Yhteystiedot
Puheenjohtaja
Raija Örn
Lasitehtaantie 12
14500 Iittala
raija.orn@pp.inet.fi
DIGITODAY 27.01.2021 (Uusin tieto) Ilta-Sanomien juttu
TIETOTURVA
Tällainen on suomalaisten puhelimiin parhaillaan levitettävä haittaohjelma – ”Voidaan puhua epidemiasta”
Postin nimissä tehtävä huijauskampanja iskee sekä Android- että iPhone-käyttäjiin. Vaarana ovat haittaohjelma ja mobiililaskutus.
JAA
KOMMENTOI
Käyttäjän puhelinnumero yritetään kytkeä Apple-tilin mobiililaskutusta varten. Android-puhelimeen tarjotaan lisäksi haittaohjelmaa.KUVA: HENRIK KÄRKKÄINEN
7:00
Suomalaisten puhelimiin levitetään haittaohjelmaa tekstiviestillä, jota lähetetään Postin nimissä. Viestissä oleva linkki ohjaa verkkosivulle, joka yrittää asentaa Android-puhelimiin haittaohjelman. IPhone-käyttäjiin isketään toisella tavalla.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen kertoo, että nyt aktiivinen levityskampanja on ollut käynnissä vuodenvaihteesta alkaen.
– Havaintojemme perusteella voidaan puhua epidemiasta. Tuorein tapausketju on lähtenyt voimistumaan tammikuun ensimmäisellä viikolla.
Android-puhelimiin ujutettava haittaohjelma leviää apk-paketin eli sovelluksen asennuspaketin muodossa verkkosivulta, jonne harhautetaan tekstiviestissä olevaa linkkiä klikkaamalla. Hyökkäys ei hyödynnä mitään tunnettua haavoittuvuutta, eli pelkkä sivulla käyminen ei saastuta puhelinta.
Haittaohjelma tunnetaan nimellä FakeCop, FakeSpy tai Roaming Mantis. Nimien moninaisuus johtuu yleensä siitä, että eri tietoturvatoimijat nimeävät löydöksensä itsenäisesti.
Puhelimeen asentuva FakeSpy pyytää erittäin laajoja käyttöoikeuksia.
– Käytännössä kaikkia oikeuksia, mitä nyt vain laitteessa voi olla, Kontinen sanoo.
Haittaohjelma on useamman vuoden vanha, ja sitä on kehitetty edelleen Kaukoidässä useamman vuoden ajan. Sen alkuperä on Vietnamin tai Korean suunnalla, ja sovelluksen alkuperäinen tarkoitus on ollut pankkitunnusten vakoileminen. Sittemmin sitä on kehitetty tietojen varastamisen suuntaan.
PUHELINNUMERO, joista huijausviesti tulee, on aito. Viesti tulee haittaohjelman saastuttamasta puhelimesta, joka levittää tartuntaa edelleen. Lähettäjä ei kuitenkaan ole välttämättä vastaajan tuttu, sillä haittaohjelma lataa komentopalvelimelta käsin maarajat ylittäviä numerolistoja, joihin tartuntaa levitetään. Samalla ladataan myös lähetettävien tekstiviestien sisällöt.
Tartutusprosessin käynnistävä tekstiviesti tulee aidosta puhelinnumerosta. Lähettäjänä toimii saastunut puhelin.
Suomessa tiedetään satakunta tartuntatapausta tämän ja viime vuoden levityskampanjan ajoilta. Tartunnan saanut puhelin saattaa lähettää satoja, jopa tuhat tekstiviestiä. Teleoperaattorien on vaikea estää viestiliikennettä, koska se edellyttäisi viestien sisällön reaaliaikaista lukemista ja analysointia. Huomio kiinnittyy saastuneeseen laitteeseen yleensä vasta sen jo lähetettyä satoja viestejä ulkomaille.
Tekstiviestissä jaettava linkki vaihtelee, sillä rikollisten käyttämä linkinlyhennyspalvelu poistaa vääriin tarkoituksiin luotuja linkkejä, joten ne korvataan aika ajoin uusilla. Haittaohjelmaa tarjoava palveluntarjoaja on kuitenkin pysynyt ennallaan, eikä se vastaa poistopyyntöihin.
– Vaikuttaa siltä, että tekijät ovat löytäneet palveluntarjoajan, joka tietoisesti ei halua väärinkäytöksiin puuttua. Tämä on ongelmallinen tilanne meille. Meillä ei ole toimivaltaa mennä Suomen rajojen yli karmit kaulassa sanomaan, että verkkosivut kiinni, Kontinen sanoo.
