Phishing - SecMeter

Sisältöön

Phishing

Yritysturvallisuus > Kyberturvallisuus
Phishing -termi tarkoittaa tietojen kalastelua (”troolausta”) sähköpostiviestin, tekstiviestin, puhelun tai väärennetyn verkkosivun avulla.

Tietojen kalastus kohdennetaan summittaisesti esimerkiksi tietyn pankin tiliasiakkaisiin. Tavoitteena on saada haltuun tiliasiakkaiden pankkitunnuksia, henkilötietoja tai muita taloudellisesti hyödynnettäviä tietoja.

Rikoksen tekijä voi ilmoittaa edustavansa mm. pankkia, ja pyytää asiakasta kertomaan luottokorttinumeronsa tai verkkopankki- tunnuksensa.

Huijausviesti voi olla suunniteltu siten, että sen avulla pyydetään tiedot suoraan, viestissä oleva linkki voi johtaa väärennetylle verkkosivulle, jossa käyttäjältä pyydetään tiedot tai viestissä olevan linkin klikkaus asentaa vakoiluohjelman yrityksen tietokoneelle, joka välittää tiedot edelleen internetissä olevalle palvelimelle.

Perjantaina 28.10.2005 Nordean verkkopankkiasiakkaat vastaanottivat ensimmäisen kerran englanninkielisiä ”phishing” huijausviestejä. Viestin linkki johti sivulle, jossa asiakasta pyydettiin syöttämään asiakasnumero, kahdeksan seuraavaa kertakäyttötunnuksia sekä kahdeksan vahvistustunnusta. Nordea joutui sulkemaan kuuden asiakkaan tilit. Asiakkaat olivat vierailleet huijausviestin linkittämällä osoittamalla internetsivua.

RIITA NORDEAN JA TILIASIAKKAAN VÄLILLÄ
Nordean ja tiliasiakkaan välinen erimielisyys johti Suomen ensimmäiseen vahingonkorvausoikeudenkäyntiin, jossa rikolliset onnistuivat nostamaan tiliasiakkaalle lähetetyn huijausviestin avulla 4 800 euroa. Varat siirtyivät ulkomaille, eikä niitä onnistuttu jäljittämään.

Rahansa menettänyt pariskunta haki Nordealta korvauksia käräjäoikeudessa, koska pankki ei suostunut hyvittämään asiakkaalle kyseistä summaa.

Rikolliset olivat lähettäneet huijausviestejä Nordean tiliasiakkaille. Kyberturvallisuuskeskus ja Nordea olivat varoittaneet kyseisestä tietojenkalasteluyrityksestä.

jutussa Nordean tiliasiakas kertoi joutuneensa kesällä 2015 rikollisten tekemälle Nordean sivuja muistuttavalle valesivustolle. Valesivustolle hän oli päätynyt hänelle lähetetyn sähköpostin perusteella, jossa kerrottiin Nordean tekevän tietoturvapäivitystä.

Pankkitunnuksia kalasteleva valesivusto keräsi Nordean asiakkaiden tietoja, kuten salasanoja, syntymäaikoja, nimiä, osoitteita ja matkapuhelinnumeroita. Tiliasiakas kertoi luovuttaneensa sivustolle vain käyttäjätunnuksen, mutta oli keskeyttänyt sen jälkeen tietojen antamisen.

Nordean näkemyksen mukaan tiliasiakas oli luovuttanut käyttäjätunnuksen lisäksi myös ainakin neljä verkkopankin tunnuslukua sekä matkapuhelinnumeronsa. Nämä tiedot saatuaan rikolliset olivat soittaneet tiliasiakkaalle ja saaneet myös muita henkilön asiakasprofiilin muuttamiseen tarvittavia tietoja.

Nordean verkkopankissa rahansiirto edellyttää asiakkaan vahvistusta. Vahvistuspyyntö lähetetään tekstiviestinä asiakkaan matkapuhelinnumeroon. Tämän turvallisuuspiirteen johdosta rikollisten oli saatava muutettua tiliasiakkaan profiiliin tallennettu matkapuhelinnumero omakseen.

