Puheenaihe

Huijarit kalastelevat verkkotunnuksia ahkerasti – Varo etenkin, jos ruudullesi ilmestyy Office 365-kirjautumissivu

Pääosa tietoturvaloukkauksista koskee Office 365 -tunnuksen ja salasanan joutumista hyökkääjien haltuun.

Tietoturva-asioihin perehtymätön on huijareille helppoa riistaa.

Sauvo Jylhä

Tietosuojavaltuutettuun otetaan yhteys entistä hanakammin. Kasvua on kaikissa suurimmissa asiaryhmissä, mutta erityisesti tietoturvaloukkauksista tehdyt ilmoitukset nostavat määrää.

Alkuvuoden aikana toimistoon on tullut vireille yhteensä runsaat 3 100 asiaa, mikä on noin viidenneksen enemmän kuin edellisenä vuonna.

– Jos tahti jatkuu samanlaisena, vuoden aikana vireille tulleiden asioiden määrä ylittää 11 000 asian rajan. Tämä on enemmän kuin koskaan aiemmin, tietosuojavaltuutettu Reijo Aarnio kertoo.

Tietosuojavaltuutetun toimistolle tehtyjen ilmoitusten mukaan suuri osa korkean riskin aiheuttavista tietoturvaloukkauksista perustuu tietojen kalasteluun. Pääosa niistä koskee Office 365 -tunnuksen ja salasanan joutumista hyökkääjien haltuun.

Tunnuksia kalastellaan sähköpostiviesteillä sekä erilaisilla, oikeita verkkosivustoja muistuttavilla kalastelusivustoilla. Tavallisimmin kalastelu etenee siten, että henkilön postilaatikkoon tulee sähköposti luotetulta taholta. Viestin sisältönä on turvapostilinkki tai tiedoston jakolinkki, joka klikattaessa ohjautuu aidolta näyttävälle Office 365 -kirjautumissivulle.

Hyökkääjän tavoitteena on saada viestin vastaanottaja syöttämään tunnuksensa tälle sivulle, jolloin ne välittyvät samalla hyökkääjän käyttöön. Tämän jälkeen hänellä on pääsy kaikkeen siihen tietoon, mihin tilin oikealla omistajallakin, kuten esimerkiksi sähköposteihin, tiedostoihin ja yhteystietoihin.

Hyökkäys havaitaan tyypillisesti vasta siinä vaiheessa, kun hyökkääjä käynnistää uuden kalasteluviestiketjun alkuperäisessä hyökkäyksessä hankkimillaan osoitetiedoilla.

– Usein yritysten on myös vaikeaa näyttää toteen, mitä henkilötietoja hyökkääjän haltuun on päätynyt. Yritysten tulisikin näiltä osin kehittää kirjautumista pilvipalveluihin, näiden palveluiden valvontaa ja lokitusominaisuuksien hyödyntämistä, tietoturvavaltuutettu opastaa.

– Lisäksi on syytä harkita, välitetäänkö ja säilytetäänkö sähköpostissa henkilötietoa sisältäviä dokumentteja, kuten sairauslomatodistuksia, työsopimuksia tai passin kopioita.

Yleisimmin suomalaiset penäävät tietoturvavaltuutetulta oikeuttaan päästä omiin tietorekistereihinsä ja oikeuttaan tulla unohdetuksi. Ensisijaisesti asiassa tulisi olla yhteydessä rekisterinpitäjään.

Tietosuojavaltuutettu on oikea osoite vasta sitten, jos rekisterinpitäjä kieltäytyy kunnioittamasta yhteydenottajan oikeuksia.

– Asiamäärämme kasvu kertoo ainakin siitä, että ihmiset ovat nykyään tietoisempia tietosuojaoikeuksistaan ja haluavat käyttää näitä oikeuksia, Reijo Aarnio arvioi.

Mitä tunnetta artikkeli sinussa herättää? Ilmaisemalla tunteesi näet toisten reaktiot.

Etusivulla nyt

Uusimmat: Puheenaihe

Luetuimmat

Uusimmat

Uusimmat: Urheilu