Lähes tuhannen Oulun yliopiston opiskelijan ja henkilökunnan jäsenen salasana on joutunut väärin käsiin laajassa huijausviestikampanjassa.
Keskiviikkona aamuyöllä lähetettyjen kalasteluviestien ajoitus oli otollinen, sillä uudet opiskelijat ovat juuri aloittaneet. Lisäksi ainakin jotkut vanhemmat opiskelijat olivat saaneet yliopistolta muistutuksen salasanan vanhenemisesta.
Heti heräämisen jälkeinen aika on otollinen hetki narahtaa huijauksiin.
Lue lisää: ”Löysin kotitieltäsi avaimet, otin niistä valokuvan”– näinä hetkinä lankeat helpoimmin huijaukseen
IS:ään yhteydessä ollut opiskelija kertoi saaneensa yliopistolta automatisoidun kehotuksen vaihtaa salasana muutama päivä ennen kalastelua. Ajalliset yhteensattumat lisäävät todennäköisyyttä narahtaa huijaukseen. Kyseinen opiskelija ei luovuttanut salasanaansa.
Kalasteluviestissä oli linkki, joka ohjasi vastaanottajan ”vaihtamaan salasanansa”. Todellisuudessa verkkosivu välitti salasanan kalastelijoille.
Oulun yliopiston tietoturvapäällikkö Kaarlo Määtän mukaan kalasteluviestejä lähetettiin todennäköisesti tuhansia. Salasanansa kalastelijoille luovutti 700–800 opiskelijaa. Henkilökunta mukaan laskettuna käyttäjätunnus/salasanapareja päätyi vääriin käsiin tämän hetken tietojen mukaan noin 900.
Määttä sanoo yliopiston reagoineen tilanteeseen nopeasti lukitsemalla vääriin käsiin joutuneita käyttäjätunnuksia ja aloittamalla asiasta tiedottamisen ja ohjeistamisen.
Tietohallinto pystyi yksilöimään tunnuksensa luovuttaneet ja lähestymään näitä suoraan. Lukittujen tilien omistajien on kirjauduttava sisään suomi.fi-palvelun vahvan tunnistautumisen kautta.
Tietoa esimerkiksi opintorekisterien puolella tehdyistä väärinkäytöksistä ei ole. Määtän mukaan kaapattuja tunnuksia on käytetty etupäässä sähköpostilistoilla tehtyihin uusiin hyökkäyksiin.
– Niitä on hyödynnetty kalasteluviestien lähettämiseen, Määttä sanoo.
Kalasteluviestejä lähetettiin aamuyöstä, ja ne olivat yliopistoväen luettavissa aamulla.
Yliopisto harkitsee parhaillaan rikosilmoituksen tekemistä.
Määttä sanoo yliopiston varoittavan opiskelijoita ja henkilökuntaa säännöllisesti tietojenkalastelusta.
Opiskelijoilta ei ole vielä edellytetty sisäänkirjautumisen kaksivaiheista tunnistusta, joka olisi estänyt tunkeutumiset. Siinä sisäänkirjautuminen on vahvistettava salasanan antamisen jälkeen toista kanavaa myöten, esimerkiksi puhelimella.
Määtän mukaan kaksivaiheista tunnistusta ollaan tuomassa myös opiskelijoille pakolliseksi. Hanketta nopeutetaan tietoturvaloukkauksen vuoksi.
Vaikka kalastelua tapahtuu jatkuvasti, näin onnistunutta kampanjaa Määttä ei sano yliopistolla aiemmin nähdyn.
Opiskelijoille lähetetyn tiedotteen sanamuoto voidaan tulkita rikoksen uhrin syyllistämiseksi.
Ainakin yhdessä opiskelijoille lähetetyssä tiedotteessa yliopisto on muotoillut tekstin muotoon: ”Jos salasanasi ei nyt kelpaa yliopiston palveluihin, kuulut siihen joukkoon, joiden salasana on joutunut vääriin käsiin johtuen omasta toiminnastasi.”
Muotoilua voidaan pitää tietoturvaloukkauksen uhrin syyllistämisenä.
– Näin jälkikäteen voidaan todeta, että kiireellisessä tilanteessa yliopiston opiskelijoille lähetetyn viestin sisällön muotoilua olisi pitänyt harkita tarkemmin. Tietoturvaloukkaus on tietenkin aina tekijän syy. Valitettavasti ne ovat niin yleisiä, että jokaisen valppautta tarvitaan paljon, Määttä sanoo.