Suojautuminen verkkourkintahyökkäyksiltä

Luuletko verkkourkinnan olevan vanhentunut uhka? Ajattele uudelleen. Älykkäämmästä roskapostin suodatuksesta huolimatta, Anti-Phishing Working Group kertoo 18 %:n lisäyksestä erillisissä verkkourkintaraporteissa vuoden 2014 viimeisellä neljännekselläe ja tietoturvan asiantuntijat ennustavat määrän kasvavan edelleen vuoteen 2016 mennessä.

Verkkourkinta on säilynyt suosittuna taktiikkana arkaluontoisten tietojen kuten salasanojen, suojauskoodien ja luottokortin numeroiden varastamisessa sekä haittaohjelmien ujuttamisessa henkilökohtaisille laitteille ja yritysten järjestelmiin. Verkkourkintahyökkäys voi kohdistua jopa LastPass-tiliin. Suojautuminen verkkourkinnalta vaatii paitsi käyttämältämme ohjelmistolta älykkäämpää tunnistusta, myös parempaa henkilökohtaista varautumista ensimmäisellä puolustuslinjalla.

Näin LastPass taistelee verkkourkintaa vastaan ja näin voit tehostaa verkkourkinnan tunnistamismahdollisuuksiasi ja suojata tärkeimpiä tietojasi yllätykseltä.

Mitä on verkkourkinta?

Verkkourkinta eli phishing esiintyy useissa muodoissa. Jotkin s-postit näyttävät pankkisi lähettämiltä ja niissä pyydetään vahvistusta tilitapahtumillesi. Tai viesti voi olla laskuväärennös, jossa pyydetään lataamaan tiedosto ostoksen vahvistamiseksi. Verkkourkinta voi tapahtua myös sosiaalisessa mediassa näkyvän haitallisen mainoksen tai linkin kautta. Hyökkääjät voivat jopa ohjata sinut sisäänkirjautumissivulle, joka on käyttämäsi tunnetun ja luotettavan verkkosivuston erittäin tarkka näköiskopio.

Kohdistettu verkkourkinta (spear-phishing) on vieläkin henkilökohtaisempaa. Verkkorikolliset lähettävät s-posteja jotka näyttävät työtoveriltasi tai jopa pomoltasi taikka IT-osastoltasi tulevilta. Niissä pyydetyt toimenpiteet vaikuttavat aidoilta, koska niiden muodostamiseen on käytetty sinusta selville saatuja asioita lisätietojen urkkimiseen tai houkuttelemaan sinut lataamaan haitallinen tiedosto tai lähettämään rahaa tilisiirrolla.
.

Verkkourkintahyökkäyksien tunnistaminen

Monet verkkourkintayritykset ovat yksinkertaisia ja helppoja tunnistaa, mutta toiset taas paljon kehittyneempiä, joten epäilyttävien s-postien, linkkien ja ilmoitusten tunnistaminen vaatii terveellisen annoksen epäilevyyttä. Näin tunnistat perusmuotoisen verkkourkintahyökkäyksen:

  • Tarkasta URL-osoite: Tarkasta avaamasi verkkosivuston osoite osoiteriviltä tai vie kohdistin linkin päälle, jolloin URL-osoite näkyy selaimen vasemmassa alanurkassa. Näin voit varmistaa ennen sivuston avaamista onko kyse luotetusta osoitteesta vai huijarista. Esimerkiksi LastPass-palvelussa näytetään aina https://lastpass.com tai https://aliverkkotunnus.lastpass.com. Sen sijaan verkkourkinnassa käytetty URL-osoite voi näyttää tältä http://lastpass.muuverkko.com. Tässä tapauksessa verkkotunnus on ”muuverkko.com” ja sitä tulee välttää.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Tarkasta kenelle se on osoitettu: Varo s-posteja jotka on osoitettu ”Hyvä asiakas” tai joissa ei ole ollenkaan tervehdystä. Useimmat kauppiaat tervehtivät nykyään viestin vastaanottajaa nimeltä. Kohdistetussa verkkourkintahyökkäyksessä olet kuitenkin valikoituna kohteena, joten tämä vinkki ei suojaa siinä.
  • Avaa verkkosivusto itse: Jos et ole varma, avaa selaimesta uusi ikkuna tai välilehti ja kirjoita URL-osoite suoraan (tai avaa se salasanojen hallinnasta) ja tiedät oikean sivuston avautuvan.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Tarkasta näyttääkö salasanojen hallinta oikeaa käyttäjätunnustan: LastPass voi auttaa suojautumaan verkkourkinnalta olemalla täyttämättä sisäänkirjautumistietoja väärennetylle sivustolle. Koska verkkotunnus ei vastaa LastPassiin tallennettua, tietojasi ei täytetä. Jos niin käy, tarkasta URL-osoite.
  • Hidasta selaamista jos näet kiirehtivää tekstiä: Kaikki millä yritetään saada käyttäjä toimimaan nopeasti jonkin ohi menevän mahdollisuuden hyödyntämiseksi, voi olla yritys manipuloida tekemään jotain ajattelematta ensin.
  • Kysy itseltäsi kysymyksiä: Pyysinkö tätä henkilöä lähettämään minulle liitetiedostoa? Onko tämä jotain epätavallista joka ei sovi lähettäjän toimintaan? Jos epäilyttää, pysy varuillasi ja kysy vain lähettäjältä.
  • Tarkasta onko käytössä HTTPS://-osoite ja näkyykö riippulukon kuvaa: Tarkasta aina verkkosivuston URL-osoite osoiteriviltä ja että käytössä on salattu HTTPS-yhteys ja että riippulukkokuvake on näkyvissä, jolloin turvallisuusyritys on kolmantena osapuolena tarkastanut verkkosivuston omistajan. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Kun verkkourkinnan kohteena on salasanan hallintasi

Verkkourkinta ei ole enää rajoittunut haitallisiin s-posteihin, mainoksiin tai linkkeihin sosiaalisessa mediassa. Jotkin verkkourkintahyökkäykset saattavat kohdistua selaimesi laajennuksiin, mukaan lukien tekeytymällä salasanan hallintaohjelmaksi.

