Mikko Hyppönen: Unohda nämä kaksi turvasääntöä

Julkaistu:

Tietoturva
Tietoturvagurun mukaan verkkorikolliset ovat keksineet uusia kalastelukeinoja, joiden välttämiseen perinteiset neuvot eivät riitä.
F-Securen tietoturvajohtaja Mikko Hyppönen haluaa kumota yleisen uskomuksen siitä, että kalastelun tai nettihuijauksen uhriksi joutuneet ihmiset olisivat tyhmiä tai tapahtunut olisi heidän omaa vikaansa.

– Näissä tilanteissa usein kysytään, että ”kuinka tyhmä sinun täytyy olla, kun menit tuollaiseen huijaukseen?” Käyttäjän syyttäminen on kuitenkin aivan väärä reaktio, Hyppönen sanoi puhuessaan tiistaina Helsingissä kansanväliselle toimittajajoukolle.
Tutkimusjohtajan mukaan kyse ei ole ihmisten tyhmyydestä vaan siitä, että verkkorikolliset kehittelevät koko ajan uusia tapoja ihmisten harhauttamiseen. Kun ihmiset eivät niitä tunne, on heitä turha syyttää tyhmyydestä.

Hyppösen mukaan verkkokonnien keksimät uudet keinot ovat tehneet kahdesta klassisesta turvallisen verkkosivuston tunnusmerkistä vanhentuneita. Nämä ovat osoiterivillä oleva lukon kuva sekä osoiterivillä näkyvä turvallisena pidetty nettiosoite. Ihmisiä on vuosikausia kehotettu nimenomaan kiinnittämään huomio niihin.

– Nämä säännöt eivät enää päde, Hyppönen sanoo.


Hyppönen nostaa esimerkiksi Microsoftin Office-käyttäjien tekemät nettilomakkeet, jotka julkaistaan office.com-osoitteen alla. Siellä on mahdollista julkaista esimerkiksi lomake, joka on naamioitu Onedrive-palvelun sisäänkirjautumisnäkymäksi.

– Käyttäjä ajattelee ahaa, lukko. Siis turvallinen. Valistunut käyttäjä tietää myös, että office.com-osoite kuuluu Microsoftille. Siis turvallinen. Ei ole, Hyppönen sanoo.

Maailmalla on nähty tapauksia, joissa kalastelulomakkeisiin annetuilla tunnuksilla kirjaudutaan automatisoidusti heti sisään Onedriveen. Tämä mahdollistaa myös kaksivaiheisen tunnistuksen ohittamisen. Tunnuksen omistaja saa tekstiviestinä tai tunnistussovellukseensa ilmoituksen sisäänkirjautumisesta, ja vahvistaa kirjautumisen luullessaan sitä omakseen.

– Tällaiselta kalastelulta ei voi suojautua, ellei siitä ole tietoa. Sen vuoksi paras tapa lisätä tietoturvaa on käyttäjien valistaminen. Kuka tahansa voi tehdä tällaisen lomakkeen, Hyppönen sanoo.

Saatuaan esimerkiksi Office-tunnukset haltuunsa valistuneet verkkorikolliset osaavat jäädä seuraamaan sähköpostikirjeenvaihtoa ja iskeä oikealla hetkellä.

Hyppösen mukaan näin kävi hiljattain Englannissa yrityskaupan yhteydessä. Isompi kiinteistönvälitystoimisto osti kilpailijansa, ja verkkorikolliset seurasivat hiljaa viestinvaihtoa. Kun maksun aika koitti, konnat lähettivät ostajalle väärillä maksutiedoilla varustetun viestin. Ostaja siirsi rahat rikollisille.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt