Tietoturvakatsaus 1/2025 – Ilmoitustaulu 2025

Hacker, Cyber criminal with laptop stealing user personal data. Hacker attack and web security. Internet phishing concept. Hacker in black hood with laptop trying to cyber attack. Programming Code

Valppaus ja maltti on valttia digiasioiden hoidossa. Kun ”sorvin” pyörittäjä (tietokoneen käyttäjä) on varustettu näillä parametreilla, niin voi välttyä moniltakin tietoturvariskien toteutumisilta. Sosiaalinen hakkerointi lienee yksi suurimmista tietoturvariskeistä, mutta kun tiedostaa kyberhuijareiden alituisen läsnäolon digimaailmassa, niin voinee välttyä digikärsimykseltä ja haitoilta. Ja niin kuin on todettu monasti, niin kiireessähän ne riskit usein vahingossa realisoituvat, kun ajatus ei oikein pysy mukana sompaillessa hiiren tai sormen kanssa. Muista myös aina lukea milloin mitäkin klikkailet ja hyväksyt. Niin kiire ei saisi olla, ettei ehtisi lukea mitä maksua tai lähetystä olet vahvistamassa.

Maailmanlaajuisesti on arvioitu menetettävän useita biljoonia (10¹²) euroja rahaa kyberriskien toteutuessa. Puhumattakaan siitä, mitä tietojenkalastelu, huijaukset ja kiristykset aiheuttavat henkilökohtaisina kärsimyksinä tai jopa hengen menetyksinä ihmisparoille. Yrityksiä menee konkurssiin jo pelkästään syntyneen mainehaitan vuoksi. Viime vuonna suomalaiset menettivät yli 84 miljoonaa euroa riihikuivattuina tulonsiirtoina kyberrikollisille. Melko kovaa bisnestä, siis syytä olla valppaana tietoliikenteessä niin kuin tieliikenteessäkin (pidetäänhän myös se älyluuri poissa käsistä ajaessa).

Ajankohtaisia huijauksia

Viime aikoina on nähty monenlaisia huijauksia digimaailmassa. Tietojenkalastelua ja sumutusta on monien virallisten tahojen nimissä kuten pankkien (etenkin S-pankin), Postin, Kelan, Tullin, verottajan (OmaVero), Telian, Ajovarman, Microsoft, Nesteen, Keskon, Spotifyn, OmaKannan, HSL:n, perintätoimistojen ja jopa Kyberturvallisuuskeskuksen nimissä. Huijauksissa on viestintäkanavina toiminut tilanteen mukaan sähköposti, tekstiviestit (SMS), pikaviestimet (esim. Facebook) ja perinteinen puhelu. Laskutushuijauksia on niin ikään lähetelty mm. Traficomin ja hyvinvointialueiden nimissä.

Booking.com

Äskettäin on lisääntynyt myös Booking.com -hotellivarausjärjestelmän nimissä tehdyt erittäin vakuuttavat huijaukset. Rikolliset ovat saaneet asiakkaiden tietoja ja varauksia haltuunsa jollain tavalla, ehkä hallintatilien hakkeroinnin kautta. Eli jos olet varaamassa kesän lomamatkaa ko. järjestelmän kautta, niin kannattaa olla hyvinkin tarkkana.

Ajovarma

Viimeisimmän kyberturvalliskeskuksen viikkokatsauksen (17/2025) mukaan Ajovarman nimissä kalastellaan tietoja tekstiviesteillä. Aiheena kalasteluviesteissä on ollut määräaikaiskatsastuksen viivästyminen tai pysäköintivirhemaksu.

Viestien linkkejä seuraamalla päätyy huijarin pystyttämään huijaussivustoon, joka matkii Suomi.fi -sivuston kirjautumista. Vaarana on uhrien pankkitunnuksien päätyminen rikollisille.

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-172025

Tilannekuvatietoisuus kannattaa

Kannattaa seurata esim. Iltasanomien Tietoturvaosioita (Digitoday) tai Iltalehden Digi-osastoa, niin pysyy melko hyvin kärryillä missä mennään. Sieltä löytyy tietoa viimeaikaisista digihuijauksista esim. viimeisin S-pankin ja OmaKannan nimissä kehitelty huijaus. Tuossa jutun alussa on muuten valaiseva video siitä, miten voit tarkistaa mihin klikattava linkki oikeasti johtaa! Jutun lopussa on perinteinen IS:n kokoama lista verkkohuijauksia vastaan, kannattaa tsekata.

https://www.is.fi/digitoday/tietoturva/art-2000011186284.html

Tarkkana ja valppaana saa olla, sillä digihuijaukset monimutkaistuvat ja nopeutuvat, kun kyberrikolliset käyttävät tekoälyä ja kaikkia mahdollisia työkaluja laittomasti ja sumeilematta hyödykseen. Paras tapa suojautua huijauksilta on, ettei luovuta mitään arvokasta tai luottamuksellista tietoa kuten kirjautumistietoja toisen tahon pyynnöstä tai ohjaamana. Aina kun vähänkin epäilyttää, niin viestin asia kannattaa tarkistaa aina organisaatioiden virallisten ja turvallisten kanavien kautta ja omaehtoisesti.