Tiliasiakkaalle lähetetyssä sähköpostiviestissä oli kerrottu, että "työntekijämme NORDEA internetpankkiosastoltamme soittaa sinulle päivityksen viimeistelemiseksi". Tämän ilmoituksen johdosta tiliasiakas oli osannut odottaa soittoa ja uskoi soittajan Nordean työntekijäksi.

Nordean selvityksen mukaan rikolliset olivat keskustelleet tiliasiakkaan kanssa noin 15 minuuttia saadakseen muun muassa asiakasprofiilin muuttamiseen tarvittavat varmennuskoodit. Asiakas oli lopulta luovuttanut soittajalle matkapuhelinnumeron muuttamiseen tarvittavan vahvistuskoodin ja varmennuskoodin.

Tiliasiakkaan koodit saatuaan rahansiirtoon tarvittava vahvistuspyyntö lähti Nordean verkkopankkijärjestelmästä rikollisten hallussa olevaan kännykkään.

Nordean tiliasiakkaan näkemyksen mukaan Nordean turvallisuusjärjestelmässä oli virhe ja siksi pankin tulisi korvata menetetty summa. Nordea kiisti korvausvaatimuksen, koska pankin näkemyksen mukaan nainen oli toiminut vastoin tilisopimusta ja luovuttanut tunnistautumistietoja ulkopuoliselle.

Riitajuttu tulee esille Helsingin käräjäoikeudessa vuoden 2017 alussa (tammi- maaliskuun aikana). Lähteet: (hs.fi 8. 6.2016, talouselama.fi 8.6.2016, mtv3.fi 8.6. 2016)

SVEA PERINTÄ VAROITTI HUIJAUSVIESTEISTÄ
Viikonloppuna 9 - 10.8.2014 Svea Perinnän nimissä oli lähetetty sähköpostiviestejä, joissa pyydettiin kirjautumaan verkkopankkitunnuksilla Svean www-osoitetta muistuttavaan osoitteeseen.

Svea Perintä totesi tiedotteessaan, ettei sillä ole mitään tekemistä näiden viestien kanssa. Yhtiö ei pyydä verkkopankkitunnuksia tekstiviestien välityksellä tai sähköpostitse eikä näillä jaettavien linkkien kautta. Sähköpostiviestin muotoilu oli jo aiemmista tietojenkalasteluyrityksistä tuttu:

”Sinulla avoin lasku järjestelemässämme 26.6.2014 lähtien, lain mukaan maksuhäiriömerkintä voidaan merkitä teille huomenna 10.8.2014. Lasku muodostuu maksumuistutuslaskusta 5 euroa + viivästyskulut 3,18 euroa eli yht 8,18 euroa on yhä maksamatta. Voit tarkastella tietojasi ja laskuja perinnän online palvelusta. Terveisin Svea-Perintä.” Lähde: (svea.com 11.8.2014)

S-PANKIN ASIAKKAILTA YRITETTIIN HUIJATA PANKKITUNNUKSIA
S-Pankin nimissä lähetettyjen sähköpostiviestien avulla oli yritetty kalastella asiakkaiden pankkitunnuksia. Viesteissä kehotettiin turvallisuussyihin vedoten asiakkaita vahvistamaan S-Pankki tiedot kirjautumalla sähköpostissa annetun linkin kautta verkkopankkiin.

S-Pankin asiakkaat ovat vain kerran aikaisemmin joutuneet vastaavan pankkitunnusten kalasteluyrityksen kohteeksi. Lähde: (s-pankki.fi tiedotteet 15.11.2013)

OP-POHJOLAN ASIAKKAILTA HUIJATTIIN NOIN 20 000 EUROA
Rikolliset onnistuivat huijaamaan Osuuspankin asiakkailta noin 20 000 euroa. Yksinomaan viikolla 37 huijatuksi tuli 20 henkilöä. Pankin mukaan 14 henkilöä oli jo tehnyt rikosilmoituksen huijausviesteistä.

Asiakkaat tulivat huijatuiksi vastatessaan rikollisten lähettämiin sähköpostiviesteihin, joiden otsikkoina oli "Vuosittainen ilmoitus", "Tärkeä Viesti!" tai "Kiireellinen viesti". Viesteissä pyydettiin lähettämään verkkopankkitunnukset.

