönä oli:

Dear Customer,

You have received a new fax.

Date/Time: 2014:08:09 12:28:09

Number of pages:2

Received from: 08447 53 54 56

Regards,

FAX

Viestin liitteenä oli Zip-tiedosto, jonka sisällä oli PDF-tiedostoksi
naamioitu ajettava Exe-tiedosto.

Haittaohjelmaa tiedetään levitettävän myös erilaisten sähköpostiviestien
kautta, mutta yhteistä niille on Zip-muotoisen tiedoston mukana olo
liitteenä, tai sen lataus viestissä olevan linkin kautta.

Java-estot parantavat tietoturvaa

Viestintäviraston Kyberturvallisuuskeskuksen todistamat karut tarinat
osoittavat, että selainten liitännäiset altistavat tietoturvaloukkauksille.
Liitännäiset tuovat selaimiin uusia ominaisuuksia, mutta kasvattavat samalla
haavoittuvuuksille altista hyökkäyspinta-alaa. Kokemukset myös osoittavat,
että niiden päivittäminen kangertelee. Ensiapuna Kyberturvallisuuskeskus
suosittelee varsinkin netistä ladattavien Java-sovelmien hylkäämistä
yrityksen verkon reunalla. Kerromme rohkaisevan esimerkin erään
HAVARO-kumppanimme kokemuksista.

Nettiselaimissa yleisten liitännäisten (engl. plug-ins) haavoittuvuuksia
käytetään teollisessa mittakaavassa tapahtuvaan haittaohjelmien
levittämiseen. Niin kutsutut Exploit Kitit, eli tuotteistetut
hyväksikäyttömenetelmät vaanivat nettisivuilla vierailevia käyttäjiä,
selvittävät hetkessä kävijän tietokoneen haavoittuvuudet ja asentavat
haittaohjelmia selailijan huomaamatta. Vaikka tietokone ja selain olisikin
päivitetty tuoreimpaan versioon, saattaa selaimen liitännäisten ja
laajennosten (engl. extension) joukossa piillä vanhentunteita ja
haavoittuvia versioita.

Esimerkkitapauksessamme työasemien liitännäisenä oli vanhentunut
Java-ohjelmisto, jonka haavoittuvuuksia hyväksikäytettiin lähes viikoittain
haittaohjelmien asentamiseen yhteisötilaajan sisäverkkoon.

Vanhentuneita Java-ajoympäristöjä on erityisesti yrityskäytössä

Java on selaimen liitännäiseksi asentuva virtuaalinen sovellusten
ajoympäristö, jonka avulla selaimessa voidaan ajaa Java-kielisiä sovelmia,
eli appletteja. Java-sovelmat ovat periaatteessa alusta- ja
käyttöjärjestelmäriippumia, joskaan asia ei käytännössä ole aivan näin
yksinkertainen. Yrityskäytössä on varsin tavanomaista, että jotkut
liiketoiminnan kannalta keskeiset sovellukset vaativat jonkin tietyn
Java-ajoympäristön version toimiakseen oikein. Tämä käytännössä sitoo
organisaation tietohallinnon kädet: ohjelmiston päivitys poistaisi
tietoturvaongelmat, mutta rikkoisi samalla liiketoimintasovelluksia.
Käytännössä päivitykset jätetään asentamatta.

Kotikäyttäjien ongelmana ei ole niinkään versioriippuvuus, vaan se, että
Javan päivittäminen usein yksinkertaisesti unohtuu. Java-päivitykset eivät
yleensä tule automaattisesti käyttöjärjestelmän tai selaimen oman
päivitysmekanismin kautta. Päivityksen käynnistäminen saattaa myös
edellyttää käyttäjältä aktiivisia toimia, kenties jopa pääkäyttäjäoikeuksien
aktivoimisen.

Javan erikoisuutena on myös, että ohjelmiston päivitys tuoreimpaan versioon
saattaa jättää vanhentuneen kopion rinnalle. Haittaohjelmia jakavat Exploit
Kitit käyttävät tätä hyväkseen: netistä ladattu haitallinen Java-sovelma voi
vaatia, että se täytyy ajaa nimenomaan tietokoneelle unohtuneessa vanhassa,
haavoittuvassa, ajoympäristössä. Pahimmillaan tämä tarjoaa haittohjelmalle
suoran pääsyn organisaation sisäverkkoon – ohi palomuurin, ohi
virustorjunnan ja ohi käyttövaltuuksien hallinnan.

Suodattaminen sai Java-ongelmat loppumaan

Kyberturvallisuuskeskus on tehnyt yhteistyötä erään HAVARO-kumppanin kanssa
organisaatiota vaivanneen haittaohjelmaongelman ratkaisemiseksi. Saimme
luvan julkaista tilastotietoa kumppanin järjestelmiin kohdistuneiden
vakavien tietoturvaloukkausten määrän kehityksestä sekä havaintojen johdosta
tehtyjen vastatoimenpiteiden vaikuttavuudesta. Tarkastelujakso ajoittuu
asiakkaan HAVARO-palvelun käyttöönoton ensimmäiseen vaiheeseen.

Linux-ytimen haavoittuvuus voi mahdollistaa käyttövaltuuksien korottamisen

Linux-käyttöjärjestelmän ytimestä on korjattu ohjelmistokäskyjen käsittelyyn
liittyvä haavoittuvuus, joka voi mahdollistaa komentojen ajamisen
paikallisesti korotetuilla käyttövaltuuksilla.

Haavoittuvuus liittyy sysret-käskyn käsittelyyn tietyllä tavalla muotoiltua
ptrace()-kutsua käsiteltäessä.

Haavoittuvuus koskee Linux-ytimen 64-bittisiä versioita Intelin
suorittimilla ja sen hyväksikäyttö edellyttää mahdollisuutta ajaa
ohjelmakoodia järjestelmässä.

Haavoittuvuus on korjattu Linux-ytimen viimeisimmissä versioissa sekä
useiden Linux-jakeluiden tuetuissa versioissa.