Käyttäjätilien murtoja

Kaikenlaisia käyttäjätilejä kaapataan jatkuvasti ja murtotekniikoita kehitellään. Kaksivaiheinenkaan kirjautuminen ei enää suojaa sataprosenttisesti. Yleistymään päin on ollut Microsoftin M365-tilien murrot AiTM-tietojenkalastelutekniikalla. Tällä kehittyneellä AiTM (adversary-in-the middle) -hyökkäystavalla saadaan talteen selaimen istuntoeväste, jolloin monivaiheinen kirjautuminen (MFA) ei suojaa enää käyttäjätiliä, vaan kyberrikolliset saavat uhrin M365-tilin resurssit ja sovellukset käyttöönsä. Rikolliset voivat tällöin hyödyntää tilin resursseja monenlaisiin tihutöihin, kuten tietovuodot, kiristykset, laskutuspetokset, jatkohyökkäykset yhteistiedoista löytyviin sähköpostiosoitteisiin jne.

AiTM-hyökkäykset ovat kasvava tietoturvauhka, joten entistä tarkempi tulee olla mitä kautta on kirjautumassa M365-tililleen. Ei siis kirjauduta viestien mukana tulevien linkkien kautta, vaan kirjautumalla virallisen Microsoft 365 -sivuston kautta. Muista myös lisätä omiin selaimen suosikkeihin tai kirjanmerkkeihin oikea ja varmistamasi palvelun nettiosoite, niin ei tarvitse mennä hakukoneiden kautta ko. palveluihin.

Laitan tähän kyberturvallisuuskeskuksen kaaviokuvan siitä, miten Microsoft 365 -tilin kaappaus tehdään adversary-in-the-middle- eli AiTM-tekniikalla:

Adversary-in-the-middle- eli AiTM-tekniikalla rikolliset pääsevät ohittamaan monivaiheisen tunnistautumisen.

AiTM (adversary-in-the-middle) -hyökkäykset ja niiden torjunta | Kyberturvallisuuskeskus

Mobiilivarmennehuijaukset

Moni on ottanut mobiilivarmenteen käyttöönsä, koska sillä tavalla pankkitunnukset pysyvät paremmin turvassa. Mobiilivarmenteella voi tunnistautua vahvasti kaikkiin viranomaispalveluihin, kuten OmaKanta, Kela, OmaVero tai muu viranomainen. Mobiilivarmenteella voi hakea myös lainoja ja ottaa esim. käyttöön muita tunnistautumiseen liittyviä välineitä.

Mobiilivarmenteiden yleistyessä rikollisia on alkanut kiinnostamaan mobiilivarmenteiden ympärille kehitettävät uudet huijaustavat. Ainakin Telian nimissä on lähetetty tekstiviestihuijauksia, joiden avulla yritetään ilmeisesti saada hyväksyntäpyyntöjä kaapatuksi tai kalastella tietoja muuhun käyttöön. Alla kuva kyberturvallisuuskeskuksen viikkokatsauksesta 14/2025:

Viranomaiset suosittelevat häirinnänestokoodin ottamista käyttöön mobiilivarmenteeseen. Sillä voidaan estää väärät tunnistepyynnöt, jotka tulevat väärin näppäilyistä puhelinnumeroista. Operaattoreilta saat tarkemmat tiedot, miten estokoodi otetaan käyttöön.

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-142025?toggle=Mobiilivarmenne

PDF-tiedostojen tietoturvariskit

PDF-tiedosto kehitettiin 1990-luvulla Adoben toimesta. Lyhenne tulee sanoista Portable Document Format. Se on universaali tiedostomuoto, joka säilyttää asiakirjan ulkoasun riippumatta siitä millä laitteella ja ohjelmistolla se avataan. Siirrettävistä PDF-tiedostoista tulikin lyhyessä ajassa de facto -standardi asiakirjojen digitaaliseen tallennukseen ja jakamiseen.

PDF-tiedostojen toiminnallisuuden ja yleisyyden vuoksi ko. tiedostoihin liittyy huomattava tietoturvariski. PDF-tiedostojen välityksellä tai ko. ohjelmistojen haavoittuvuuksien avulla on käynnistetty kyberhyökkäyksiä tai tehty huijauksia vuosikausia. Huijauksien vauhti kiihtyy edelleen, joten on hyvä muistuttaa, että PDF-tiedostomuoto ei ole lähtökohtaisesti luotettava tiedostoformaatti, koska se riippuu lähteestä. Lähde voi olla luotettava tai sitten epäluotettava. Epäluotettava lähde voi manipuloida tiedoston millaiseksi haluaa ja upottaa siihen haittatoimintoja tai haittaohjelmia.

