Miten reagoida sosiaaliseen hakkeriin?

Tässä kirjoituksessa esitetyt hakkerointiyritykset ovat oikeita Greenstep Oy:n henkilöstöön kohdistuneita tapahtumia. Onneksi henkilöstömme osasi reagoida niihin oikein.

Hakkerointihyökkäys #1: Huijarin lähettämä lasku

Helmikuun alussa saat sähköpostin huijarista, joka ottaa yhteyttä asiakkaan nimissä:


Liitteenä on seuraava lasku:

toimitusjohtaja.jpg#asset:42720

Asiakas otti tämän jälkeen pian yhteyttä myös Skypen kautta (mustalla huijari, vihreällä greenstepiläinen):


Vaikuttaa siltä, että kyseessä on sosiaalinen hakkeri.

Sosiaalinen hakkeri, eli tietomurtautuja on ihminen joka käytännössä on yhteydessä esimerkiksi sähköpostitse, puhelimitse tai kasvotusten yrittääkseen huijata toista ihmistä luovuttamaan arkaluontoista tietoa.

Hakkeri on saanut selville, että juuri Emma (nimi vaihdettu) hyväksyy kaikki laskut. Mutta onneksi hakkeri ei ollut perehtynyt riittävän hyvin yrityksen toimintaan, sillä lasku ei liittynyt millään tavalla asiakkaan liiketoimintaan. On kuitenkin harmillista, että sosiaalinen hakkeri on pystynyt lähettämään sekä sähköpostia että Skype-viestejä asiakkaan nimissä. Asiakkaan tili on siis todennäköisesti kaapattu.

Mutta entä jos lasku olisikin liittynyt asiakkaan liiketoimintaan? Olisitko itse siinä tapauksessa kyseenalaistanut laskun maksamisen, vai olisitko lähettänyt yli 50 000 euroa sosiaalisen hakkerin tilille? Miten näissä tapauksissa tulisi toimia? Yritysten tulee luoda tähän pelisäännöt – näihin palataan myöhemmin tekstissä.


Hakkerointihyökkäys #2: Virus huijasi meitä

Keskellä tammikuun kiireistä tilinpäätösaikaa saat asiakkaan tilintarkastajalta sähköpostin. Kirjanpitäjänä olet GDPR:n myötä tottunut siihen, että dataa lähetetään suojattuna ja siihen pääsee käsiksi useimmiten linkkien kautta. Kun asiakkaasi tilintarkastajalta tulee seuraava viesti, mitä teet?

tilintarkastaja.png#asset:42719

Skarppina henkilönä huomaat, että sähköpostissa on pari outoa juttua:

  • Linkissä ei lue tilintarkastusyrityksen nimeä
  • Viesti on englanniksi, vaikka keskustelet tilintarkastajan kanssa suomeksi
  • Sana ”Statement” on outo, viittako se tilintarkastajan lausuntoon?

Lähettäjä näyttää olevan tilintarkastajasi, mutta muistat tietoturvakoulutuksesta, että sähköposteja voi lähettää muiden nimissä. Entä jos et heti muistanutkaan tätä ja klikkasit linkkiä tarkastamatta sitä? Mitä sitten tapahtuu?

Hakkeri hymyilee, hänen tekemänsä virus onnistui ensimmäisessä vaiheessa. Seuraavaksi ohjaudut toiseen, jo kaapattuun Sharepointiin, jossa pyydetään sinua kirjautumaan ja antamaan sähköpostisi salasana, jota usein tarvitset päästäksesi käsiksi sinulle saapuneeseen salattuun sähköpostiin. Annatko salasanasi? Annatko hakkerin hymyillä taas kerran?

Normaalisti et antaisi, mutta viime yönä et nukkunut hyvin. Annat salasanasi hakkerille. Sen jälkeen näkyy vain tyhjä ruutu, ja huomaat tulleeksi huijatuksi.

Myöhemmin selviää, että tilintarkastajakin on uhri samalle virukselle, eikä hän huomannut sitä ennen kuin oli liian myöhäistä. Virus lähetti kaikille hänen kontakteilleen saman viestin. Oliko sattumaa, että tämä tapahtui yritysten luottohenkilön, tilintarkastajan nimissä? Entä oliko viruksen kirjoittaja nerokkaasti ajastanut tämän juuri vuoden kiireisimpään aikaan? Asiasta tuli koko Suomelle niin iso ongelma, että Viestintävirasto julkaisi siitä varoituksen.


Hakkerointihyökkäys #3: Hallituksen puheenjohtaja haluaa palkkasi tililleen

Tätä tekstiä kirjoittaessa saimme kolmannen esimerkin. Tällä kertaa sosiaalinen hakkeri oli lähettänyt Greenstep Oy:n HPJ:n nimissä pyynnön palkanlaskijalle lähettää palkat tililleen. Onneksi Greenstepiläinen oli tässäkin tarkkana, ja huomasi, että lähettäjän sähköpostiosoite näytti epäilyttävältä: ”iphone_mailing@aol.com”, ja otti Toreen nopeasti yhteyttä.


Mutta miksi joku haluaisi hakkeroida juuri sinun yritykseesi?

Robin Hood -hakkerit

Jotkut hakkerit ovat ns. oman elämänsä Robin Hoodeja. He pyrkivät taistelemaan ihmiskunnan epäkohtia vastaan. Esimerkiksi Guy Fawkesin maskilla esiintyvät Anonit, eli Anonymous-ryhmä kertoi vuonna 2012, että he pyysivät Twitteriä poistamaan kymmeniä tuhansia ISIS-terroristien tilejä, jotta ISIS:in propagandan levittäminen hidastuisi.

Rikos, ilkivalta, kissakuvat ja kiusanteko

Yritykseesi voi myös kohdistua ilkivaltaa ilman mitään erityistä syytä. Joitain hakkereita voi verrata päihtyneeseen porukkaan, joka on päättänyt varastaa naapurin lapsen polkupyörän lähinnä typeränä päähänpistona. He eivät päihtymystilassaan välttämättä edes ymmärrä olevansa rikollisia.

Voi myös olla, että joku yrittää vain huvin vuoksi hakkeroida. Ehkä heitä kiinnostaa juuri sinun kissakuvasi? Tai ehkä he haluavat vaan tehdä kiusaa.

Raha

Todennäköisin syy, miksi yritystäsi haluttaisiin hakkeroida, on raha. Hakkerit haluavat tällöin hyötyä teoistaan taloudellisesti. Näiden hyökkäysten kohteeksi joutuvat muun muassa sellaiset yritykset, joissa hakkerit näkevät helpon taloudellisen mahdollisuuden.


Loppuuko tämä koskaan?

Uskomme, että sosiaalinen hakkerointi tulee kasvamaan niin pitkään kuin hakkerit onnistuvat siinä. Ja jos toiminnassa liikkuu rahaa, tulee hakkereita taatusti olemaan aina. Meidän on siis varauduttava hyökkäyksiä vastaan.

Jos ajattelemme varautuneemme kaikkeen ja olevamme turvassa, todellisuudessa ollaan jo pulassa. Hakkerit kehittävät toimintatapojaan ja keinojaan jatkuvasti, joten meidän on toimittava samalla tavalla. Käynnissä on siis kilpajuoksu tietoturvan kehittymisen ja meihin murtautumaan pyrkivien hakkereiden välillä. Siksi kehitämme jatkuvasti tietoturvakäytäntöjämme ja sisäisiä prosessejamme.


Sosiaaliseen hakkerointiin pitää varautua

95 prosenttia tietoturvaongelmista on aivan tavallisia kalasteluviestejä ja kohdentamattomia haittaohjelmaepidemioita. Tällaisista iskuista suurin osa voitaisiin estää, jos työntekijät osaisivat toimia oikein. Lähde: Yle.fi


Yleisesti ottaen kannattaa ainakin varautua seuraavasti:

  • Olemalla skeptinen ja kyseenalaistamaan
  • Käyttämällä vahvoja salasanoja
  • Käyttämällä kaksivaiheista tunnistautumista
  • Miettimällä tilaturvallisuutta (Esim. Greenstepissä on erillinen vierasverkko ja erilliset vierastilat)
  • Selvittämällä yrityksesi uhkaskenaariot ja varautumalla niihin etukäteen
  • Sopimalla palaveri tiimisi kanssa ja miettien yhdessä, miten voitte suojautua. Mitä riskejä ja puutteita tiiminne on huomannut?
  • Tekemällä tietoturvan kehityssuunnitelman
  • Testaamalla ohjelmia jatkuvasti hyökkäysten varalta
  • Kouluttamalla henkilöstöä

Varautumisen lisäksi voimme myös käyttää white hat -hakkerien palveluita. Käytännössä tällöin yritetään toimeksiannollasi hakkeroida sinun yritykseesi tai palveluusi. Näin tehdään vuosittain Bezala-matkalaskuohjelmassamme ja toivomme aina, että nämä white hat-hakkerit löytävät ohjelmastamme jotain haavoittuvuuksia. On parempi, että hyvät hakkerit tai ulkopuoliset konsultit löytävät heikot kohdat, eivätkä ”oikeat”, rikolliset hakkerit.