Kyse on laajasta kansainvälisestä kampanjasta, sillä verkossa oleva huijaussivu pystyy tunnistamaan sivulle tulijan alkuperämaan ja tarjoilee tälle paikallisen huijaussivuston. Suomessa tämä on Postin nimissä.
HAITTAOHJELMASTA pääsee eroon palauttamalla puhelin tehdasasetuksiinsa. Tämä poistaa kuitenkin kaikki laitteeseen asennetut sovellukset, mutta myös valokuvat ja tekstiviestit. Jos niitä ei ole varmuuskopioitu, ne katoavat samalla.
– Sovellus ei roottaa laitetta eli murra käyttöjärjestelmän suojauslogiikkaa, joten tehdasasetusten palauttaminen puhdistaa laitteen, Kontinen toteaa.
– Jos haittaohjelma on pesiytynyt laitteeseen, kannattaa vakavasti harkita, käyttääkö sitä verkossa. Se yrittää kuitenkin aggressiivisesti vastaanottaa tietoa komentopalvelimelta tai lähettää viestejä, Kontinen lisää.
Haittaohjelman saa poistettua palauttamalla puhelimen tehdasasetuksiin (alin vaihtoehto). Samalla häviävät kaikki laitteen varmuuskopioimattomat tiedot.KUVA: HENRIK KÄRKKÄINEN
MYÖS iPhonen käyttäjät ovat vaarassa. Huijaussivusto tunnistaa iOS-käyttäjän, ja sivu toimii silloin eri tavoin. Näiden suhteen aloitetaan iCloud-kalastelu, eli yritetään saada käyttäjä kertomaan Apple-tunnuksensa ja salasanansa.
Sekä Androidilla että iOS:llä sivuille saavuttaessa huijaussivu pyytää käyttäjää syöttämään puhelinnumeronsa ”paketin tarkastamiseksi”. Android-käyttäjälle tehdään taustalla tarkistus, onko tämän numero kytketty Applen iCloud-tiliin.
Jos asia on näin, tällaiselle Android-käyttäjälle näytetään ponnahdusilmoitus jossa pyydetään syöttämään tekstiviestitse tuleva koodi ”paketin saamiseksi”. Sama ilmoitus näytetään numeronsa ilmoittaneelle iPhone-käyttäjälle.
Sivu tunnistaa sekä käyttäjän laitteen että alkuperämaan, ja siitä näytetään asiaankuuluva versio.KUVA: HENRIK KÄRKKÄINEN
Tätä seuraa Applelta tekstiviestillä tuleva nelinumeroinen aito vahvistuskoodi, joka pyydetään syöttämään huijaussivulle. Koodin syöttämisen jälkeen puhelinnumero kytketään iCloud-tiliin laskutuskeinoksi.
– Tiedossamme on tapauksia, joissa tämän jälkeen puhelinlaskussa alkaa näkyä 50 euron kertaveloituksia satojen tai lähemmäs tuhannen euron edestä. Tässä puhutaan mobiilimaksun hyväksynnän väärinkäytöstä, Kontinen sanoo.
”
Tiedossamme on tapauksia, joissa puhelinlaskussa alkaa näkyä 50 euron kertaveloituksia satojen tai lähemmäs tuhannen euron edestä.
EI ole tiedossa, mitä ostoksia veloitusten takana on. Yksi vaihtoehto on, että niillä on ostettu iTunes-lahjakortteja edelleen myytäväksi. Tässä tilanteessa liittymän omistajan on oltava yhteydessä Appleen ja perua mobiililaskutuslupa. Apple antaa tähän tilanteeseen ohjeita verkkosivuillaan.
– Android-käyttäjälle tulee pahimmillaan haittaohjelma ja puhelinnumeron liittäminen mobiililaskutukseen. Tämä on todella kehno ilmiö, Kontinen toteaa.
Haittaohjelmaa levitetään koko ajan. Ei ole tiedossa, osaako se iskeä suomalaisten käyttämiin verkkopankkeihin tai onko ohjelmaan tulossa tämä toiminnallisuus.
– Mitä tekijät haluavat uhrista rahallisena hyötynä, on vielä epäselvää. Nyt sovellusta levitetään ja varastetaan yhteystietoja.
– Saamme tästä tasaisesti ilmoituksia ja niiden määrä kasvaa. Kun tapauksia kertyy, tekijät saavat lisää puhelinnumeroita, joihin lähettää viestejä. Näin tämä kerää volyymia, Kontinen sanoo.'
