Tietojen kalasteluun perustuvat tietoturvaloukkaukset

Tietojen kalastelusta aiheutuvat tietoturvaloukkaukset ovat yhä yleisempiä. Pääosa tietojen kalastelua koskevista ilmoituksista liittyy Office 365 -tunnusten ja salasanojen joutumiseen hyökkääjien haltuun.

Näin kalastelu etenee

Tunnuksia kalastellaan sähköpostilla ja erilaisilla kalastelusivustoilla (Phishing Kit). Phishing Kit on pieni www-sivupaketti, jonka hyökkääjä on laittanut hakkeroituun www-palvelimeen. Paketti tarkastaa annetun käyttäjätunnuksen ja salasanan oikeellisuuden kirjautumalla pilvipalveluun, kuten Office 365:een ja sen jälkeen lähettää toimivat tunnukset ja salasanat hyökkääjälle.

Kalastelusivustoja on luotu lähes kaikille pilvialustoille (Office 365, Dropbox, Google, Facebook, Instagram). Organisaatioihin kohdistuvissa hyökkäyksissä kyseessä ovat yleensä Office 365- tai Google-sivustot, yksityishenkilöihin kohdistuvissa hyökkäyksissä voidaan käyttää myös esimerkiksi sosiaalisen median kalastelusivustoja.

Kalastelu etenee siten, että henkilön postilaatikkoon tulee sähköposti yleensä luotetulta taholta, esimerkiksi oman organisaation sisältä tai muusta tutusta organisaatiosta. Viesti näyttää aidolta ja sen sisältönä on tyypillisesti joko turvapostilinkki tai tiedoston jakolinkki. Tämä linkki ohjautuu esimerkiksi oikeaan OneDrive/Sharepoint-tiedostoon, jossa pyydetään avaamaan asiakirja. Avaamisen yhteydessä käyttäjä ohjataan linkin avulla aidolta näyttävälle Office 365 -kirjautumissivulle. Hyökkääjän tavoitteena on saada viestin vastaanottaja syöttämään tunnuksensa tälle sivulle, jolloin ne välittyvät samalla hyökkääjän käyttöön.

Kun hyökkääjä saa tunnuksen ja salasanan, kalastelu etenee tavallisesti näin:

  • Hyökkääjä kirjautuu saamallaan tunnuksella Office 365:een. Kirjautuminen voi tapahtua välittömästi tunnusten saamisen jälkeen tai muutaman päivän kuluttua tästä.
    • Hän avaa postin, jolloin tilin posti synkronoituu hyökkääjälle.
    • Hän ohjaa tilin sähköpostin lähettämään sinne tulevat viestit omaan postiinsa tai luo muita sääntöjä.
    • Hän lataa itselleen yrityksen koko yhteystietoluettelon.
    • Hän avaa tai linkittää OneDriven niin, että sinne tallennetut tiedostot päätyvät myös hyökkääjän haltuun.
    • Hän avaa Skypen, tarkastaa tietoja, keskusteluja tai lataa yhteystietoja.
  • Jos tunnukset ovat pitkään hyökkääjän käytössä tai niihin liittyy erityistä mielenkiintoa, ne luultavasti myydään eteenpäin. Tavallista on, että tunnuksilla kirjaudutaan yrityksen tilille useasta eri maasta, usein EU:n ulkopuolelta.
  • Hyökkääjä aloittaa postituskampanjan yrityksestä saamillaan yhteystiedoilla. Näin kalastellaan uusia tunnuksia.
  • Hyökkäys ja menetetty tunnus havaitaan tyypillisesti vasta siinä vaiheessa, kun yritys saa varoituksen roskapostista tai kun sen yhteystietolistalle kuuluva toinen yritys huomauttaa sille tulevista kalasteluviesteistä.

Yrityksen osoitusvelvollisuus ja muut vastuut

Usein yrityksillä on vaikeaa näyttää toteen, mitä henkilötietoja hyökkääjä on saanut haltuunsa. Koska hyökkääjällä on samat oikeudet Office 365 -tilille kuin tilin haltijalla, hänellä on mahdollisuus saada kaikki se tieto, mikä tilin omistajallakin on. Käytännössä tämä tarkoittaa käyttäjän postilaatikoiden sisältöä, yrityksen koko osoitekirjaa sekä OneDriven sisältöjä. Lisäksi hyökkääjällä on mahdollisuus kirjautua muihin yrityksen tietojärjestelmiin, joihin on pääsy Office 365:n tai internetin kautta, esimerkiksi Sharepoint-palveluihin.

EU:n tietosuoja-asetuksen 5 artikla toteaa rekisterinpitäjän osoitusvelvollisuudesta muun muassa seuraavaa: ”henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”)”.

Yrityksen pitää siis pystyä osoittamaan mitä tietoa hyökkääjä on saanut ja poissulkemaan ne tiedot, jotka eivät ole voineet joutua hyökkäyksessä vääriin käsiin. Usein unohdetaan, että hyökkääjä on rikollinen, joka kerää tietoa ja pyrkii muuttamaan kerätyn tiedon rahaksi. On hyvin todennäköistä, että kaikki tieto, johon hyökkääjä pääsee käsiksi, kerätään talteen mahdollista jatkokäyttöä varten. Lisäksi on mahdollista, että saaduilla tiedoilla pyritään tekemään muuta haittaa, esimerkiksi yksittäisiin henkilöihin kohdistuvaa kiristystä tai petoksen yrityksiä.

Näyttää myös siltä, että varsinaiset laskutushuijaukset kohdistuvat organisaatioissa laskuja käsitteleviin henkilöihin. Huijauslaskuja ei siis lähetetä kaikille, eikä niitä välttämättä lähetetä lainkaan Office 365 -kalastelun aikana.

Yritysten tulisikin näiltä osin kehittää kirjautumista pilvipalveluihin, näiden palveluiden valvontaa ja lokitusominaisuuksien hyödyntämistä. Lisäksi on syytä harkita, välitetäänkö ja säilytetäänkö sähköpostissa henkilötietoa sisältäviä dokumentteja, kuten ansioluetteloita, sairaslomatodistuksia, työsopimuksia, passin kopioita tai yksityiskohtaista tietoa asiakkaista.

Lisätietoja suojautumisesta: https://docs.microsoft.com/en-us/office365/securitycompliance/responding-to-a-compromised-email-account

Riskin arviointi

Tietoturvaloukkausten riskien arviointi henkilötietojen osalta on haasteellista. Arvioinnissa pitää muistaa, että henkilöön kohdistuvat riskit eivät ole liiketoimintariskejä. Niiden vakavuus voi myös vaihdella esimerkiksi sen perusteella, miten hyvin yksittäinen henkilö on varautunut mahdolliseen kalasteluun ja miten hyvin hän itse pystyy selvittämään, onko saapunut viesti aito vai huijaus.

Toisaalta pitää muistaa, että henkilötiedot eivät juuri muutu ajan kuluessa. Tänään kalastelussa menetetty tieto voi olla käyttökelpoinen vuosienkin päästä. Myös tieto yhdistettynä aiempaan tietoon voi lisätä riskiä.

EU:n tietosuoja-asetuksen mukaan rekisteröidyille tulee ilmoittaa, jos heidän oikeuksilleen ja vapauksilleen aiheutuu tietoturvaloukkauksesta todennäköisesti korkeaa riskiä. Tällaisia korkeita riskejä ovat

  • fyysiset, aineelliset tai aineettomat vahingot
  • omien henkilötietojen valvomiskyvyn menettäminen
  • oikeuksien rajoittaminen
  • syrjintä
  • identiteettivarkaus
  • petos
  • taloudellisia menetyksiä
  • pseudonymisoitumisen luvaton kumoutuminen
  • maineen vahingoittuminen
  • salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys
  • muu merkittävä taloudellinen tai sosiaalinen vahinko.

Rekisteröidyille ilmoitetaan tietoturvaloukkauksesta, jotta loukkauksen kohteeksi joutunut voi toteuttaa tarvittavia varotoimia ja varautua riskeihin, joita tietoturvaloukkaus hänelle aiheuttaa. Rekisteröidylle tehtävässä ilmoituksessa tulee kuvata tietoturvaloukkauksen luonne ja suositus siitä, miten henkilö voi lieventää tietoturvaloukkauksen aiheuttamia haittavaikutuksia. Yrityksen kannattaa jo etukäteen miettiä, minkälaisia riskejä yrityksessä tehtävä henkilötietojen käsittely voi rekisteröidylle aiheuttaa ja millaisia ohjeita ja suosituksia voisi antaa mahdollisen tietoturvaloukkauksen haittavaikutusten lieventämiseksi. Nämä tiedot kannattaa lisätä esimerkiksi toipumissuunnitelmaan jo ainakin osittain valmiiksi.