Viestien sisältöjä:

”Tämä on vuosittainen ilmoitus koskien Osuuspankki tiliäsi. Sinun tilisi pitää vahvistaa. Ole hyvä ja klikkaa alapuolella olevaa linkkiä ja seuraa ohjeita:"

"Hyvä asiakas, Tilisi on tarkistettava verkossa. Klikkaa tästä tarkistaa tilisi verkossa. Älä vastaa tähän viestiin niin vastauksesi ei vastaanoteta."

"Havaitsimme epäsäännöllistä toimintaa Osuuspankki käyttäjä tillilläsi. Jotta voit käyttää tiliäsi uudelleen. Sinun tulee takuuta tietosi. Ole ystävällinen käytö allaolevaa linkiä. Ja takkaa tietosi. Kiitos avustanne. Lämpimin terveisin, osuuspankki".

Lähteet: (op.fi uutiset 12.9.2011 varo huijausviestejä, hs.fi 23.9.2011)

OP-POHJOLAN VERKKOPANKKITUNNUKSET KALASTELUN KOHTEENA
Verkkopankkitunnuksien kalastelijat tavoittelivat OP-Pohjolan asiakkaiden verkkopankkitunnuksia. Viesteissä pankin asiakkaita varoitettiin, että joku muu oli käyttänyt tiliä.

Asiakasta pyydettiin kirjautumaan verkkopankkiin henkilöllisyyden varmistamiseksi "Haluamme kertoa teille, että tilisi on käyttänyt joku muu. Kirjaudu verkkopankkiin ja vahvistaa, että olet omistaja."

Sähköpostiviesti muistutti aitoa viestiä. Viesti oli lähetetty osoitteesta info1@pohjola.fi. Viestissä kehotettiin klikkaamaan linkkiä, joka ohjasi asiakkaan huijaussivustolle luovuttamaan pankkitunnuksensa. Lähteet: (digitoday.fi 11.8.2011, op.fi uutisia 12.8.2011, yle.fi 12.8.2011, kauppalehti.fi 12.8.2011)

NORDEA VAROITTI VERKKOPANKKITUNNUSTEN KALASTELUVIESTEISTÄ
Nordea varoitti huonolla suomen kielellä kirjoitetuista huijausviesteistä, joissa pankin asiakkaita pyydettiin välittämään viestin oheen liitetyn linkin kautta verkkopankkitunnuksensa. Viestit oli otsikoitu "Tietoturvaongelmat". Lähde: (nordea.fi 15.7.2011)

OP-POHJOLAN VERKKOPANKKITUNNUKSIA YRITETTIIN KALASTELLA
Osuuspankki varoitti verkkosivuillaan huijausviesteistä. Asiakkaiden verkkopankkitunnuksia yritettiin kalastella huijaussähköpostien välityksellä. Huijaussähköpostien otsikkona oli mm. "Kiirellinen ilmoitus". Viestin sisältö oli seuraava: "Klikkaa tästä nähdäksesi". Tekstin jälkeen oli linkki, jota ei olisi pitänyt missään tapauksessa klikata.

Huijausviestien täsmällinen sisältö kuitenkin vaihteli. Kaikissa viesteissä oli kuitenkin sama logiikka, jossa asiakkaita kehotettiin Osuuspankin asiakkaita luovuttamaan tilitietonsa tai kirjautumaan pankin sivuille viestissä olevan linkin kautta.

Tiistaina 31.5.2011 ja keskiviikkona 1.6.2011 sähköpostilaatikkoon saattoi tulla huonolla suomen kielellä kirjoitettu viesti, jolla yritettiin kalastella asiakkaiden verkkopankkitunnuksia. Viestin on lähettänyt "OP-POHJOLA GROUP" ja allekirjoittanut "OP Asiakastuki".

