Suomalaissivustot maailman neljänneksi saastuneimpia – "Syytä olettaa, että rikollisille on maksettu"

Suomessa lunnas- ja kiristyshaittaohjelmat ovat yleistyneet aggressiivisesti erityisesti kuluneen syksyn aikana. Tietoturvayhtiö Trend Micron tuoreen arvion mukaan saastuneilla suomalaisilla www-sivustoilla oli elo- ja syyskuussa yli 4 miljoonaa vierailua. Heinäkuussa vierailuja oli vain noin 70 000.”

Koko maailman mittakaavassa Suomi loikkasi parissa kuukaudessa jaetulle neljännelle tilalle Yhdysvaltain, Venäjän ja Kiinan jälkeen. Suomen kanssa samassa suuruusluokassa ovat nyt Etelä-Korea, Hollanti, Britannia ja Saksa.

Vinkkejä lunnasohjelmatartunnan välttämiseksi:

• Pidä mielessä, että joku voi yrittää manipuloida sinua ja murtautua kauttasi koneellesi tai verkkoosi.

• Vältä sähköpostiliitteiden avaamista, jos et odota saavasi juuri kyseistä liitettä.

• Vältä sähköposteissa olevien linkkien avaamista, ellet tiedä odottaa sähköpostia ja siinä olevaa linkkiä.

• Jos et ole varma, sulje selain ja siirry sivulle selaimen suosikkien tai kirjanmerkkien kautta.

• Ole varovainen kuvavarmennusten kanssa.

• Jos siirryt verkkosivulle saamasi sähköpostin linkkiä klikkaamalla, vältä kuvavarmennuskentän täyttämistä.

• Jos sivu on sinusta epäilyttävä, sulje selain ja siirry sivulle selaimen suosikkien tai kirjanmerkkien kautta.

Vinkkejä erityisesti tietohallinnolle

• Käytä nettisivujen mainetietopalveluja (mukana useissa haittaohjelmien torjuntaratkaisuissa).

• Mainepalvelu estää huonot linkit roskaposteissa ja saapumissivuilla.

• Varmista, että tietokoneen ohjelmat ja käyttäjät käyttävät mahdollisimman alhaisen tason käyttöoikeuksia tehtäviensä hoitamiseen.

• Ota AutoPlay pois käytöstä, jotta voit välttää suoritettavien tiedostojen automaattisen käynnistämisen verkkolevyillä tai siirrettävillä asemilla.

• Ota tiedostojen jakaminen pois käytöstä, jos sitä ei tarvita. Jos sitä tarvitaan, käytä pääsylistoja ja salasanasuojausta käyttöoikeuksien rajaamiseksi.

• Estä jaettujen kansioiden anonyymi käyttö. Anna käyttöoikeudet vain vahvoja salasanoja käyttäville käyttäjille ja vain kansioihin, jota on pakko jakaa.

• Perusneuvot tietohallinnolle

• Valista loppukäyttäjiä vaaroista ja niiden välttämisestä.

• Pakota kaikki käyttämään vahvoja salasanoja.

• Aja kaikki tietoturvapäivitykset ja -korjaukset kaikkiin sovelluksiin sekä käyttöjärjestelmiin.

Kun lunnasohjelma on jo päässyt koneelle

• Eristä kone välittömästi verkosta.

• Rajoita ainakin väliaikaisesti kirjoitusoikeuksia jaettuihin kansioihin.

• Ota heti yhteyttä tietoturvavastaavaan.

Kehittyneitä ja ammattimaisesti levitettyjä lunnasohjelmia vastaan ei ole olemassa mitään patenttilääkettä mutta kerroksellinen tietoturva voi auttaa, jos käytössä on seuraavien sisältöjen seulonta oikein konfiguroituina:

• IP-mainetiedot

• Roskapostisisällöt

• Linkit roskaposteissa

• Saapumissivut

• Haittaohjelmien havainta

• Komento- ja kontrolliliikenteen havainta

• Lisäksi käytössä on myös oltava varmistusratkaisu.

Trend Micron maajohtaja Kimmo Vesajoki kertoo, että rikolliset levittävät haittaohjelmia esimerkiksi sähköpostien liitetiedostoissa tai saastuneiden www-sivujen kautta, joille uhrit ohjataan sähköpostilinkkien kautta.

– Koneelle asentuu niiden kautta kiristyshaittaohjelma, joka alkaa kaikessa hiljaisuudessa salata käyttäjän tiedostoja. Pian niitä ei saa auki muuten kuin maksamalla kiristäjille lunnaat.

Vesajoki tähdentää, että kiristyshaittaohjelmilta suojautuminen on vaikeaa. Ensisijaisen tärkeää on käyttäjien valppaus.

– Jos ei odota sähköpostia, jossa on mukana linkki tai liitetiedosto, sitä ei pidä avata. Toisaalta jos linkissä näyttää olevan jotain epäselvää, esimerkiksi outo kirjoitusvirhe, joku on voinut kaapata ja kloonata webbisivun käyttää sitä nyt kiristyshaittaohjelman levittämiseen.

”Rikolliset saavat Suomesta haluamansa”

Miksi Suomi on sitten muuttunut yhtä äkkiä niin houkuttavaksi kohteeksi verkkorikollisten silmissä? Vesajoki arvioi, että Suomessa rikolliset ovat saaneet haluamansa – ja hamuavat siksi lisää.

– Verkkorikolliset tekevät sitä, mikä heidän kannaltaan toimii. Kiristysohjelmahyökkäykset ovat siis olleet menestyksekkäitä Suomessa. Eli on syytä olettaa, että verkkorikollisille on maksettu lunnaita.

Siitä, miten paljon suomalaiset ovat maksaneet kiristysfirmoille, ei ole Vesajoen mukaan virallista tietoa.

Rikollisilla on Vesajoen mukaan ”nerokas ansaintalogiikka”.

– Lunnaiden määrä on nettivaluutassa yleensä 1 bitcoin, jonka arvo on reilut 300 euroa. Eli summa ei ole niin suuri, että se tuntuisi missään varsinkaan yritysasiakkailla. Monesti he ajattelevat, että kun summan maksaa, ei mene turhaa aikaa vahinkojen korjaamiseen ja tiedostojen palauttamiseen esimerkiksi tallennus- ja varmennusratkaisuista.

– Jos maksu olisi muutaman tonnin tai kymppitonnin luokkaa, lunnaan maksamiseen olisi huomattavasti korkeampi kynnys.

Vesajoen mukaan rikollisten toiminta perustuu myös kohteiden laajaan otantaan.

– Verkkorikolliset ampuvat kohteita haulikolla sen tarkemmin niitä valikoimatta. Esimerkiksi sellaisia sähköpostiviestejä, joissa on linkkejä saastuneille webbisivuille, lähetetään paljon. Rahallisesti mitattuna suurimmat tappiot tulevat yrityksille.

– Keskustelen työkseni erilaisten yritysten edustajien kanssa, on enemmän sääntö kuin poikkeus, että lunnasohjelmia on yritysympäristöissä nähty. Vesajoki kannustaa yksityisiä ja kansalaisia parantamaan päätelaitteidensa tietoturvaa.

– Voidaan esimerkiksi rajoittaa päätelaitteille asennettavia ohjelmia niin, että sallitaan esimerkiksi vain mainetiedoiltaan puhtaat ja hyväksi todetut ohjelmat. Toisaalta päätelaitteille käynnistyviä prosesseja voidaan seurata erilaisilla ohjelmistoratkaisuilla. Jos jokin prosessi viittaa luvattomaan tietojen salaukseen, sen toiminta voidaan estää.

– Kyseiset tietoturvakomponentit ovat tietysti maksullisia ja voivat olla erityisesti kotikäyttäjälle vaikeita ottaa käyttöön.

Vesajoen mukaan lunnaiden maksuun ei pidä sortua.

– Meidän viestimme on, että lunnaita ei pidä maksaa koskaan. Se vain pahentaa epidemiaa.

Juttua korjattu 3.12.2015 kello 15.20 saastuneiden sivujen vierailumäärän osalta. Alun perin jutussa luki:  "Tietoturvayhtiö Trend Micron tuoreen arvion mukaan suomalaisten www-sivujen osoitteista oli elo- ja syyskuussa saastunut yli 4 miljoonaa. Heinäkuussa saastuneita oli vain noin 70 000", tämä korjattu muotoon: "Tietoturvayhtiö Trend Micron tuoreen arvion mukaan saastuneilla suomalaisilla www-sivustoilla oli elo- ja syyskuussa yli 4 miljoonaa vierailua. Heinäkuussa vierailuja oli vain noin 70 000."