Phishingin (tietojenkalastelun) estäminen: Mitä pääkäyttäjien pitäisi tehdä ja henkilöstön tietää?

Kehitä digiturvatyötänne? Kokeile Digiturvamallia.
Kokeile 14 päivää - se on ilmaista

Phishing on kiistatta yksi nykyajan suurimmista tietoturvauhkista. Samalla voi olla hankala ymmärtää, onko omassa organisaatiossa tehty tarpeeksi sen hallitsemiseksi.

Esittelemme aluksi phishingiä yleisesti. Tämän jälkeen listaamme kahdenlaisia toimenpiteitä - tehtäviä pääkäyttäjille sekä ohjeita koko henkilöstölle, joiden avulla phishingia vaikeutetaan huomattavasti.

Mitä on phishing?

Esimerkki MS365-ympäristössä

Phishing on kyberrikollisuuden muoto, jossa huijari käyttää sähköpostia, tekstiviestejä tai sosiaalisen median kanavia lähettääkseen ihmisille viestejä, joiden tarkoitus on joko varastaa luottamuksellisia tietoja (esim. henkilötiedot, kirjautumistiedot, luottokorttitiedot) tai levittää haittaohjelmaa.

Halutessaan varastaa luottamuksellisia tietoja, hyökkääjät luovat uskottavan näköisiä viestejä, jotka näyttävät tulevan käyttämiltäsi tunnetuilta brändeiltä. Ne pyytävät sinua yleensä tekemään jotain väärennetyllä sivustolla, joka varastaa täyttämäsi tiedot.

Halutessaan levittää haittaohjelmaa, hyökkääjät lähettävät usein tarkasti personoituja viestejä, jotka joko esittävät tai tulevat oikeasti sinulle tutun kontaktihenkilön sähköpostiosoitteesta, ja rohkaisevat klikkaaaman liitteenä olevaa, haittaohjelman sisältävää tiedostoa.

Esimerkki Gmailissa

Miksi phishingistä pitäisi välittää?

Organisaatiot joutuvat jatkuvasti phishingistä käynnistyvien hyökkäyksien kohteeksi. Hyökkäykset ovat nykyään yhä automatisoidumpia, yrityksillä on aiempaa enemmän dataa eikä viestinnän kääntäminen ole ongelma - kaikki yritykset ovat kohteita. Uutisissa saamme yleensä lukea isoihin kohdistuneista hyökkäyksistä, pienet kärsivät huijareiden metkuista hiljaisuudessa.

Vuoden 2019 aikana 55 % organisaatioista tiedosti joutuneensa vähintään yhden, onnistuneen phishing-hyökkäyksen kohteeksi. (Lähde: State of Phish -tutkimus) Nykyään sanotaankin, että ammattimaiset kyberrikolliset eivät enää hyökkää koneita kohti, vaan pyrkivät huijaamaan ihmisiä. Se on helpompaa ja tuottavampaa.

Tässä vielä muutamia phishing-aiheisia tietoturvauutisia viime viikoilta:

Haluatko tietää tietoturvan uusista tuulista? Seuraamme kymmeniä lähteitä ja koostamme viikottaisen yhteenvedon tärkeimmistä digiturvauutisista. Tilaa uutiskirje >>

Vuoden 2019 aikana 55 % organisaatioista tiedosti joutuneensa vähintään yhden, onnistuneen phishing-hyökkäyksen kohteeksi.

Mitä pääkäyttäjiemme pitäisi tehdä phishingin estämiseksi?

Tietoturvaa parannettaessa on tärkeää ymmärtää, että osa toimenpiteistä voidaan tehdä pääkäyttäjävetoisesti, osa taas on yleisestä henkilöstön osaamisen parantamista.

Suurin osa organisaatioista on myös sitä mieltä, että palkattuna on fiksua henkilökuntaa. Se ei kuitenkaan takaa hyvää suojautumista ja turvaa esimerkiksi phishingiltä. Tietoturva vaatii selkeitä päätöksiä ja vastuita, järjestelmällisesti organisoitua yhteispeliä, priorisointia ja jatkuvaa valvontaa. Digiturvamallin kaltainen hallintajärjestelmä voi auttaa näissä kohdin.

Seuraavassa esimerkkejä pääkäyttäjille suositeltavista tehtävistä:

Sähköpostitodennus: SPF, DKIM ja DMARC

SPF, DKIM ja DMARC ovat teknologioita, jotka estävät väärennettyjen sähköpostien lähettämistä ja tietojen kalastelua.

