Tuleminen hakkeroiduksi on stressaavaa. Se voi tuntua henkilökohtaiselta, kiireelliseltä ja hämmentävältä samanaikaisesti. Saatat nähdä outoja kirjautumisilmoituksia, löytää viestejä, joita et itse lähettänyt, menettää pääsyn tilillesi, huomata rahan kadonneen tai saada ystäviltä viestin, että olet lähettänyt heille epäilyttäviä linkkejä.
Tärkeintä on välttää paniikissa tehtyjä ratkaisuja. Hyökkääjät luottavat usein nopeuteen, sekavuuteen ja paineeseen. Sinun tavoitteesi on hidastaa tilannetta, rajata vahingot, palauttaa hallinta ja poistaa heikkoudet, jotka mahdollistivat murron.
Tämä opas käy läpi käytännön askeleet henkilökohtaisen tilin, yritystilin, laitteen tai verkkopalvelun hakkeroituessa.
Jos on vähänkään mahdollista, että työnantajasi, asiakkaasi tai jokin muu organisaatio voi vaarantua, ilmoita välittömästi asianmukaiselle IT- tai tietoturvatiimille. Älä odota, että sinulla on täydellisiä todisteita. Tämä koskee erityisesti tilanteita, joissa vaarantunutta laitetta on käytetty työasioihin, laite on rekisteröity BYOD-laitteena, sitä on käytetty yrityksen sähköpostiin, kertakirjautumiseen, salasanojen hallintaan, VPN:ään, hallintapaneeliin, lähdekoodivarastoon, pilvilaitteeseen tai tiedostojakopalveluun.
Organisaation on tärkeä reagoida ennen kuin alat selvittää kaikkea itse. Yritys saattaa joutua peruuttamaan istuntoja, kierrättämään tunnuksia, tarkistamaan lokeja, eristämään vaarantuneet järjestelmät tai poistamaan pääsyn, kun tilanne on vielä kesken.
Ilmoituksen viivästyttäminen voi pahentaa vahinkoja ja johtaa kurinpidollisiin toimiin tai vastuuseen, jos yritykselle aiheutuu tappioita, jotka olisi voitu estää nopealla raportoinnilla. Jos mikään työpalvelu, -laite, -tili tai -tieto ei voi vaarantua, jatka henkilökohtaisen palautumisen vaiheilla alla.
Jos epäilet, että tietokoneesi tai puhelimesi on saanut tartunnan, älä käytä samaa laitetta salasanojen vaihtoon tai kirjautumiseen tärkeille tileille. Haittaohjelma voi tallentaa uudet salasanat, kaapata istuntoevästeet, ottaa kuvakaappauksia tai siepata palautuskoodit.
Käytä laitetta, johon luotat, esimerkiksi:
Jos sinulla ei ole pääsyä puhtaalle laitteelle, irrota epäilty laite internetistä ja keskity avun hankkimiseen ennen kuin syötät uusia tunnuksia.
Sähköposti on usein avain lähes kaikkeen muuhun. Jos hyökkääjä hallitsee sähköpostiasi, hän voi nollata salasanat pankkiin, verkkokauppaan, pilvipalveluihin, sometileihin, kehitysfoorumeihin ja työkaluihin.
Aloita pää-sähköpostitilistäsi ja tarkista seuraavat asiat:
Kiinnitä erityistä huomiota postilaatikon sääntöihin. Hyökkääjät voivat luoda suodattimia, jotka piilottavat turvailmoitukset, ohjaavat laskut eteenpäin tai kopioivat salasanan nollausviestit toiseen osoitteeseen.
Sähköpostin turvaamisen jälkeen siirry tileihin, jotka voivat aiheuttaa suurimmat vahingot. Älä käytä ensimmäisiä kriittisiä minuutteja vähäarvoisiin tileihin, kun hyökkääjällä on edelleen pääsy pankkiin, pilvitallennukseen tai hallintatyökaluihin.
Tärkein vaihtojärjestys on:
Jokaisen uuden salasanan tulee olla yksilöllinen. Jos käytät samaa uutta salasanaa useilla tileillä, yksikin heikko kohta voi vaarantaa kaiken uudelleen.
Salasanan vaihtaminen on tärkeää, mutta se ei välttämättä poista jo kirjautunutta hyökkääjää. Useat palvelut pitävät istunnot voimassa salasananvaihdon jälkeen, ellei niitä erikseen peruuteta.
Etsi seuraavia asetuksia:
Poista kaikki, joita et tunnista. Yritys- ja kehittäjätilien kohdalla kierrätä API-tokenit, julkaisuavaimet, SSH-avaimet, webhookit ja palvelutilin tunnukset, jotka ovat voineet vuotaa.
Monivaiheinen tunnistautuminen (MFA, 2FA) estää monen tilikaappauksen, vaikka salasana päätyisi vääriin käsiin. Jos sitä ei ollut jo käytössä, ota se käyttöön tärkeillä tileilläsi nyt.