Taloushallintoalalla meidän on oltava varovaisia ja suojata asiakkaamme sosiaalisilta hakkereilta. Erityisen varovaisia meidän on oltava seuraavissa asioissa:

  • Integraatiotunnuksen luovuttaminen
  • Luottokorttinumeroiden luovuttaminen
  • Salasanojen luovuttaminen
  • Tilinumeron vaihtaminen
  • Laskujen maksaminen

Näitä pyyntöjä voi tulla sosiaaliselta hakkerilta minkä tahansa kanavan kautta, joten tässä vielä Greenstepin omat pelisäännöt siitä, miten tulisi reagoida epäilyttäviin yhteydenottoihin:


Pelisäännöt 1/2: Epäilyttäviin viesteihin reagoiminen

Valitettavasti meitä lähestytään entistä enemmän aidon oloisilla roskaposteilla, jotka levittävät viruksia. Virussähköposteja voi tulla aivan aidon oloisilta lähettäjiltä, eli sellaisilta henkilöiltä, joiden kanssa käyt normaalistikin sähköpostikeskusteluja.

Mieti asiaa näin: sähköposti on kuin kirje - sitä lähettäessä voi väittää olevansa kuka tahansa. Kirjettä lukiessasi et käytännössä voi olla täysin varma, kuka lähettäjä todellisuudessa on. Sähköpostiohjelmatkaan eivät tarkista, onko lähettäjä oikeasti se, kuka hän väittää olevansa. Älä siis sokeasti luota sähköpostin lähettäjätietoihin.

Suhtaudu lähtökohtaisesti aina kriittisesti epäilyttäviin viesteihin, äläkä heti ensimmäisenä klikkaa viestin linkkiä tai avaa liitetiedostoa, vaan tarkastele ensin viestin luotettavuutta.

Viesteistä kannattaa tarkistaa aina ainakin seuraavat asiat:

  • Lukeeko viestissä lähettäjätahon nimi?
  • Onko viesti lähetetty samalla kielellä, jolla yleensä asioitte?
  • Onko viesti kieliopillisesti tutulla tavalla kirjoitettu?
  • Käytetäänkö viestissä outoja termejä?
  • Onko viestin otsikko järkevä?

Jos saat esim. tilintarkastajalta, asiakkaalta tai kollegalta sähköpostin, jossa pyydetään sinua klikkaamaan tuntemattomaan palveluun johtavaa linkkiä, esim. Dripboxiin (eikä yleisesti tunnettuun Dropboxiin) tai tuntemattomaan suojattuun sähköpostiin, tarkastele viestiä kriittisesti ennen kuin klikkaat linkkiä, tai avaat liitetiedoston.

Jos klikkaat linkkiä, sinulta pyydetään yleensä sähköpostisi salasanaa. Suhtaudu kriittisesti tällaiseen salasanan antamiseen ellet ole 100-prosenttisen varma linkin luotettavuudesta. Tarkastele ainakin seuraavat kohdat:


Jos ehdit klikata epäilyttävää linkkiä, syöttää sinne myös salasanasi ja huomaat, että kyse on viruksesta, vaihda välittömästi salasanasi ja ole yhteydessä organisaatiosi tietoturvapäällikköön! Kannattaa myös ilmoittaa asiasta Kyberturvallisuuskeskukselle.

Jos saat sähköpostiisi tai Skypessä asiakkaaltasi tai kollegaltasi pyynnön maksaa epäilyttävä lasku, ole yhteydessä toiseen henkilöön tai soita asiakkaalle, ja varmista mistä on kyse. Ole siis mieluummin ylivarovainen epäilyttävien viestien kanssa!


Pelisäännöt 2/2: Epäilyttäviin puheluihin reagoiminen

Perinteisen sähköpostihakkeroinnin lisäksi huijaaminen puhelimitse on myös lisääntynyt. Huijaajat ovat luovia, ja he ovat voineet laatia uskottavan oloisen tarinan, jolla kalastellaan eri tietoja sinulta.

  • Älä ikinä anna salasanaa puhelimitse
  • Älä ikinä anna luottokorttinumeroita puhelimitse
  • Kysy aina kuka soittaa, ja mitä asia koskee. Kysy itseltäsi, voiko tämä olla huijaus?
  • Mikäli henkilö ei ole sinulle tuttu ja hän kysyy arkaluontoista tietoa, pyydä häntä olemaan yhteydessä yhteyshenkilön kautta.

Loppukevennyksenä voit tutustua vuonna 2016 Defconissa kuvattuun videoon missä hakkerointia esitellään ihan omana taitolajinaan. Kohdassa 2:00 on hyvä esimerkki miten sosiaalinen hakkeri saa kalastettua tietoa puhelimen kautta:

Kaikki artikkelit

Katso kaikki artikkelit