On olemassa kohtuullisen turvallinen tapa avata pdf-tiedostot.

Sähköpostien tai pikaviestien liitetiedostot ovat yleisimpiä tapoja toteuttaa verkkohyökkäys. Tiedostotyyppejä on moneen lähtöön, ja toiset niistä ovat käytännössä vaarallisempia kuin toiset.

Murtautujat ovat käyttäneet vuosikausia Microsoftin 365-, tuttavallisemmin Office -tiedostoja, kuten Word-asiakirjoja (.doc), Excel-taulukoita (.xls) ja PowerPoint-esityksiä (.ppt) haittaohjelmien levittämiseen. Microsoft on kuitenkin muuttanut niiden turvakäytäntöjä siten, että asiakirjoihin koodatut ohjelmat, makrot, eivät käynnisty automaattisesti. Makrojen tehtävä on automatisoida toimintoja ja luoda pienohjelmia asiakirjojen sisään, mutta niillä voi koodata myös haittaohjelmia.

– Office-tiedostoista on tosiaan nykyään oletusarvoisesti makrojen automaattinen ajaminen laitettu pois päältä, mikä tekee niistä käyttäjälle turvallisempia. Tästä huolimatta näemme silti jatkuvasti, että Office-tiedostoja vähintään yritetään käyttää apuna haittaohjelmien levittämisessä, kertoo valkohattuhakkeri ja tietoturvayhtiö F-Securen kyberuhkatiedustelupäällikkö Laura Kankaala.

Sähköpostitse tulevat tai netistä ladatut Office- tai Microsoft 365 -tiedostot avataan turvallisesti suojatussa näkymässä. Jos käyttäjä harhautetaan ottamaan muokkaus käyttöön, asiakirjassa mahdollisesti oleva haittaohjelma aktivoituu.

Office-tiedostojen tapauksessa murtautujat yrittävät harhauttaa uhrejaan poistamaan asiakirjan suojatun tilan esimerkiksi antamalla selkeät ohjeet siihen miten vaarallisten elementtien aktivointi tulee tehdä ja keksimällä tälle uskottavan selityksen.

Yleiset haitta­ohjelmien levittämisen tavat Sähköpostien ja viestisovellusten liitetiedostot

Verkkosivut, joilla on sivulle vierailevaa päätelaitetta vastaan hyökkäävää hyökkäyskoodia tai ladattavaksi tarkoitettu haittaohjelma – esimerkiksi suosittua ChatGPT:tä jäljittelevä ”infostealer” eli tietoja varastava haitake

Sähköposteissa, pikaviestimissä tai asiakirjoissa olevat linkit, jotka johtavat edellisen kaltaisille verkkosivuille tai tiedostolatauksiin

Mobiilisovelluksiin ja tietokoneohjelmiin piilotettuna esimerkiksi piraattiohjelmistoissa tai sovelluskauppojen ulkopuolelta ladattuna

Suuri vaara piilee kuitenkin suositussa pdf-asiakirjatiedostomuodossa. Pdf-tiedostoja voidaan käyttää hyökkäykseen kahdella tavalla: laittamalla niihin hyökkäyssivuille johtavia linkkejä tai upottamalla tiedostoihin suoraan vahingollista ohjelmakoodia.

– Tyypillisesti suoranaiset pdf-”haittaohjelmat” pitävät sisällään lähinnä linkkejä, jotka ohjaavat haitallisille sivustoille. Varsinainen haittaohjelma ladataan tai käyttäjätunnuksia kalastellaan niiltä käsin. Eli jos saat pdf:n liitetiedostona, linkkejä ei kannata lähteä klikkailemaan, Kankaala sanoo.

Pdf:t ovat suosittu hyökkäystapa siksi, että sähköpostiin suoraan asetettu linkki tai tietynlainen tyylittely jää usein sähköpostipalvelun, kuten Gmailin haaviin. Tällöin viesti päätyy yleensä roskapostikansioon tai karanteeniin.

– Näitä turvamekanismeja yritetään kiertää laittamalla haitalliset linkit pdf:ään – joskin jotkut sähköpostipalvelut jo nyt tarkistavat myös pdf:ien sisällön, Kankaala sanoo.

Toinen tapa on ansoittaa pdf-tiedostot haitallisella ohjelmakoodilla. Pdf-lukijaohjelmistoissa, kuten Acrocat Readerissa, on ollut ajan mittaan monia haavoittuvuuksia, jotka ovat muun muassa mahdollistaneet tietojen varastamisen koneelta, jossa tiedosto avataan. Tällainen hyökkäys on mahdollinen, jos laitteella on vanha versio lukijaohjelmistosta. Tähän auttaa lukijaohjelman pitäminen päivitettynä.

Jos hyökkäys perustuu nollapäivähaavoittuvuuteen eli tietoturva-aukkoon, johon ei ole olemassa vielä korjausta, tilanne on vaikeampi. Tällaisia hyökkäyksiä tosin ei kohdisteta juuri koskaan tavallisiin ihmisiin.

– Varotoimena voi toki avata tiedoston Google Drivessä, Kankaala sanoo.

Niksi piilee siinä, että kun tiedosto avataan Google Drivessä selaimessa, se ei aukea tietokoneessa ja päädy tietokoneen keskusmuistiin. Oleellista on, että tiedostoa ei ladata tietokoneelle.

– Mutta tämä ei poista silti sitä, että dokumentissa olevat linkit voivat olla haitallisia, ja niitä ei kannata mennä availemaan, Kankaala muistuttaa.

Kuten tietokonemaailmassa yleensä, mikään ei ole täysin varmaa. Jos selaimessa on jokin haavoittuvuus, niin kummallisuuksia voi sattua. Käytännössä tämä on kyllä melko harvinaista moderneissa selaimissa, Kankaala toteaa.

Näiden lisäksi on vielä muutama tiedostotyyppi, joita kannattaa ehdottomasti välttää tiedostoliitteinä. Ne ovat .iso (levykuvatiedosto, joka voi sisältää mitä vain), .exe (suoritettava tiedosto, eli ohjelma) ja .lnk (pikakuvaketiedosto, joka voi johtaa mihin vain tiedostoon, kansioon tai verkkosivuun).

Näiden lisäksi haittaohjelmia lähetetään pakatuissa tiedostoissa, joista yleisimpiä ovat .rar-, .7z- tai .zip- päätteiset. Niiden sisälle voi ujuttaa haittaohjelman, jota sähköpostin turvatarkastus ei välttämättä huomaa. Kun tiedosto puretaan ja sen jälkeen sitä klikataan, se voi johtaa haittaohjelmatartuntaan.

Nämä tiedostot ovat lähtökohtaisesti hyvin epäilyttäviä, ja niiden klikkaamista tulisi välttää, ellet ole aivan varma niiden sisällöstä.