Kyberturvallisuuskeskus on alkuvuodesta havainnut majoitusliikkeisiin kohdistuvan ClickFix-kampanjan, jossa venäläiset kyberrikolliset pyrkivät asentamaan haittaohjelman tietokoneelle.
Kyberturvallisuuskeskus varoittaa venäläisten kyberrikollisten ClickFix-kampanjasta, jossa majoitusliikkeiden tietokoneille pyritään levittämään haittaohjelmia työntekijöiden sosiaalisella manipuloinnilla. Kyberuhkia toteutetaan esimerkiksi Booking.com-teemaisilla huijausviesteillä.
Tyypillisessä majoitusliikkeisiin kohdistuvassa tapauksessa toiminta alkaa majoitusliikkeelle lähetetystä huijaussähköpostista, jossa esiinnytään Booking.comina ja joka on usein otsikoitu "Reservation Cancellation". Viestissä olevan linkin klikkaaminen vie huijaussivulle. Huijaussivu esittää kaatuvansa ja näyttää sinisen :( -suruhymiöllä varustetun sivun, jossa annetaan ohjeet, kuinka pikanäppäinkomennoilla (ctrl-c, Windows-r, ctrl-v) voi korjata tilanteen. Todellisuudessa pikanäppäinkomentojen suorittaminen johtaa hyökkääjän koodin suorittamiseen tietokoneella ja haittaohjelman asentamiseen.
Haittaohjelmien tarkoitus on kerätä tietoa ja mahdollistaa saastuneen laitteen etähallinta sekä haittaohjelman edelleen leviäminen.
– Tällainen hyökkäystapa, jossa aiheutetaan keinotekoinen ongelma ja pyydetään käyttäjää "korjaamaan" se näppäinkomennoilla, tunnetaan yleisemmin nimellä ClickFix. Virheiden ulkonäkö ja teema voivat vaihdella; käyttäjää voidaan pyytää suorittamaan pikanäppäinkomentoja vedoten esimerkiksi tekaistuihin virheviesteihin, varoituksiin, päivitysilmoituksiin tai robottisuodattimiin ("captcha"), kyberturvallisuuskeskus kertoo tiedotteessaan.
Toimi näin
Kyberturvallisuuskeskus suosittelee majoitusliikkeille ainakin seuraavia toimia:
1. Henkilöstön tiedotus ja kouluttaminen
Henkilöstöllä on syytä olla ymmärrys tietoverkon ja puheluiden kautta erityisesti kalastelun muodossa tulevasta uhasta. Tässä epäilyttävän sisällön tunnistaminen on avainasemassa. Varmin tapa tunnistaa haitalliset viestit on katsoa tarkasti viesteissä ja avautuvilla sivuilla olevia verkko-osoitteita. Lukeehan osoiterivillä varmasti booking.com, eikä jokin toinen osoite? Kalastelutestejä ja -koulutusta järjestäviä yrityksiä on myös olemassa.
2. Laitteiden tarkistus ja suojausohjelmistojen toiminnan ja ajantasaisuuden varmistaminen
Tietomurto tai haittaohjelmatartunta saattaa usein olla näkymätön laitteen tai järjestelmän käyttäjälle, jolloin sitä ei voi havaita kuin asianmukaisilla työkaluilla. Tämän vuoksi suosittelemme laitteiden ja verkon ajoittaista tarkistamista. Tietoteknisiä palveluja tarjoavat palveluntarjoajat ja tietotekniikkaliikkeet osaavat auttaa tarkistuksissa.
3. Hallinnollisten tietoturvakontrollien ja -sääntöjen vahvistaminen
Hallinnollinen toimi on esimerkiksi kielto käyttää henkilökohtaisia tai muuten hyväksymättömiä laitteita samassa verkossa varaustietoja käsittelevien järjestelmien kanssa tai varaustietojen käsittelyyn. Vaadi monivaiheista tunnistautumista (MFA) kaikissa palveluissa, jotka tukevat sitä.
4. Muiden teknisten tietoturvakontrollien tarkistus ja päivitys
Teknisiä tietoturvakontrolleja ovat esim. koodin suorituksen, powershellin, windows+r -pikanäppäimen toiminnan esto, verkkosuodatus, ja muut vastaavat toimet. Tietotekniset käyttötukea tarjoavat palveluntarjoajat osaavat auttaa näissä.
Mikäli havaitsette järjestelmissänne tai verkoissanne epäilyttävää tai poikkeavaa toimintaa tai teillä on kysymyksiä aiheeseen liittyen, ota yhteyttä kyberturvallisuuskeskukseen ilmoituslomakkeella.
Lisätietoa
Näin tunnistat aidot verkkosivut ja viranomaiset – vältä huijaukset verkossa