Esimerkiksi haitallinen verkkosivusto voi tekeytyä selaimen laajennukseksi näyttämällä ilmoituksen, jossa pyydetään käyttäjätunnusta, salasanaa, kaksivaiheisen tunnistautumisen koodia tai vastaavia tietoja. Voi olla vaikea havaita, että ilmoitukset tulevat oikeasti haittasivustolta eivätkä selainlaajennuksesta.

Kuinka LastPass suojaa käyttäjää verkkourkintahyökkäyksiltä

  • Varoitus pääsalasanan syöttämisestä muulla kuin LastPass-sivulla: LastPass esittää vahvan varoituksen ennen kuin pääsalasanaa edes lähetetään verkkosivustolle, aina kun sitä yritetään kirjoittaa sivulle joka ei ole LastPassilta peräisin. Saat välittömästi tietoosi jos pääsalasanasi turvallisuus on uhattuna ja se on vaihdettava.
  • Vaaditaan vahvistus kirjauduttaessa sisään tuntemattomista paikoista tai laitteilta: LastPassilla on vahvistusmenettely, jota tarvitaan aina kun yritetään kirjautua tuntemattomasta paikasta tai laitteelta. Jos epähuomiossa syötät pääsalasanasi ja kaksivaiheisen tunnistuksen tiedot, hyökkääjän yritys käyttää tietoja pysähtyy s-postivahvistusvaiheisiin. Hyökkääjän pitäisi päästä käsiksi myös s-postitiliisi, jonka haitallisuutta voidaan lieventää s-postitilin kaksivaiheisella tunnistuksella. Jos näet s-postivahvistuspyynnön, jota et itse käynnistänyt, voit jättää sen huomiotta turvallisesti ja päivittää pääsalasanasi LastPassin holvitilin (Vault Account) asetuksista.
  • UIoskirjautumisen estäminen: Vaikka haitallinen sivu voi näyttää väärennetyn LastPass-ilmoituksen, jossa väitetään käyttäjän kirjautuneen ulos ja että on kirjauduttava takaisin sisään, tarkasta oletko edelleen kirjautuneena LastPass-laajennukseen ja kirjaudu sisään vain sen kautta.

Näiden estojen lisäksi rohkaisemme Googlea ja muita selainten kehittäjiä auttamaan meitä edelleen suojaamaan paremmin käyttäjiä turvallisemmilla tavoilla näyttää ilmoituksia selainikkunan ulkopuolella.

Kuinka LastPass-tiliä voi suojata paremmin

Olemassa olevien suojausjärjestelyjen lisäksi voit myös suojata holviasi seuraavilla parhailla käytännöillä:

  • Kirjaudu aina sisään LastPass-laajennuksen kautta. Turvallisin tapa kirjautua sisään LastPassiin on napsauttaa laajennuksen kuvaketta selaimen työkaluriviltä. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Älä koskaan käytä uudelleen samaa pääsalasanaa. Pääsalasanan kierrättäminen lisää riskiä, että joku varastaa holvisi sisällön. Käytä LastPassissa aina ainutkertaista pääsalasanaa ja noudata varoituksia jos pääsalasanaa ollaan syöttämässä minne tahansa muualle kuin LastPassiin kirjautumista varten.
  • Varmista mistä lataat LastPass-laajennuksen. Lataa LastPass vain ainoastaan osoitteesta LastPass.com tai selaimen tai laitteen laajennuskaupoista. Älä koskaan lataa kolmansien osapuolten lataussivustoilta ja vältä laajennuskaupoissa nimikkeitä jotka näyttävät LastPassilta, mutta niillä on eri julkaisijan nimi eikä arvosteluja.
  • Älä koskaan anna pääsalasanaa toisten tietoon. LastPassin työntekijät eivät koskaan pyydä kertomaan pääsalasanaa. Varo jos joku väittää olevansa LastPassilta ja pyytää saada tietoonsa pääsalasanasi. Älä kerro salasanaasi, koskaan.
  • Lisää kaksivaiheinen tunnistus. Hyvä turvallisuus saavutetaan riskejä vähentävillä suojauskerroksilla. Kaksivaiheinen tunnistus vaatii toisen tiedon ennen tilin käyttämistä. Vaikka se ei olekaan patenttiratkaisu, sillä voidaan suojata tiliä huomattavan pitkälle.
  • Suojaa s-postiasi vahvalla salasanalla ja kaksivaiheisella tunnistuksella. S-postitili sisältää usein avaimet valtakuntaasi. Suoja sitä kuin digitaalinen elämäsi riippuisi siitä, koska niin saattaa ollakin. LastPass voi luoda vahvan mutta ”lausuttavissa olevan” salasanan s-postitilillesi, jonka voit halutessasi silti säilyttää muistissasi. Ota aina käyttöön kaksivaiheinen tunnistus jos s-postintarjoajasi sitä tukee.

Suojautuminen verkossa vaati jatkuvaa sitoutumista kaikkien meidän osalta. Kuten LastPass on sitoutunut parantamaan tuotteitaan uusien uhkien ilmaantuessa ja työskentelemään tietoturvan tutkimusyhteisön kanssa tuotteen suojan vahvistamiseksi, käyttäjien on myös pysyttävä sitoutuneena noudattamaan parhaita tietoturvakäytäntöjä.