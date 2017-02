Väärennettyjen sähköpostien liitteenä on viime viikon lopulla jaettu laajalti haittaohjelmaa, varoittaa Viestintävirasto.

Viraston tutkittavaksi on toimitettu näyte viime viikon lopulla laajasti jaellusta haittaohjelmasta. Tässä tapauksessa haittaohjelman sisältämää sähköpostia on lähetetty väärillä yhteystiedoilla, sekä väärentämällä sähköpostin lähettäjän osoite. Viraston tutkimaan sähköpostiin on väärennetty lähettäjäksi yritys ja suomalaisen yrittäjän yhteystiedot. Todellisuudessa sähköpostit on lähetetty ulkomaisen palvelimen kautta.

Esimerkkitapauksessa sähköposti on lähetetty otsikolla: ”FW: Payment Advice - Advice Ref:[GC1966851027] / ACH credits / Customer Ref:[199319] / Second Party Ref:[2135721]”.

Sähköpostissa on Payment_Advice.jar -niminen liite, joka asentaa saastuneelle koneelle JBifrost-haittaohjelman. Tämän avulla hyökkääjä saa muodostettua etäyhteyden saastuneeseen koneeseen.

Viestintävirasto muistuttaa, että tuntemattomien lähettäjien sähköposteihin ja liitteisiin tulee suhtautua epäillen, eikä tuntemattomia liitteitä tule avata.

– Älä klikkaa linkkejä tai avaa liitetiedostoja jos et ole aivan varma niiden asiallisuudesta.

Odotatko pakettia? Haittaviestejä lähetetään huolintayhtiöiden nimissä

Viestintävirasto kertoo, että viime aikoina haittaohjelmia on jaettu laajasti esimerkiksi huolintayhtiöiden nimissä, mutta haittaohjelmia on naamioitu myös skannereiden lähettämiksi dokumenteiksi. Haitallinen sähköposti voi sisältää linkin tai liitteen, jonka avaamalla uhrin kone saastuu haittaohjelmalla, kuten tuoreessakin tapauksessa.

– Syksyn aikana tällä tavoin on jaettu etenkin tietoja salaavia kiristyshaittaohjelmia, mutta myös muita, perinteisempiä, haittaohjelmia. Liitteinä olevat haittaohjelmat on naamioitu erilaisilla tiedostopäätteillä oleviksi tiedostoiksi. Huolintaliikkeiden nimissä lähetetyissä sähköposteissa on havaittu ZIP- ja PDF-tiedostoja, jotka ovat todellisuudessa olleet EXE-tiedostoja, jotka suorittamalla uhrikone on saastunut.

– Liitetiedostot ovat voineet sisältää myös Microsoft Office-tiedostoja, joiden makroihin on kirjoitettu haitallista koodia. Käyttäjän salliessa tällaisen dokumentin makrojen suorittamisen (Enable content-toiminne) haittaohjelma asentuu uhrikoneelle.

Viestintävirasto pyytääkin kiinnittämään ”erityistä huomiota erityisesti tuntemattomilta lähettäjiltä tuleviin sähköposteihin ja niiden liitetiedostoihin”.

– Mikäli olet saamassa lähetyksen huolintayhtiöltä, seuraa paketin kulkua kirjoittamalla osoite selaimen osoiteriville ja etsimällä lähetys seurantakoodilla, jonka olet saanut lähettäjältä tilauksen yhteydessä. Mikäli et tiedä tilanneesi mitään älä, edes uteliaisuuttasi, avaa sähköpostien liitteitä.

Virasto muistuttaa, että sähköpostin vastaanottaja voi suojautua haitallisilta sähköposteilta käyttämällä ajantasaista virustunnistusohjelmistoa ja pitämällä tietokoneen ohjelmistot päivitettyinä, sekä tiedostamalla uhkan ja tunnistamalla ja poistamalla haitalliset sähköpostit. Lähettäjäosoitteen väärentämisen voi estää käyttämällä DMARC (Domain-based Message Authentication, Reporting & Conformance) -mekanismia lähettäjätietojen varmistamiseksi.

Koko varoitus löytyy Viestintäviraston verkkosivuilta.