TtK
IS digitoday TIETOTURVA
Varo tätä tekstiviestiä – pelottavan uskottava huijaus tuo haittaohjelman puhelimeen
Suomalaisille on levitetty maanantain aikana varsin uskottavaa huijausta Postin nimissä.
Tässä LINKKI ALKUPERÄISELLE SIVULLE,
Jos saat tällaisen tekstiviestin, älä avaa mitään viestissä olevaa linkkiä. Poista viesti !!!!!
saa jakaa
Tekstiviestinä tuleva huijaus johtaa verkkosivulle, jolta syötetään haittaohjelmaa.KUVA: HENRIK KÄRKKÄINEN
25.1. 12:32
Suomalaisille on lähetetty maanantain aikana tekstiviestejä, joiden tarkoitus on ujuttaa puhelimelle haittaohjelma.
Tekstiviesti on kirjoitettu suomeksi, lähettäjän väitetään olevan OmaPosti, ja viestissä tarjotaan klikattavaa linkkiä oheistekstillä, että vastaanottaja on saanut allekirjoittamista odottavan paketin.
Huijausviesti tulee suomeksi.
Kun linkkiä klikkaa puhelimessa, se vie erittäin aidonnäköisille Postin sivujen ulkonäköä mukaileville verkkosivuille. Sivusto tarjoaa uskottavuuden lisäämiseksi jopa evästehyväksyntää, mikä on huijaussivuilla hyvin harvinaista. Vaikutelma aidosta sivusta on vahva.
Huijaussivu jopa kysyy aitouden tunnun lisäämiseksi evästehyväksyntää, mikä on hyvin harvinaista.KUVA: HENRIK KÄRKKÄINEN
Ylimmäisenä on hakukenttä, jossa ”paketin voi tarkistaa puhelinnumerolla”. Minkä tahansa numeron syöttäminen tuo Android-puhelimessa ruudun alareunaan ilmoituksen, joka kertoo yrityksestä ladata puhelimeen vieraan sovelluksen asennustiedosto.
Tähän kysymykseen ei missään nimessä tule vastata myöntävästi, sillä se lataa puhelimelle todennäköisesti haittaohjelman asennustiedoston.
Android-puhelimeen yritetään ladata vieras sovellus. Kysymykseen ei saa missään nimessä vastata myöntävästi.KUVA: HENRIK KÄRKKÄINEN
Haittaohjelman laadusta ei ole tietoa. Android-puhelimissa aiemmin nähdyt haittaohjelmat osaavat muun muassa varastaa rahaa verkkopankista, lähettää maksullisia tekstiviestejä sekä varastaa puhelimen tietoja. Puhelimissa on nähty myös laitteen tiedot salakirjoittavia ja lunnaita vaativia kiristysohjelmia.
IPhoneille ei ole mahdollista ladata sovelluksia App Storen ulkopuolelta, joten sille ei tarjota haittaohjelmalatausta. Kun sivulle syötetään puhelinnumero iPhonella, sivusto pyytää syöttämään seuraavaksi tekstiviestitse lähetetyn nelinumeroisen koodin. Kyse lienee tässä tapauksessa vahvistettujen yhteystietojen keräämisestä.
Huijaussivustoa ei selkeästi ole tehty tietokoneella katseltavaksi, sillä se ei näy tietokoneen selaimella katseltuna oikein eikä myöskään tarjoa latauksia.
Huijaussivun luomisessa on nähty vaivaa, sillä se on hyvin uskottavan näköinen.
KUVA: HENRIK KÄRKKÄINEN
Huijaus on kokonaisuudessaan poikkeuksellisen vakuuttava. Se on tunnistettavissa vain kahdesta pienestä yksityiskohdasta: Tekstiviesti on lähetetty +46-alkuisesta eli ruotsalaisesta puhelinnumerosta. Numero on suurella todennäköisyydellä väärennetty. Lisäksi selaimeen aukeava sivu ei ole posti.fi, vaan jotain muuta. Nämä saattavat jäädä kiireessä helposti huomaamatta.
Kyseessä ei ole ensimmäinen kerta, kun huijausviesteissä tarjotaan puhelimiin ladattavia haitakkeita. Vastaavia huijauskampanjoita nähtiin Postin nimissä myös viime vuoden touko- ja syyskuussa.
-
Lue lisää: Suomalaisille sataa petollisia tekstareita – huijaus iskee eri puhelimiin eri tavalla
-
Lue lisää: Suomalaisille sataa hurjasti huijaustekstareita – varo näitä viestejä