SPF:n käyttö auttaa vahvistamaan verkkotunnuksestanne lähetettyjen sähköpostien aitouden. SPF lisätään TXT-merkintänä verkkotunnuksenne DNS-tietoihin kertomaan, mitkä sähköpostipalvelimet saavat lähettää sähköpostia verkkotunnuksenne puolesta. Vastaanottava sähköpostipalvelin viittää tähän merkintään päätellessään, tuleeko sähköposti oikealta taholta.

DKIM lisää digitaalisen allekirjoituksen lähtevän sähköpostin ylätunnisteeseen. Lähtevän sähköpostin ylätunniste salataan yksityisellä avaimella ja julkinen avain lisätään verkkotunnuksen DNS-tietoihin, jotta vastaanottava palvelin voi purkaa tiedot. Avaimen avulla siis varmistetaan, että viestit todella tulevat omasta verkkotunnuksestanne eivätkä teitä esittävältä lähettäjältä.

DMARC toimii yhteen SPF:n ja DKIM:n kanssa. Sen avulla määritetään vastaanottavalle sähköpostipalvelimelle, kuinka toimia viestin kanssa, jotka eivät läpäise SPF- tai DKIM-tarkistuksia.

Ohjeet MS365-ympäristöön: Anti-spoofing protection in Office 365 >>

Monivaiheisen tunnistautumisen pakotus valituissa tilanteissa

Monivaiheinen tunnistautuminen tarkoittaa tunnistautumista useamman tekijän perusteella, esimerkiksi sähköpostiin kirjauduttaessa. Jos tietojenkalastelija saa haltuun henkilön sähköpostin, tämä ei riitä hänelle suoraan saamaan haltuun koko sähköpostilaatikkoa. Huijareilla on keinonsa pyrkiä kiertämään myös monivaiheinen tunnistus, mutta se lisää turvaa ja hidastaa hyökkäyksiä selvästi.

Pääkäyttäjät voivat yleensä identiteetinhallintajärjestelmän kautta määrittää, vaaditaanko käyttäjiltä monivaiheista tunnistautumista. Vähintäänkin pääkäyttäjiltä sekä tärkeisiin tietojärjestelmiin kirjautuvilta käyttäjiltä monivaiheista tunnistautumista olisi hyvä vaatia.

Ohje MS365-ympäristöön: Set up multi-factor authentication >>

Dedikoitujen pääkäyttäjätilien käyttö identiteetin hallintajärjestelmissä

Etenkin identiteettien hallinnan pääjärjestelmissä (esim. Microsoft 365, Google), pääkäyttäjätileillä on hyvin merkittävät oikeudet. Nämä tilit ovat usein huijareiden ja hyökkäysten kohteina arvonsa takia.

Tämän takia pääkäyttäjätilit on hyödyllistä dedikoida vain hallintakäyttöön, eikä samoja tilejä tulisi hyödyntää jokapäiväisessä käytössä tai esimerkiksi muihin verkkopalveluihin rekisteröidyttäessä. Näin ne ovat huomattavasti epätodennäköisemmin tietovuotojen ja sitä kautta tietojenkalastelun kohteina.

Kireämpi haittaohjelmasuojaus sähköpostissa

Jokaiselta organisaatiolta löytyy jonkinlainen haittaohjelmasuojaus. Yleensä näihin sisältyy kuitenkin säätövaraa. Esimerkiksi MS365-ympäristössä sähköpostisuojauksen voi säätää estämään yleisesti haittaohjelmakäyttöön käytetyt liitetiedostotyypit.

Ohje MS365-ympäristöön: Anti-malware protection in Office 365 >>

Organisaatiolle kustomoitu sähköpostin kirjautumissivu

Kuten alussa mainitsimme, usein phishing-viestit ohjaavat käyttäjän kirjautumissivulle, joka on huijarin tekemä kopia. Mikäli organisaatiollanne on esimerkiksi Microsoftin yleisen kirjautumissivun sijasta oma kirjautumissivu ja henkilöstö on tähän tottunut, huijarit joutuvat näkemään taas paljon enemmän vaivaa pystyäkseen huijaamaan henkilökuntaanne.

