Poliisin Kyberrikostorjuntakeskus havainnut useita suuriin ja keskisuuriin yrityksiin kohdistettuja verkkohyökkäyksiä

Poliisin Kyberrikostorjuntakeskus on viimeisen vuoden aikana havainnut useita suuriin tai keskisuuriin suomalaisyrityksiin kohdistettuja verkkohyökkäyksiä, jotka poliisin arvion mukaan liittyvät yrityksille suunnatun Microsoft Office 365 -pilvipalvelun tunnusten tietojenkalasteluun.

”Keskusrikospoliisissa ja eri paikallispoliisin yksiköissä on tutkittavana yhteensä noin 50 jutun vyyhti. Ilmoituksia poliisille on tullut yhteensä noin sata, mutta osan ilmoituksista poliisi on saanut niin myöhään, ettei tapauksista enää ole saatavissa lokidataa, eikä saaduilla tiedoilla siksi pääse tutkinnassa eteenpäin”, kertoo tutkinnanjohtaja, rikoskomisario Marko Leponen Keskusrikospoliisissa toimivasta poliisin Kyberrikostorjuntakeskuksesta.

Tapauksia tutkitaan Suomessa pääosin tietomurtoina sekä niihin liittyvinä identiteettivarkauksina ja petosrikoksina. Poliisi arvioi tämänhetkisten tietojen perusteella yhteenlasketun rikosvahingon olevan Suomessa noin 1,3 miljoonaa euroa. 

”Rikosten kohdistamista juuri Office 365:n käyttäjiin selittää pilvipalvelun suuri suosio ympäri maailmaa. Vastaavia rikoksia tutkitaan monessa muussakin maassa”, Leponen kertoo.

Poliisi on saanut tiedon verkkohyökkäyksistä oman rikostiedustelunsa avulla. Poliisin Kyberrikostorjuntakeskus kannustaakin organisaatioita ilmoittamaan mahdollisista Microsoft Office 365 -pilvipalveluun kohdistuneista tietomurroista poliisille matalalla kynnyksellä ja mahdollisimman pian tehdyn havainnon jälkeen.

”Nopea ilmoittaminen on kriittistä tapausten selvittämiseksi, sillä arvokas todistusaineistodata häviää nopeasti palveluntarjoajan palvelimilta. Poliisille jokainen tiedon murunen on tärkeä tutkinnan edistämisessä”, Leponen sanoo. ”Uhriksi joutuneen organisaation tulee ensi sijassa huolehtia siitä, että sillä on tieto siitä, mistä tarvittava palveluun liittyvä lokidata löytyy ja kuinka kauan se säilyy tallessa. Jos epäilee, että tietomurto on sattunut omalle kohdalle, tulee mahdollisimman nopeasti ryhtyä toimenpiteisiin tapahtumien taltioimiseksi ja lokidatan talteen ottamiseksi sekä ilmoittaa poliisille", Leponen jatkaa.

Käyttäjä ei aina huomaa luovuttaneensa tietojaan rikolliselle

Tietomurrot on toteutettu kalastelemalla Office 365 -käyttäjiltä käyttäjätunnuksia ja salasanoja. Uhria on lähestytty sähköpostilla, jossa on ollut linkki väärennetylle, mutta aidolta näyttävälle Office 365 -sivulle. Kalastelusivustolla käyttäjää on pyydetty syöttämään kirjautumistietonsa, minkä jälkeen hänet on ohjattu aidolle Office 365 -kirjautumissivulle.

Office 365 -tunnuksia on myös kalasteltu murrettuja Microsoftin SharePoint-ympäristöjä hyödyksi käyttäen. Näissäkin tapauksissa SharePoint-käyttäjiä on ohjattu väärennetyille kalastelusivustoille, ja uhri on useimmissa tapauksissa ollut tietämätön tunnusten kalastelusta.

”Kalastelusivustot on tehty erittäin taidokkaasti, eikä käyttäjä yleensä ole huomannut luovuttaneensa tunnuksiaan rikollisille. Haltuun saatujen käyttäjätunnusten avulla on kirjauduttu työntekijöiden sähköpostitileihin, joiden kautta on lähetetty väärennettyjä, mutta aidolta näyttäviä laskuja henkilöille, jotka yrityksissä hyväksyvät laskuja. Väärennettyjä laskuja on saattanut tulla hyväksyjille niin oman organisaation sisältä kuin sen ulkopuoleltakin”, Leponen kertoo.

”Vyyhdessä on merkittävää paitsi taloudellinen tappio, myös vääriin käsiin päätynyt tieto, joka on itsessään jo arvokasta, ja sitä voidaan käyttää väärin.”

Mihin organisaation kannattaa kiinnittää huomiota?

Poliisi kehottaa yrityksiä kiinnittämään erityistä huomiota siihen, että laajasti käytössä olevan työskentely-ympäristön turvaominaisuudet on otettu kattavasti käyttöön. Esimerkiksi kaksivaiheinen tunnistautuminen on tehokas keino torjua hyökkäyksiä, ja salasanat tulee vaihtaa säännöllisesti ja välittömästi tietojenkalasteluhavainnon jälkeen.

”Organisaation on myös hyvä kiinnittää huomiota omiin laskujenmaksuprosesseihinsa ja lisätä niihin tarvittavat kontrollit, jotta poikkeavat maksut havaitaan ja tarvittaessa voidaan estää. Henkilökunnan tietoisuuden lisäämiseen kannattaa ehdottomasti kiinnittää huomiota. Se, että työntekijät osaisivat olla varuillaan, on ensiarvoisen tärkeää erilaisten huijausten estämisessä ja havaitsemisessa”, Leponen sanoo.

Tietomurtojen ja tietojen kalastelun ennalta estämiseksi organisaatioiden kannattaa selvittää ja seurata, onko yrityksen järjestelmissä luvattomia edelleenlähetyssääntöjä käytössä tai onko yrityksen käyttämään järjestelmään kirjauduttu erikoisina aikoina. Lisäksi tulee ottaa monivaiheinen todentaminen (2FA, MFA) käyttöön aina, kun mahdollista. Organisaation tulee myös ennakkoon selvittää, missä eri palveluiden lokidata sijaitse, miten kauan sitä säilytetään ja miten sen tarvittaessa saa organisaation tai poliisin haltuun tutkittavaksi.

Tarkemmat suojausohjeet voi lukea Liikenne- ja viestintäviraston alaisen Kyberturvallisuuskeskuksen sivuilta.