Sähköpostiin liittyvät huijaukset kuuluvat ruotsalaisten organisaatioiden suurimpiin tietoturvahaasteisiin.IT-asiantuntija Karl Emil Nikka valottaa ongelmaa.
Karl Emil Nikka luennoi tietoturvasta yli kymmenen vuoden kokemuksella tekniikan alan kouluttajana. Hän haluaa lisätä tietämystä nykypäivän tietoturvahaasteista ja parantaa sitä kautta ruotsalaisten organisaatioiden tietoturvaa.
Tekninen tietoturva, kuten palomuurit ja asiakassuojaus, on tärkeässä asemassa kaikissa organisaatiossa. Nikka toteaa kuitenkin, että työntekijöiden koulutus on vähintään yhtä tärkeää. Jos hyökkääjät eivät muutoin pääse käsiksi järjestelmiin tai tietokoneisiin, he yrittävät tunkeutua niihin ihmisten kautta.
Taidokasta kalastelua
Tietojen kalastelu on tavallisin tapa hyökätä ihmisten kautta. Salasanoja havittelevat hyökkääjät voivat esimerkiksi lähettää sähköpostiviestissä linkkejä, jotka vievät väärennetylle kirjautumissivulle.
–Valitettavasti olen huomannut, että monet ovat aivan liian hyväuskoisia tietojen kalastelun suhteen. He kuvittelevat, että kalasteluviestit on kirjoitettu huonolla konekäännetyllä kielellä ja että kalasteluyritys on yhtä helppo tunnistaa kuin klassinen nigerialaiskirje. Todellisuudessa kuka tahansa voi joutua kalastelun uhriksi, jos hyökkäys on suunniteltu riittävän taitavasti, Nikka selittää.
-Päättäväiset hyökkääjät saattavat käyttää paljon aikaa iskujensa suunnitteluun. He voivat esimerkiksi tutkia organisaation verkkosivuja, kuten uutisia ja tietoja vapaista työpaikoista. Tällä tavoin hyökkääjät saavat selville, millaisia projekteja yrityksellä on meneillään, mitä järjestelmiä on käytössä ja keiden kanssa yritys tekee yhteistyötä. Näiden tietojen perusteella laaditaan kalasteluviestejä, jotka näyttävät vastaanottajasta aivan asiallisilta ja saavat heidät siksi helpommin noudattamaan viestissä annettuja ohjeita.
Monivaiheista kalastelua
Hyökkääjät voivat saada työntekijöiden sosiaalisesta mediasta selville, ketkä pitävät yhteyttä toisiinsa. Näiden yhteystietojen avulla voidaan suunnitella monivaiheisia kalasteluhyökkäyksiä. Jos kohteen arvellaan olevan liian etevä käymään tavanomaiseen pyydykseen, saatetaan hyökkäys aloittaa häneen yhteyttä pitävästä henkilöstä. Jos hyökkääjät onnistuvat kaappaamaan tällaisen henkilön tilin, he voivat lähettää sähköpostia sieltä käsin.
–Osaamme kyllä epäillä tuntemattomien lähettämiä sähköpostiviestejä, mutta entäs kun viesti tulee asiakkaalta tai toimittajalta, jonka kanssa teemme yhteistyötä? Kun sähköposti tulee tutusta osoitteesta, emme ymmärrä olla yhtä varuillamme. Juuri tätä hyökkääjät osaavat käyttää taitavasti hyväkseen, Nikka jatkaa.
Sähköposteihin liittyvien riskien minimoimiseksi Nikka suosittelee yksinkertaisesti välttämään sähköpostin käyttämistä viestintään. Nykyaikaiset vaihtoehdot, kuten Slack ja Teams, ovat turvallisempia ja lisäksi keskustelujen jäsentäminen on helpompaa.
