Tätä ei kukaan toivo tapahtuvan: sähköposti täyttyy epämääräisistä viesteistä ja asiakkailta tulee palautteita toimimattomista sähköposteista. Pelon vallassa herää iso kysymys, että meneekö nyt koko tietokone sähköposteineen juntturaan – ja mitä sanovat asiakkaat?
Ensimmäisenä sitä yrittää itse selvittää, mistä Macin läppäriin on tullut tälläinen viesti. Siitä heti selaamaan sähköpostia, koska sieltähän ne virukset iskevät. Seuraavaksi muistin, että kiireen keskellä asiakkaaltani tuli viesti liitetiedostoineen. Nimi ei ollut tuttu, mutta firma logoineen ok. Niinpä olin klikannut liitettä. Mitään ei klikatessa tapahtunut, joten ajattelin antaa asian olla.
Niin ei olisi pitänyt tehdä, sillä viestejä alkoi tulla sähköpostiini tuutin täydeltä. Sellaista
sähköpostirumbaa ei toivo kenellekään.
Siinä hädässäni mietin, ketä pyydän apuun, ja heti tuli mieleen Ilonan Andrei Kolmakow. Hänet tunsin jo vuosien ajalta alan guruna. Onneksi ensimmäinen soitto tärppäsi, ja Andrei oli luurin päässä. Sovitettiin tärskyt toimistollemme jo samalle päivälle heti töiden jälkeen. Andrei tuli niin kuin oli sovittu. Pienen selitykseni jälkeen hän tutki koneeni, ja selvisi että klikkaamassani liitteessä oli ollut virus. Se oli ottanut kaikki sähköpostisosoitteeni ja lähettänyt lähes tuhannelle sidosryhmääni kuuluvalle ja asiakkaalle virusviestin edelleen. Ja niin oli paha keissi päällä.
Seuraavaksi muistin, että kiireen keskellä asiakkaaltani tuli viesti liitetiedostoineen. Nimi ei ollut tuttu, mutta firma logoineen ok.
Pahin vältettiin
Iso kysymys oli: Miten asia saadaan kuntoon? Andrei ehdotti, että kirjoittaisin valmiin kirjeen viruspostin saaneille, missä kerrotaan viruksesta ja siinä ehdoton kielto, ettei aiemman viestin sisältämää linkkiä saa avata. Itse hän puhdistaisi koneeni ja onkisi sieltä kaikki sähköpostitiedot niin, että voin laittaa kaikille viruspostin saaneille viestin viruksesta. Huh, mikä helpotus.
Näin toimittiin, ja ehdin lähettää viestit asiakkaille ja sidosryhmille jo samana iltana. Tästä seuraavina päivinä tuli kymmenkunta tarkennusta mistä on kysymys. Kerroin viruksesta ja siitä, miten meillä toimittiin asian suhteen.
Näin jälkikäteen ajatellen selvisin viruksesta pienin vaurioin. Kiitos nopeasta toiminnasta Ilonalle ja Andreille.
Mitä tästä opittiin:
• Ole tarkkana ja klikkaa vain varmasti tunnettujen henkilöiden linkkejä.
• Jos et itse osaa korjata tai tiedä mistä on kysymys, etsi itsellesi luottokumppani, joka osaa hoitaa tällaiset asiat kuntoon.
• Nopeus ja joustavuus ovat näissäkin asioissa valttia.
• Tiedota rehellisesti ja ohjeista viruspostin saaneita toimimaan oikein.
Olli Ljokkoi
Toimitusjohtaja
Mainos- ja digitoimisto
Crealab Oy
Miltä tämä kaikki näytti Andrein silmin?
Sain puhelun asiakkaaltamme, Crealabin Olli Ljokkoilta huhtikuussa 2022. Puhelun aikana selvisi aika nopeasti, että Ollille oli lähetetty hyvin viralliselta näyttävä sähköposti asiakkaan nimissä – huonoin seurauksin...
Otin jo puhelun aikana etäyhteyden Ollin koneeseen ja näin itsekin mitä oli tapahtunut: Kaikki sähköpostit olivat kadonneet, eikä uusia enää tullut perille, vaikka koetin niitä lähettää eri osoitteista. Sovimme välittömästi, että tulen vielä samana iltana paikan päälle katsomaan tilannetta tarkemmin.
Älä panikoi
Tämä kyseinen kalasteluviesti onneksi löytyi vielä koneelta, joten pääsin katsomaan, miten juuri tuo sähköposti toimi. Kyseessä ei nimittäin ollut mikään aloittelijan väsäämä sähköpostivedätys vaan ovela monikerroksinen huijaus.
Sähköposti näytti tosiaankin tulleen ihan virallisesti Ollin kontaktilta “Firma XYZ:lta”. Sähköpostissa kaikki näytti olevan ok ja siinä pyydettiin klikkaamaan sekä tarkistamaan PDF-tiedosto. Linkki vei aidolle Adoben sivustolle, joten ensimmäinen vaihe oli maallikon silmissä ok. Onhan Adobe oletettavasti luotettava sivusto ja kyseessä oli Document Cloudissa oleva PDF-tiedosto.
Seuraavaksi itse PDF-tiedostossa olevalla painikkeella pyydettiin tarkistamaan käyttöoikeus, ja tässä vaiheessa alkoikin sitten tapahtua. Linkkiä klikkaamalla siirryttiin huijaussivustolle, joka kysyi käyttäjän Microsoft Azure -tunnistetietoja. Ja sitten olikin täysi rähinä päällä!
Sivuston taustalla ollut järjestelmä pääsi käsiksi käyttäjän webmailiin ja sitä kautta tekemään tuhojaan taustalla. Sivuston skrpitit lähettivät kaikille kontakteille edelleen saman kalasteluviestin, minkä lisäksi skripti rakensi tuleville sähköposteille säännön siten, että kaikki tulevat sähköpostit siirrettiin suoraan roskapönttöön. Näin ollen yhtään viestiä ei tulisi perille.
Homma haltuun askel kerrallaan
Ensimmäisenä toimena oli luonnollisesti vaihtaa Azuren salasana ja laittaa päälle MFA (jota ei aiemmin ollut päällä syystä tai toisesta). Sen jälkeen tarkistimme Azuresta, onko sinne luotu uusia käyttäjätilejä tai muuta. Pienessä yrityksessä Ollilla oli myös pääkäyttäjäoikeudet. Lopuksi siivosimme säännöt ja tarkistimme muutenkin M365-sisällöstä, olisiko siellä muita omituisuuksia. Ei ollut – onneksi.
Tällä kertaa skripti oli tyytynyt sotkemaan webmailin kautta käyttäjän asetuksia.
Skripti oli myös sen verran huolimaton, että roskapönttöä ei tyhjennetty, ja lähetetyt sähköpostit jäivät myös lähteneiden viestien laatikkoon. Sieltä saimme helposti listan sähköpostiosoittieista, joihin kalasteluviestiviesti oli jo ennättänyt lähteä.
Laadimme Ollin kanssa yhdessä sähköpostin, jonka lähetimme välittömästi kaikille roskapostin saaneille sekä varoituksena että anteeksipyyntönä. Näin pyrimme minimoimaan tuhoa, jota olisi voinut seurata. Onneksi kuitenkin kyseinen skripti oli jo seuraavana aamuna poistettu, joten sen pidemmälle se ei ehkä olisi edes voinut levitä.
Andrein vinkit vastaisuuden varalle:
Mieti tarkkaan sähköpostin saatuasi, pitäisikö sinulle olla tulossa tällainen sähköposti.
Älä klikkaa suoraan linkkiä, vaan kopioi linkki ja sijoita se vaikkapa muistiinpanoihin tms. Linkkiä lukemalla voi jo monesti huomata, ohjaako se epämääräiseen paikkaan.
Lue linkki väärinpäin. Jos linkki ohjaisi esimerkiksi Microsoftin sivuille, olisi varsinainen osoite silloin microsoft.com. Jos linkissä kuitenkin olisi esimerkiksi diipadaapa.microsoft.huijaus.com, niin tuo osoite EI mene Microsoftille, vaan huijaus.com-sivustolle.
Jos kaikki näyttää olevan vielä tähän asti ok, käytä incognito-ikkunaa webselaimessa, kun avaat linkin. Näin mikään valmiiksi kirjautunut istunto ei suoraan päästä “mörköjä” eteenpäin.
Jos incognito-ikkunassa pyydetään esimerkiksi Microsoftin tai Googlen tunnistetietoja, jatka vain siinä tapauksessa että olet 100% varma siitä mitä teet.
ANDREI KOLMAKOW
Technical Manager
Ilona IT Oy
+358 45 129 4657