PDF-tiedostoihin voidaan upottaa kaikenlaisia haitallisia toiminnallisuuksia ja ne voidaan piilottaa erilaisilla monimutkaisilla koodauksilla. Haitallisten linkkien tai QR-koodien lisäksi niihin voidaan upottaa JavaScriptejä tai vastaavia ”makroja”, jotka voivat tehdä mitä tahansa haitallista toimintaa käynnistyessään. Tämän lisäksi tekstisisällöt voivat olla väärennettyjä tai huijarin tekemiä, vaikka näyttävätkin olevan luotettavan näköisessä PDF-asiakirjassa. Kyberrikolliset voivat myös hyödyntää ja jäljitellä tunnettuja ja luotettavia sähköisiä allekirjoitusratkaisujen brändejä, kuten DocuSign – palveluita.

PDF-lukuohjelmistojen päivitykset laitteissa on oltava kunnossa, koska niiden haavoittuvuuksien kautta tehdään myös ”kyberhyökkäyksiä”. PDF-tiedostot tulee aina tarkistaa ajantasaisella antivirusohjelmalla, ennen niiden avaamista. Periaatteessa esim. sähköpostin kautta tulevat PDF-liitteet tulisi tarkistaa jo sähköpostipalvelimella ennen niiden läpipääsyä yrityksen lähiverkkoon ja työasemalle.

Internetissä olevien ilmaisten PDF-tiedostomuuntimien käyttö on kielletty niiden mahdollisen tietosuoja ongelmien vuoksi. Älä myöskään lataa älypuhelimeen mitään epämääräistä ilmaista PDF-lukijaa, koska ne voivat sisältää ikäviä yllätyksiä.

PDF-tiedostojen suojaaminen on mahdollista esim. luotettavilla ja maksullisilla PDF-ohjelmilla, kuten Adoben Acrobat tai vastaavilla.

Toisaalta on muistettava, että kaikissa tiedostoformaateissa on omat ko. tiedostoformaattiin perustuvat haavoittuvuudet, joita rikolliset hyväksi käyttävät huijauksissa. Varsinkin tiedostoformaatit, joiden sisältö muodostetaan jollakin koodilla. Monet esim. vektorigrafiikkaa käyttävät kuvatiedostot voivat olla vaaravyöhykkeessä. Rikolliset ovatkin viime aikoina kunnostautuneet tälläkin saralla ja saattavat lisätä koodin (XML) sekaan jotain ylimääräistä.

Yleisin vektorigrafiikkakuvatiedosto voidaan tunnistaa sen tiedostopäätteestä (.svg). Kyseistä .SVG-tiedostomuotoa (scalable vector graphics) käytetään nykyisin paljon esim. verkkosivustojen logoissa, kuvakkeissa ja painikkeissa. Monilla CAD-suunnitteluohjelmistoilla on niin ikään omat natiivit tiedostomuodot, jotka perustuvat vektorigrafiikkaan.

Rikolliset manipuloivat ja houkuttelevat käyttäjiä monenlaisilla kikoilla, jotta uhri avaisi viestin kylkiäisenä tulleen liitetiedoston. Kaikkiin liitetiedostoihin tulee suhtautua varauksella ja tarkistaa ne varmuuden vuoksi ajantasaisella antivirusohjelmalla. Jätä tiedosto avaamatta, mikäli tiedosto näyttää enemmän tai vähemmän oudolta/epäilyttävältä. Voit aina tarkistaa asian aitouden ”lähettävän tahon” virallisten ja turvallisten kanavien kautta.

Varoitus PDF-tiedostoista

NIS2- direktiivi

EU:n NIS2-direktiivin (Network and Information Systems 2) mukaiset velvoitteet tulivat voimaan 8.4.2025. Sen tarkoituksen parantaa kyberturvallisuutta ja varmistaa, että kaikissa EU-maissa on yhtenäinen taso tietoturvassa. Yritysten, joita direktiivi koskee, tulee ilmoittautua toimialakohtaisiin toimijaluetteloihin 8.5.2025. Toimintamalli pitää olla laadittuna 8.7.2025. Lisätietoja NIS2:sta Kyberturvallisuuskeskuksen sivuilta:

Tärkeää tietoa Euroopan unionin kyberturvallisuusdirektiivistä (NIS2) | Kyberturvallisuuskeskus

Lähteitä:

Kyberturvallisuuskeskus: https://www.kyberturvallisuuskeskus.fi/fi
Iltasanomien digi/tietoturvaosio: https://www.is.fi/digitoday/tietoturva
Valvira/NIS2: https://valvira.fi/sosiaali-ja-terveydenhuolto/kyberturvallisuuslaki

P.S. Tähän vielä F-Securen ilmaiset työkalut teemaan liittyen: https://www.f-secure.com/fi/free-tools

Mieli Töihin -yksikkö toivottaa kaikille turvallista kevään jatkoa!

Veikko Henriksson

Ajankohtaisia huijauksia

Booking.com

Ajovarma

Tilannekuvatietoisuus kannattaa

Käyttäjätilien murtoja

Mobiilivarmennehuijaukset

PDF-tiedostojen tietoturvariskit

NIS2- direktiivi

Lähteitä:

Mieli Töihin -yksikkö toivottaa kaikille turvallista kevään jatkoa!

Vastaa Peruuta vastaus

LINKIT

ASIAKIRJAT

LOMAKKEET

MUUT