Vahvat salasanat
Riippumatta siitä, miten hyvin työntekijät osaavat tunnistaa tietojenkalasteluyrityksiä, organisaation on kuitenkin valmistauduttava siihen, että hyökkäys joskus onnistuu. Seurausten rajoittamiseksi on tärkeää, että työntekijät noudattavat hyviä salasanakäytäntöjä. Koskaan ei esimerkiksi pidä käyttää samaa salasanaa usealla tilillä, sillä vuotanut salasana avaa tällöin monta ovea hyökkääjille.
– On muistettava, että työntekijät ovat ihmisiä. Ihminen ei pysty muistamaan valtavaa määrää salasanoja. Ilman teknisiä apuvälineitä käy väistämättä niin, että käytämme samoja salasanoja yhä uudelleen tai salasanamme ovat huonoja, Nikka toteaa.
SSO-palvelu (kertakirjautuminen eli Single Sign-On) ja salasananhallintasovellus ovat esimerkkejä teknisistä apuvälineistä, joita käyttämällä työntekijöiden ei tarvitse muistaa kaikkia salasanojaan ulkoa. Salasanoista voi tällöin myös tehdä pitempiä.
– Mitä pitempi salasana, sitä kauemmin sen murtamiseen menee aikaa. Kaikkein parhaat salasanat eivät tarkoita mitään. Tällaiset salasanat ovat vaikeita murtaa, helppoja muistaa ja yksinkertaisia kirjoittaa, Nikka toteaa.
Salasanan pidentäminen yhdellä merkillä vaikeuttaa sen murtamista hämmästyttävän paljon. Seuraavassa taulukossa näytetään, miten kauan eripituisten salasanojen murtamiseen menee aikaa.
"Rikolliset tietävät kuinka pettää meidät - mutta jos olemme valppaita, voimme paljastaa heidän menetelmänsä"
Kiristyshyökkäykset
Huijaussähköposteja käytetään muuhunkin kuin salasanojen pyydystämiseen. Niillä levitetään myös kiristystroijalaisia. Kyseessä on haittaohjelma, joka kryptaa organisaation tiedostot niin, ettei niitä pysty enää lukemaan. Hyökkääjä ilmoittaa palauttavansa tiedostot lunnaita vastaan.
Kiristystroijalaisten levittäminen ei itse asiassa ole mikään uusi ilmiö. Näitä haittaohjelmia on ollut riesana jo 30 vuoden ajan. Valitettavasti ne ovat viime aikoina kokeneet uuden tulemisen.
– Bitcoinin ja Moneron kaltaisten kryptovaluuttojen ansiosta kiristäjät saavat maksun kätevästi. Ennen he saivat maksun sekillä tai esiladatulla maksukortilla, mikä edellytti paljon käsityötä. Nyt hyökkääjät voivat automatisoida kaiken, Nikka selittää.
Norjalainen alumiiniyritys Hydro joutui viime vuonna juuri tällaisen hyökkäyksen kohteeksi. Todellista liikekumppania hyväkseen käyttämällä hyökkääjä sai Hydro-yhtiön työntekijän klikkaamaan sähköpostiviestissä ollutta haitallista linkkiä. Kiristystroijalainen saastutti yhtiön tietokoneet, ja vahingot olivat arviolta 600 miljoonaa Norjan kruunua.
Hyvät varmuuskopiointikäytännöt ovat oleellisessa asemassa organisaation suojaamiseksi kiristysyrityksiltä. Nikka korostaa tätä seikkaa useaan otteeseen haastattelun aikana. Hän neuvoo myös, että lunnaita ei koskaan pidä maksaa tiedostojen takaisin saamiseksi.
– Varmistakaa, että teillä on täydelliset ja helposti palautettavat varmuuskopiot, niin että saatte tiedostonne takaisin, vaikka joutuisitte kiristystroijalaisen kohteeksi. Älkää koskaan menkö maksamaan lunnaita. Niin kauan kuin tarpeeksi monet uhrit suostuvat maksamaan, organisaatioiden piinaaminen kiristystroijalaisilla jatkuu, Nikka toteaa lopuksi.