Rikolliset ovat verkossa siellä missä ihmisetkin viettävät aikaansa, ja kyberturvallisuusasiantuntijat varoittavat yhä monipuolisemmista ja ovelammista hyökkäysmetodeista. Uusimmat havainnot kertovat, että haittaohjelmia levitetään yhä enemmän suosituilla viestialustoilla kuten Discordissa, missä rikolliset käyttävät hyväkseen käyttäjien luottamusta ja tuttuja yhteyksiä levittääkseen haitallista sisältöä. Samalla Microsoft 365 -tilien tilikaappaukset ovat yhä merkittävässä roolissa organisaatioiden tietoturvauhkana.
Kyberturvallisuus on noussut keskeiseksi osaksi arkea sekä yksityishenkilöille että yrityksille. Verkon vaarat eivät enää rajoitu sähköpostin kautta tuleviin huijauksiin, vaan uusi hyökkäyspinta-ala ulottuu sosiaalisen median ja ryhmäviestipalveluiden kautta välitettyihin viesteihin ja tiedostoihin. Kyberturvallisuuskeskukset ympäri maailman korostavat valppautta ja hyviä käytäntöjä, sillä rikolliset pyrkivät yhä enemmän hyödyntämään ihmisten luottamusta tuttuun ympäristöön.
Discord suosittu mutta riskialtis
Discord on alun perin peliyhteisöille suunnattu viestintä- ja ryhmäpalvelu, mutta sen suosio on kasvanut myös monien muiden ryhmien ja yhteisöjen keskuudessa. Palvelun helppo käyttöliittymä ja laaja levinneisyys tekevät siitä houkuttelevan kohteen myös verkkorikollisille.
Tietoturvatutkimukset ovat paljastaneet erilaisia tapoja, joilla rikolliset voivat käyttää Discordia haittaohjelmien ja tietojenkalastelun levittämiseen. Yksi esimerkki on hyökkäys, jossa rikolliset kaappaavat vanhentuneita tai poistetuksi tarkoitettuja Discord-kutsulinkkejä ja ohjaavat käyttäjiä näin palvelimille, jotka näyttävät alkuperäisiltä mutta ovat kilpailijoidensa hallussa. Kun uhri klikkaa linkkiä ja suorittaa kehotetut toimenpiteet, haittaohjelma saattaa ladata esimerkiksi AsyncRAT-etähallintatyökalun tai tunnusten varastajan, joka voi kaapata käyttäjän salasanoja tai kryptovaluutan lompakoita.
Discordissa toimivien haitallisten viestien tunnistaminen voi olla vaikeaa. Usein ne tulevat tutun näköisestä lähteestä, koska hyökkääjä on saanut haltuunsa jonkun toisen tilin ja lähettää viestejä tämän nimissä. Tällaiset viestit voivat sisältää linkkejä tai liitetiedostoja, jotka näyttävät harmittomilta mutta sisältävät haitallista koodia.
Miten haittaohjelmat leviävät
Haittaohjelmien leviäminen Discordissa tapahtuu monin eri tavoin. Rikolliset voivat lähettää linkkejä, jotka ohjaavat käyttäjän ulkopuoliselle sivustolle, jossa ladataan haittaohjelmia. Toisaalta liitetiedostot voivat sisältää suoraan haitallista koodia, joka aktivoituu kun tiedosto avataan. Tällaisten hyökkäysten taktiikat ja sisältö muuttuvat jatkuvasti entistä monimutkaisemmiksi ja vaikeammin tunnistettaviksi turvallisuusohjelmistoilla.
Rikolliset hyödyntävät myös sitä, että Discord on monille käyttäjille tuttu ja turvallinen palvelu. Kun haittaohjelma tulee viestissä, joka näyttää tulevan luotettavalta taholta – esimerkiksi vanhalta tutulta tai ryhmän ylläpitäjältä – uhrin voi olla vaikea epäillä viestin olevan vaarallinen.
Miksi M365-tilit ovat kohteena
Microsoft 365 -tilit ovat suosittuja työpaikkojen ja organisaatioiden keskuudessa, ja siksi ne kiinnostavat myös verkkorikollisia. Kun rikollinen saa haltuunsa M365-tilin tunnukset, hän voi käyttää niitä monin tavoin oman hyökkäyksensä edistämiseksi. Kaapatut tilit voivat toimia lähtöpisteenä laajemmalle tietojenkalastelulle, laskutuspetoksille tai muulle haitalliselle toiminnalle.
Traficomin Kyberturvallisuuskeskuksen ja muiden kansainvälisten tahojen mukaan M365-tilien kaappauksia koskevat ilmoitukset ovat lisääntyneet ja ne ovat edelleen merkittävä uhka organisaatioille, jotka eivät käytä riittäviä suojausmenetelmiä. Pitkälle kehittyneet tietojenkalastelukampanjat voivat saada uhrin antamaan tunnustietonsa vaarallisille sivustoille, minkä jälkeen hyökkääjä pääsee käsiksi tilin sisältöön ja valtuuksiin.
Organisaatiot, jotka eivät ole ottaneet käyttöön esimerkiksi ehdollista käyttöoikeuksien hallintaa tai kaksivaiheista tunnistautumista, ovat erityisen alttiita tällaisille hyökkäyksille. ■
Paras suojaus on ennakointi
Tietoturva-asiantuntijat korostavat ennakoinnin merkitystä kyberturvallisuudessa. Käyttäjän tulee aina miettiä, mistä viestit tulevat ja mitä toimenpiteitä viestissä suositellaan tehtäväksi. Laitteiden ohjelmistot ja käyttöjärjestelmät tulee pitää ajan tasalla hyökkäysten ja haavoittuvuuksien minimoimiseksi. Lisäksi asianmukaiset virustorjunta- ja haittaohjelmien torjuntaohjelmistot ovat perusta, jonka varaan turvallinen netin käyttö on rakennettu.
Jos haittaohjelma pääsee silti asentumaan järjestelmään, koneen irrottaminen verkosta, haittaohjelman poisto ja kaikkien salasanojen vaihtaminen ovat tärkeitä toimenpiteitä. Organisaatioiden tulisi myös tehdä rikosilmoitus sekä ilmoittaa Kyberturvallisuuskeskukselle kaikista tunnistetuista tietomurroista tai yrityksistä.
Suositukset turvalliseen netinkäyttöön
Kyberturvallisuuskeskus tarjoaa ohjeita siitä, miten haitallisia viestejä ja tilikaappauksia voi ennaltaehkäistä. Salasanattomat tunnistautumismenetelmät, ehdollinen pääsynhallinta ja monivaiheinen tunnistus tekijöiden käyttö voivat merkittävästi lisätä organisaatioiden suojaa. Varautuminen on tärkeää, koska rikolliset eivät katoa, vaan heidän menetelmänsä kehittyvät jatkuvasti sitä mukaan kuin puolustusratkaisuja parannetaan.
Tärkeitä suojausvinkkejä
- Pidä ohjelmistot ja käyttöjärjestelmät aina ajan tasalla.
- Käytä monivaiheista tunnistautumista (MFA) aina kun mahdollista.
- Ole varovainen avattaessa liitetiedostoja tai linkkejä tuntemattomista lähteistä.
- Ota käyttöön ehdollinen käyttöoikeuksien hallinta organisaation tileissä.
- Kouluta henkilöstöä tunnistamaan tietojenkalasteluyritykset ja huijausviestit.