Torstaina 2.6.2011 levisi "Op-Pohjola Groupin" lähettämä sähköpostiviesti, jona tekstikentässä oli ainoastaan linkki, joka ohjasi Osuuspankin Internet-sivuja muistuttavalle huijaussivustolle. Linkin osoite ei ollut sama, kuin Osuuspankin oikealla sivustolla. Lähteet: (op.fi 2.6.2011, Yle.fi 2.6.2011, hs.fi 3.6.2011, mtv3.fi 3.6.2011)

OP-POHJOLAN ASIAKKAILLE SUUNNATTU UUSI HUIJAUSVIESTI
Tökeröllä suomen kielellä kirjoitetulla ja summittaiselle vastaanottajajoukolle suunnatulla huijausviestillä yritettiin kalastella Osuuspankin asiakkaiden verkkopankkitunnuksia. Osuuspankki sai asiakkailtaan kymmenkunta ilmoitusta huijausviestistä. Viesti oli otsikoitu "Tärkeitä Security Viesti". Viesti sisälsi kehotuksen siirtyä linkin osoittamaan osoitteeseen hansungfood.com, jossa myytiin mm. riisikakkuja. Lähde: (iltasanomat.fi 09.03.2010)

OP-POHJOLA VAROITTI ASIAKKAITAAN HUIJAUSVIESTEISTÄ
Osuuspankki varoitti verkkosivuillaan, että pankin asiakkaiden verkkopankin tunnuksia oli yritetty kalastella huijausviestien avulla. Viestit oli otsikoitu mm. "Upgrade Your OP-Pohjola Group Account". Viesteissä oli kehotettu OP-Pohjola-ryhmän asiakkaita päivittämään osuuspankin verkkopalvelutietonsa sähköpostissa olevan linkin kautta.

Viestit olivat englanninkielisiä. Pankki korosti tiedotteessaan, että ”verkkopalvelutunnuksia ei saa luovuttaa kenellekään, sillä verkkopalvelutunnukset ovat henkilökohtaiset”. Huijaussivusto suljettiin. Lähteet: (OP.fi 11.1.2010, MTV3.fi 13.1.2010)

FBI SUORITTI LAAJOJA PIDÄTYKSIÄ
Vuonna 2009 FBI pidätti osana kansainvälistä poliisioperaatiota (Operation Phish Phry) Kaliforniassa, Nevadassa ja Pohjois-Carolinassa 33 henkilöä epäiltynä salasanojen kalastelusta. Teot tapahtuivat vuonna 2007 tammikuun ja syyskuun välisenä aikana. Ihmisiä huijattiin sähköpostiviesteihin liitettyjen linkkien avulla syöttämään henkilökohtaisia ja taloudellisia tietoja väärennetyille Web-sivustoille.

FBI etsintäkuulutti kaikkiaan noin 100 henkilöä. Etsintäkuulutetuista noin puolet oli Egyptissä. Egyptiläiset kalastivat salasanat ja suorittivat varojen siirron Yhdysvalloissa toimivien apurien avaamille pankkitileille. Petosten kohteina olivat Wells Fargon ja Bank of American asiakkaat. Lähde (post 8.10.2009)

PANKKITUNNUSTEN KALASTELU
Perjantaina 28.10.2005 suomalaisiin sähköpostiosoitteisiin lähetettiin englanninkielisiä huijausviestejä, jotka oli tarkoitettu Nordean suomalaisille verkkopankkiasiakkaille. Viestien linkit johtivat sivulle, jossa asiakkaita pyydettiin syöttämään asiakasnumero, kahdeksan seuraavaa kertakäyttötunnuksia sekä kahdeksan vahvistustunnusta.

Bancos.NL on verkkopankkien sivuilla asioivien käyttäjien näppäinpainallusten tallentamiseen erikoistunut haittaohjelma, joka osaai vakoilla myös suomalaisissa verkkopankeissa asioivia käyttäjiä.

Ohjelma pystyi saastuttamaan Windows 2003/XP/2000/NT/ME/98/95 - käyttöjärjestelmillä varustetut tietokoneet. Se levisi esimerkiksi sähköpostin liitetiedoston välityksellä.

Ohjelma aktivoitui käyttäjän asioidessa verkkopankissa, jota se oli ohjelmoitu vakoilemaan. Ohjelma tallensi näppäinpainallukset ja lähetti löytämänsä tiedot radconsulting.net -palvelimelle.

Bancos.NL oli ohjelmoitu vakoilemaan 120 maan ja 2500 eri rahoituslaitoksen internetsivuilla tapahtuvaa asiointia. Listalta löytyi esimerkiksi osuuspankki.fi ja Nordea.se, mutta ei Nordea.fi.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön