maanantai 25. elokuuta 2014

Tiedonkalastelu tyhjentää Gmailin (ja puhelimen) kontaktit

Kuukausi sitten sain tutulta henkilöltä sähköpostin, joka neuvoi avaamaan hänen netissä jakamansa työtiedoston:

Huijausviesti sähköpostissa.
Pikaisesti katsoen viesti näyttää uskottavalta, sillä teksti on melkein virheetöntä suomea. Siinä on toki kummallisia kohtia, mutta nykyään ihmiset kirjoittavat kiireessä eivätkä aina vaivaudu edes korjaamaan selkeitä virheitä.

Petollisinta on, että viesti tulee tutulta lähettäjältä. On täysin mahdollista, että hän oikeasti jakaisi asiakirjan kanssani ja lähettäisi siitä linkin sähköpostilla. Viestin otsikko on englantia (Access Document), mutta ehkä jakava palvelu on tuottanut sen automaattisesti?

Kiireistä tai huolimatonta uhria on helppo huijata. Jos jaksaa lukea tekstin kokonaan, sen pienet epäilyttävät merkit kasaantuvat. Vähintäänkin pitäisi osoittaa hiirellä linkkiä ja ennen klikkaamista tarkistaa, mihin osoitteeseen se viittaa. Yleensäkin on vaarallista klikata sähköpostissa olevia linkkejä, tulivat ne keneltä tahansa.

Tässä tapauksessa linkin päällä lepäävä hiiri paljastaa heti, että viestissä on koira haudattuna:

Linkkiosoite paljastaa huijauksen.
Itse en mennyt halpaan, mutta tuttavani oli mennyt. Linkin takana oli kalastelusivusto, jolla urkittiin uhrin Gmail-tunnukset. Sen jälkeen huijaus alkoi levittää itseään uusille vastaanottajille.

Sähköpostin salasana on nykyään erittäin kriittinen tieto, koska sen kautta pääsee käsiksi moniin muihin palveluihin. Riittää, että teeskentelee unohtaneensa oman salasanan, jolloin palvelu lähettää uuden sähköpostiin. Mikäli sähköposti on kaapattu, tekijät saavat itselleen myös uhrin muut palvelut -- pahimmassa tapauksessa koko digitaalisen identiteetin. Jos huijarit vaihtavat salasanan toiseksi, oikea käyttäjä ei enää pääse omiin palveluihinsa.

Tuttavan menettely voi kuulostaa typerältä, mutta hän oli lukenut viestin älypuhelimestaan, josta vaaroja on vaikeampi havaita. Esimerkiksi iPhonessa viesti näyttää tältä:

Kalasteluviesti iPhonessa.
Vaikka älypuhelimet ovat (median ja turvayhtiöiden pelottelusta huolimatta) erittäin turvallisia, tiedonkalastelua ne eivät pysty estämään.

Tuttavalla oli toinenkin syy huolimattomuuteen: hän oli juuri lähdössä ulkomaille, mutta avasi viestin uskoessaan, että kyse oli kiireellisestä asiasta.

On varsin ikävä tunne huomata tulleensa huijauksi juuri, kun on poistumassa maasta. Ulkomailta tilanteen selvittäminen, omien kaverien varoittaminen ja tilin saaminen takaisin omaan hallintaan on monin verroin hankalampaa kuin kotimaasta.

Kauhukseen tuttava huomasi, että huijari oli salasanan saatuaan tyhjentänyt Gmailissa olevan osoitekirjan, joka synkronoitui puhelimeen ja tyhjensi myös sen. Kuinka moni enää muistaa ulkoa puhelinnumeroita? Kenelle voin soittaa, jos puhelimen lista näyttää tyhjää?

Kaikeksi onneksi hän pääsi yhä tililleen, pystyi vaihtamaan salasanansa ja sen jälkeen palauttamaan Gmailin osoitekirjasta aiemman version.

Gmailin yhteystietojen palautus voi pelastaa päivän.
Viisasta kyllä, Gmail säilyttää yhteystietojen aiemmat versiot, joten oman mokan tai huijatuksi tulon jälkeen tilanne on vielä pelastettavissa.

Vanha hyvä neuvo pätee tässäkin: Don't panic.

Ja toinen hyvä neuvo: Älä klikkaa sähköpostissa tulevia linkkejä, vaikka luulisitkin olevasi turvassa älypuhelimen takana.

3 kommenttia:

Petri Honganmäki kirjoitti...

Itse olen turvautunut perinteiseen kynään ja paperiin. On pieni vaiva kirjottaa esim. yhteystiedot pieneen vihkoon.

Eikä tuollainen vihko juuri mitään maksa eikä tilaakaan vie - ja mikä tärkeintä --> "se vain toimii" :)

neko kirjoitti...

Gmailissa on jo pitkään toiminut kaksivaiheinen kirjautuminen, joten salasanan vuotaminen ei vielä tarvitse merkitä mitään. Tietysti ko. toiminto on itse otettava käyttöön.

Lisää tietoa: Tietoja kaksivaiheisesta vahvistuksesta

Jouni Laurila kirjoitti...

Niin.

Onko niin että kaksoiskirjautuminen estäisi tämänkin.

Satuin katsomaan JP Morganin vuotoon liittyvän videon Bloombergilla. Siinä lopussa oli mainio kommentti.
Yritysten tietoturva on toisenlaista. Tavallinen käyttäjä kaksoiskirjautumisen kanssa on paremmassa suojassa.

Onko todella näin?

Website Security Test