Huijaustekstiviestejä lähettävä haittaohjelma ei näytä hidastumisen merkkejä – Kyberturvallisuuskeskukseen satoja ilmoituksia tietoturvaloukkauksista

Viime viikon puolivälissä aktivoitunut haittaohjelma levittää yhä tekstiviestejä Android-puhelimiin. Kyberturvallisuuskeskukseen voi halutessaan ilmoittaa tuoreista, alle 12 tuntia vanhoista huijausviesteistä keskuksen verkkosivuilla.

Kuvakaappaus Kyberturvallisuuskeskuksen kotisivuilta. Kuvassa esimerkkejä tekstiviestinä tulleista huijausviesteistä. Kuva: Kyberturvallisuuskeskus

Suomalaisiin matkapuhelimiin huijausviestejä lähettävä haittaohjelmakampanja ei näytä hidastumisen merkkejä.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Aino-Maria Väyrynen kertoo, että viikonlopun aikana keskus on saanut satoja uusia ilmoituksia haittaohjelman levittämistä viesteistä.

Viime viikon puolivälissä aktivoitunut FluBot-haittaohjelma levittää tekstiviestejä Android-käyttöjärjestelmää käyttäviin puhelimiin.

Tekstiviestit saapuvat myös muihin laitteisiin, mutta esimerkiksi iPhonella sivua selaavat kävijät ohjataan erilaisiin huijauksiin, kuten luottokorttitietojen kalasteluun.

Viestejä on erilaisia. Viestissä voi olla esimerkiksi maininta, että henkilö on saanut ääniviestin tai ilmoituksen matkapuhelinoperaattorilta.

Viestissä pyydetään vastaanottajaa avaamaan siinä oleva linkki. Sen avaaminen ei vielä asenna haittaohjelmaa, vaan viesti vielä erikseen pyytää suostumusta asentamiseen.

Mistä viestit tulevat ja kenen nimissä, tietoturva-asiantuntija Aino-Maria Väyrynen?

Tällä hetkellä analysointi on kesken, eikä meillä ei ole täysin selvää kuvaa mistä viestit tulevat. Teemme tutkinnassa yhteistyötä kotimaisten operaattoreiden, kansainvälisten kumppaneiden ja muiden maiden tietoturvaviranomaisten kanssa.

Vastaavanlainen haittaohjelmakampanja on nähty viime viikolla myös Norjassa. Siellä paikallinen puhelinoperaattori on blokannut kymmeniä tuhansia, ellei satojatuhansia tekstiviestejä omissa verkoissaan.

Millaisia viestejä haittaohjelma lähettää?

Useissa viesteissä on käytetty erikoismerkkejä, kuten +, /, &, % ja @ -merkkejä epäloogisissa kohdissa, ja viesteissä ei ole ääkkösiä.

Viesteissä saatetaan sanoa, että olet saanut MMS-viestin tai uuden ääniviestin tai, että sinulla on vastaamaton puhelu.

Rikolliset ovat käyttäneet useita erilaisia viestipohjia. Viestien suodattaminen on hankalaa, sillä sekä linkkimuodot että viestien ulkoasu vaihtelevat, mutta samasta asiasta on ollut kysymys.

Jos viestissä lukee esimerkiksi “vastaamaton puhelu” tai “ilmoitus matkapuhelinoperaattorilta”, viestin linkkiä ei pidä avata.

Mikä haittaohjelman tarkoitus on?

Tällaisissa haittaohjelmissa on usein tarkoituksena tietojen varastaminen.

Lisäksi voidaan yrittää päästä pankkitietoihin käsiksi. Haittaohjelma voi myös varastaa salasanoja. Eli jos on jo asentanut haittaohjelman puhelimelleen ja kirjautuu johonkin palveluun, voi haittaohjelma varastaa salasalan.

Näissä FluBot-haittaohjelmissa saastunut laite lähettää myös haittaohjelmaa levittäviä huijausviestejä edelleen eli omasta puhelimesta voi tulla osa ongelmaa.

Haluan kuitenkin painottaa, että huijausviestissä olevan linkin avaaminen ei vielä asenna haittaohjelmaa ja tekstiviesti itsessään ei ole vaarallinen.

Viestissä pyydetään erikseen käyttäjän suostumusta asentamiseen.

Kuvakaappauksia erilaisista huijausviesteistä. Haittaohjelma lähettää tekstiviestejä Android-käyttöjärjestelmää käyttäviin puhelimiin. Linkkiä ei pidä avata tai asentaa. Kuva: Yle

Jos on avannut huijausviestin ja lisäksi sallinut siinä olevan linkin asentamisen, kuinka pitäisi toimia oman puhelimensa kanssa?

Jos näin on päässyt käymään, niin helpoin tapa korjata tilanne on palauttaa laite tehdasasetuksille.

Tärkeää on, että varmuuskopio, joka palautetaan puhelimeen, on tehty ennen haittaohjelman asentamista.

Jos puhelimella on käsitellyt omia luottokorttitietojaan haittaohjelman asentumisen jälkeen, on oltava yhteydessä pankkiin. Rahallisista menetyksistä tulisi tehdä rikosilmoitus.

Myös salasanat tulisi vaihtaa palveluihin, joita on laitteella käyttänyt haittaohjelman asentumisen jälkeen.

Missä tapauksessa viestistä tulee ilmoittaa myös Kyberturvallisuuskeskukseen?

Otamme mielellämme vastaan ilmoituksia tuoreista viesteistä, jotka on lähetetty alle 12 tuntia sitten.

Kyberturvallisuuskeskuksen kotisivuilla on mahdollista ilmoittaa tietoturvaloukkauksesta (siirryt toiseen palveluun).

Tällä hetkellä ruutukaappaus viestistä on meille tärkeä. Siinä näkyy viestin aikaleima, mahdollinen url-osoite, viestissä käytetyt sanamuodot sekä puhelinnumero, josta viesti on lähetetty puhelimeen.

Ilmoitusten perusteella näemme missä laajuudessa haittaohjelma leviää Suomessa.

Mitään hidastumisen merkkejä ei tällä hetkellä ole havaittavissa.

Aiemmissa tapausketjuissa on nähty, että muutamista kymmenistä tapauksista syntyy tuhansia uusia tapauksia alle viikossa.

Voit keskustella aiheesta tiistaihin 30.11.2021 kello 23 saakka.