Sähköpostitilien kaappaukset ovat lisääntyneet tilitoimistoissakin

Yhä useamman tilitoimiston työntekijän työsähköpostitili on kaapattu huijaussähköpostin avulla. Tämän seurauksena rikollinen saa käsiinsä:

• Työntekijän sähköpostitilin käyttäjätunnuksen ja salasanan ja siten työntekijän sähköisen identiteetin
• Työntekijän sähköpostien sisällön – yleensä siis asiakkaiden liikesalaisuuksia ja työntekijöiden henkilötietoja

Tämän jälkeen rikollinen lähettää välittömästi huijaussähköposteja kaapatun sähköpostitilin osoitekirjassa oleville henkilöille aidosta sähköpostisoitteesta ja saa todennäköisesti kaapattua lisää sähköpostitilejä. Samalla tilitoimiston asiakaskunta saa tietoonsa, että tilitoimiston tietoturva on pettänyt pahemman kerran.

Sähköpostipalvelujen ulkoistus sekä turvasähköpostin käytön yleistyminen ovat mahdollistaneet melko yksinkertaisen toimintamallin, jolla sähköpostitili kaapataan.

• Sähköpostiin pääsee monessa yrityksessä Internetin kautta eli myös muualta kuin yrityksen lähiverkosta
• Yhä useampi lähettää turvasähköposteja, jotka vastaanottaja saa avattua sähköpostiosoitteen ja salasanan avulla

Huijausviesti on yleensä laadittu muistuttamaan turvasähköpostia, jossa viestin vastaanottaja saa avattua viestin esimerkiksi Microsoft-tunnuksillaan eli sähköpostiosoitteella ja salasanalla. Huijausviesti on yhä useammin laadittu huolellisella suomen kielellä ja siinä on mainittu aidolta tuntuvia työasioita kuten ”haluan jakaa pöytäkirjan kanssasi”. Niitä on melkein mahdotonta erottaa aidoista viesteistä.

Rikollisten tarkoituksena on todennäköisesti erehdyttää yrityksiä maksamaan huijauslaskuja. Tilitoimiston näkökulmasta työntekijän työsähköpostien sisällön joutuminen vääriin käsiin on kuitenkin jopa suurempi uhka – etenkin kun suuri osa asiakaskunnasta saa välittömästi tietää asiasta saatuaan työntekijän sähköpostiosoitteesta huijausviestin.

Monivaiheinen tunnistautuminen käyttöön välittömästi

Jos käytätte ulkoistettuja sähköpostipalvelua (esimerkiksi Microsoft Office 365) ottakaa tilitoimistossanne välittömästi käyttöön niin sanottu monivaiheinen tunnistautuminen. Tyypillinen esimerkki monivaiheisesta tunnistautumisesta on toiminto, jossa kirjautumiseen vaaditaan sähköpostisoitteen ja salasanan lisäksi tekstiviestillä toimitettu kertakäyttökoodi. Näin rikollinen ei pääse käsiksi sähköposteihisi, vaikka saisikin salasanasi haltuusi, ellei hänellä ole hallussaan myös matkapuhelintasi.

Monivaiheinen tunnistautuminen voidaan ottaa käyttöön siten, että omasta tietokoneesta tai matkapuhelimesta kirjauduttaessa tekstiviestivahvistus tarvitaan vain esimerkiksi kuukauden välein. Näin sen käyttö ei aiheuta lainkaan ylimääräistä vaivaa.

Varmistakaa, että IT-kumppaninne säätää monivaiheisen tunnistuksen pakolliseksi. Alla ote kyberturvallisuuskeskuksen ohjeesta:

”Perinteiset sähköpostiprotokollat kuten POP, IMAP, SMTP ja ActiveSync eivät tue modernia tunnistautumista. Jos käytössä on kaksivaiheinen tunnistautuminen, voidaan näiden protokollien kautta edelleen tunnistautua käyttäjätunnus-salasana yhdistelmällä. Näiden protokollien käyttö tuleekin estää ja käyttää Office-asiakasohjelmistoa tai muita modernia tunnistautumista tukevia sovelluksia sekä tietokoneissa että mobiililaitteissa.”

Lue aiheesta lisää Kyberturvallisuuskeskuksen sivuilta.

Jos vahinko on tapahtunut

Jos tilitoimiston työntekijän sähköpostitili on kaapattu, tehkää vähintään seuraavat toimet

• Käykää tilanne läpi oman IT-palvelukumppaninne kanssa ja vaihtakaa sähköpostitilin salasana välittömästi
• Tehkää rikosilmoitus
• Tehkää ilmoitus tietosuojaviranomaiselle osoitteessa https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
• Ilmoittakaa asiasta myös asiakkaille, joiden tietoja on voinut joutua rikollisten käsiin
• Ottakaa käyttöön monivaiheinen tunnistautuminen kaikilla sähköpostitileillänne
• Pyytäkää IT-palvelukumppanianne tarkistamaan sähköpostipalvelunne muutkin asetukset huolellisesti – rikollinen on esimerkiksi voinut asettaa sähköpostin automaattisia edelleen lähetyksiä.

Varo edelleen myös huijauslaskuja ja muita maksuhuijauksia

Huijauslaskuja ja muita maksatuspyyntöjä voi siis tulla tilitoimistoon asiakkaan oikeasta sähköpostiosoitteesta, jos asiakkaan sähköpostitili on kaapattu. Niitä voi tulla myös väärästä osoitteesta, mutta oikealla lähettäjänimellä. Valveutunut tilitoimistoammattilainen osaakin jo suhtautua sähköpostitse tuleviin yllättäviin maksupyyntöihin terveellä varovaisuudella.

On tärkeää muistaa, että myöskään saapuneisiin tekstiviesteihin ei pidä automaattisesti luottaa. Selvitimme teleoperaattoreilta, että myös tekstiviestiin pystyy erittäin pienellä vaivalla muuttamaan lähettäjän puhelinnumeron. Näin siis rikollinen voi yrittää esimerkiksi seuraavaa huijausta:

1. Asiakasyrityksen tuttuna yhteyshenkilönä esiintyvä rikollinen lähettää kirjanpitäjälle pyynnön maksaa suoritus liittyen esimerkiksi kiireelliseen EU-rahoitushankkeen osallistumismaksuun.
2. Rikollinen lähettää perään (oikeasta numerosta) tekstiviestin: ”Hei Tuija, koska osaat varoa toimitusjohtajahuijauksia, laitoin vielä tekstarin perään varmistukseksi. Se maksu 19.300 EUR Luxemburgiin on ihan oikea. Terkuin Veikka”.

On suositeltavaa pitäytyä sovituissa maksatuskäytännöissä. Jos kuitenkin perustellusta syystä joudutte poikkeamaan niistä, soittakaa yhteyshenkilölle ja käykää asia läpi puhelimitse.

Ps.

Tekoälyn kehitys on huimaa. Ehkä muutaman vuoden päästä ei voi luottaa edes puhelimitse tehtävään varmistukseen. Lisätietoa oheisesta Tiede-lehden artikkelista.