Ohje MS365-ympäristöön: Add your company branding to Office 365 Sign In page >>

Sähköpostin audit logien käyttöönotto ja valvonta

Sähköpostilaatikkojen audit logeilla on mahdollista seurata esimerkiksi kirjautumisia ja muita toimenpiteitä sähköpostin sisällä.

Yleensä tämä ominaisuus ei oletuksena ole päällä, ja työntekijöiden yksityisyyden vuoksi on tärkeää valita valvottavat toimenpiteet tarkasti. Voi olla kuitenkin järkevää valvoa esim. isoja lähetysmääriä tai forwardien luomista ulkopuolisiin osoitteisiin.

Ohje MS365-ympäristöön: Turn Office 365 audit log search on or off >>

Anti-phishing -käytäntöjen määrittäminen

Anti-phishing käytännöt voivat auttaa organisaatiota estämään matkimiseen pohjautuvaa tietojenkalastelua. Etenkin kohdistetut "spear phishing" -hyökkäykset ovat usein niin taitavasti toteutettuja, että tietoisenkin työntekijän on vaikea tunnistaa huijaus.

Esimerkiksi Microsoft 365 -ympäristön ATP-laajennuksella voidaan asettaa henkilönä toimitusjohtajaamme esittävät tai lähettäjän verkkotunnuksena omaa verkkotunnustamme esittävät sähköpostiviestit karanteeniin ja välittää ne samalla eteenpäin tietoturvan vastuuhenkilölle. ATP on maksullinen laajennus, joka tarjoaa muutakin suojausta sähköpostin linkeille ja liitteille sekä raportointia.

Ohje MS365-ympäristöön: Set up Office 365 ATP anti-phishing and anti-phishing policies >>

Uusien huijaustapojen seuranta ja tiedotus

Phishingissä käytetyt huijausmenetelmät kehittyvät jatkuvasti. Jos huijaustapa on henkilöstölle uusi, siihen on helpompi haksahtaa.

Pääkäyttäjien vastuulla on välittää tarvittava tieto huijaustavoista eteenpäin henkilöstölle. Digiturvamallin parissa me teemme tätä pääkäyttäjien puolesta.

Mitä henkilöstömme pitäisi tietää phishingistä?

Vaikka tekninen suojaus olisi kuinka hyvin hoidettu, phishingiä tulee aina läpi. Sitä on vaan määrällisesti liikaa ja toteuttajat ovat taitavia. Emme siis voi nojata pelkästään tekniseen suojaukseen, vaan pitää huolehtia, että henkilöstömme osaa toimia kohdatessaan phishing-viestejä!

Fiksut työntekijät toki pyrkivät toimimaan tietoturvallisesti, mutta monesti kiire ja muut tavoitteet voivat tuntua ristiriitaisilta tämän kanssa. Mikäli tietoturvaohjeista ei aktiivisesti muistuteta, niiden noudattamista ei valvota, eikä niiden laiminlyömisen aiheuttamia uhkia ymmärretä, hyvätahtoisinkaan henkilöstö ei tule niitä noudattaneeksi.

Tätä alleviivaavat monet tutkimuksetkin. Ruotsissa toteutettu tutkimus mm. totesi 92% työntekijöistä olevan käveleviä tietoturvariskejä. Tämä perustui mm. heidän huonoihin salasanakäytäntöihin, päivitysten viivästyttämiseen tai työlaitteiden käyttämiseen henkilökohtaisiin asioihin. On organisaation vastuulla jalkauttaa ohjeet ja ymmärrys siitä, miksi ohjeita on tärkeää noudattaa.

Epäile yhteydenottoja, jotka pyytävät toimenpiteitä

Phishing-viestit tulevat luotetulta taholta, mutta henkilöstön pitäisi osata epäillä kaikkia viestejä, jotka liittyvät salasanoihisi, käyttöoikeuksiin tai muuhun luottamukselliseen tietoon tai erityisesti pyytävät klikkaamaan. Tämän rohkaisemiseksi viestit voivat esim.:

Tarkista verkko-osoite, ennen kuin klikkaat (tai annat tietoja)

Verkko-osoitteen tarkistamisesta olisi hyvä saada automaatio. Vähintään epäillessäsi viestin oikeellisuutta, kannattaa katsoa osoitetta tarkasti.

Esimerkkejä huijatuista osoitteista: 

Tämä ei ole helppoa, mutta tähän on opetettava. Teknistenkin ratkaisujen on usein mahdotonta tunnistaa osoite suoraan haitalliseksi, koska phishing-domaineja usein käytetään ainoastaan lyhyen aikaa, jonka jälkeen ne hylätään ja siirrytään seuraaviin.

Älä viivästytä päivityksiä!

Henkilöstön mobiililaitteiden päivittäminen ilman viivettä on erittäin tärkeää. Päivitysten mukana tulee usein paikkuksia turvallisuushaavoittuvuuksiin. Yllä linkitetyn tapauksen, joka päätyi lopulta koko teollisuusyrityksen verkon kaatumiseen, oletetaan alkaneen työmatkalla olleen työntekijän viivästettyä laitteen päivittämistä.

Tiedosta yleiset phishing-viestin merkit

Kyberhuijarit taitavat käyttää huonosti toteutettuja phishing-viestejä välillä antaakseen ihmisille valheellisen kuvan, että kalasteluyritykse on helppo tunnistaa. Joskus kuitenkin seuraavilla muistisäännöillä voi tunnistaa huijausyrityksen: 

Ilmoita tietojenkalastelusta eteenpäin!

Mikäli saat yleisen tietojenkalasteluviestin, siitä on tärkeää ilmoittaa eteenpäin vähintään omassa organisaatiossa. Usein muutkin kollegat voivat olla saman kalastelun kohteena.

Mikäli saat tietojenkalasteluviestin suoraan kollegaltasi, huijari on todennäköisesti saanut pääsyn hänen sähköpostiinsa. Tällöin sinun kannattaa ilmoittaa eri kanavia pitkin tälle henkilölle, jotta hän voi pyrkiä saamaan sähköpostinsa taas haltuunsa.

Sähköpostiohjelmissa ja verkkoselaimissa on myös omia toimintoja huijausten ilmoittamiseen, joilla voit auttaa muita laajemmin.

Ilmoita phishing-viesti Outlookissa >>

Ilmoita phishing-sivusto Chromessa >>

Käytä työsähköpostia vain työasioiden hoitamiseen

Jos huolehdit työsähköpostin hygieniasta yleisesti, pienennät myös phishingin mahdollisuutta. Älä rekisteröidy henkilökohtaisiin verkkopalveluihin työsähköpostilla, jotta työsähköpostisi ei ole altis tietovuodoille. Älä käy henkilökohtaisia keskusteluja työsähköpostista, jottet ole suoraan vaarassa näiden henkilöiden sähköpostien joutuessa hyökkääjien käsiin.

Käytä organisaation suosittelemaa verkkoselainta ja pidä se ajan tasalla

Verkkoselaimen valinta ja ajantasaisuus vaikuttavat suuresti mm. verkkopalvelujen käyttökokemukseen, toimintaan sekä selailun turvallisuuteen. Kun koko organisaatio käyttää huolella valittua selainta, ohjeistaminen on helpompaa ja turvallisuus parantuu.

Mikäli työntekijän verkkoselain ei ole ajan tasalla, hyökkääjä saatta pystyä hyödyntämään turvallisuusaukkoja esim. ladatakseen sivustolta koneelle haittaohjelman ilman klikkauksia, ns. drive-by -latauksena.

Kuinka nämä tehtävät ja ohjeistukset saa tapahtumaan?

Mikäli mietit, että miten ihmeessä tälainen lista asioita jalkautetaan, en ihmettele. Vaikka blogeissa jaeltaisiin kuinka kivoja neuvoja, tämä on usein iso haaste.

Tietoturva vaatii päätöksiä, organisoitua yhteistyötä ja aktiivisesti seuratun kokonaiskuvan omasta tekemisestä. Tätä kohtaa me pyrimme auttamaan digityökalun avulla

Digiturvamalli on hallintajärjestelmä tietoturva- ja tietosuoja-asioille. Sen kautta päätetään pääkäyttäjien tehtävät ja henkilöstön ohjeistukset mallisisältöjen avulla, ja järjestelmä pitää huolen näiden toteutuksesta ja omaksumisesta. Tavoitteena on auttaa välttämään tietovuodot, parantamaan yhteistyötä tietoturvan ympärillä ja saavuttamaan selkeä kokonaisukuva - mitä on tehty ja mitä ei.

Kokeile Digiturvamallia ilmaiseksi 14 päivää tai varaa kanssamme keskustelu, jos haluat tietää lisää.

Keskustelua