Suosi vahvempia vaihtoehtoja, jos mahdollista:
Tekstiviestipohjaiset koodit ovat parempi vaihtoehto kuin ei toista tekijää lainkaan, mutta ne ovat heikompia kuin sovellus- tai laitepohjaiset vaihtoehdot. Puhelinnumeroita voidaan siirtää SIM-vaihdoissa, siepata tietyissä tilanteissa tai käyttää hyväksi heikon tilin palautuksen kautta.
Kun otat MFA:n käyttöön, luo varmuuskoodit ja säilytä ne turvallisesti. Ilman niitä puhelimen tai turva-avaimen katoaminen voi muodostua omaksi hätätilanteekseen.
Jos murrettu tili liittyy rahaan, henkilöllisyystodistuksiin, laskuihin, asiakastietoihin tai verotietoihin, oletusarvoisesti oleta, että hyökkääjä on voinut kopioida hyödyllisiä tietoja, vaikka saisit tilin pian takaisin hallintaasi.
Tarkista seuraavat asiat:
Ota välittömästi yhteys pankkiisi tai maksupalvelun tarjoajaan, jos havaitset epäilyttävää toimintaa. Monissa tapauksissa nopea ilmoitus parantaa mahdollisuuksiasi saada petostapahtumia peruttua tai vähentää vastuuta.
Halu siivota nopeasti on ymmärrettävä, mutta viestien, lokien tai tiedostojen liian aikainen poistaminen vaikeuttaa selvittämistä. Ennen epäilyttävien asioiden poistamista tallenna olennaiset todisteet. Tee tämä ennen laitteen tyhjennystä tai uudelleenasennusta, etenkin jos kyse on rahasta, yrityksen tai asiakkaan tiedoista, kiristysohjelmasta tai lakiin perustuvista vaatimuksista.
Hyödyllisiä todisteita ovat:
Nämä tiedot auttavat tukitiimiä, pankkia, poliisia, vakuutusta, yrityksesi IT:tä tai tietoturvatiimiä selvittämään mitä tapahtui.
Jos kannettava tai pöytäkone sallii, harkitse alkuperäisen levyn poistamista ja uuden kovalevyn tai SSD:n asentamista uutta käyttöjärjestelmää varten. Näin voit käyttää puhdasta konetta ja säilyttää alkuperäisen levyn tutkintaa varten. Jos kyseessä on yritystapaus, kysy IT:ltä tai tietoturvatiimiltä ennen levyn vaihtamista tai laitteen käynnistämistä uudelleen.
Jos hyökkäys on voinut alkaa haittaohjelmasta, epäilyttävästä liitteestä, väärennetystä selaimen lisäosasta, piraattiohjelmasta tai tuntemattomasta etätyökalusta, pelkkä tilin palauttaminen ei riitä. Laite ei välttämättä ole enää luotettava. Hyökkääjä on saattanut asentaa pysyvyysmalleja, muokata järjestelmäasetuksia, kaapata istuntoevästeitä tai jättää ohjelman, joka varastaa uudetkin kirjautumistietosi heti kun ne syötetään.
Tällöin on turvallisinta olla "puhdistamatta" laitetta käsin. Turvallisempi oletus on ensin säilyttää todisteet, varmuuskopioida vain aidosti tarvittavat tiedot, tyhjentää laite ja asentaa käyttöjärjestelmä puhtaalta pöydältä.
Tärkeät varotoimet:
Korkean riskin tilanteessa, kuten kiristysohjelmat, yrityksen sähköpostin kaappaus, pääkäyttäjätilin menetys tai epäilty tietovuoto, harkitse ammattimaisen tietoturva-avun hankkimista ennen järjestelmien tyhjennystä. Yrityksissä todisteita voidaan tarvita tutkintaan, vakuutuksiin, lakisyistä tai asiakastiedottamiseen.
Jos hyökkääjät käyttivät tiliäsi viestien, laskujen, linkkien tai tiedostojen lähettämiseen, varoita mahdollisia vastaanottajia. Pidä varoitus lyhyenä ja täsmällisenä.
Esimerkiksi:
Tilini on vaarantunut. Älä avaa lähettämiäni linkkejä, liitteitä, maksupyyntöjä tai jaettuja tiedostoja aikavälillä [aika]–[aika]. Olen saanut tilin takaisin hallintaan ja selvitän asiaa.
Yrityksille ilmoittaminen saattaa olla myös lakisääteinen tai sopimusvelvoite. Jos asiakasdataa, työntekijätietoja, maksutietoja, terveystietoja tai luottamuksellista materiaalia on voinut vuotaa, ota mukaan lakiasiain, compliance- ja tietoturvatiimit heti alussa.
Kaikista murretuista sometileistä ei tarvitse tehdä rikosilmoitusta, mutta joissain tapauksissa raportointi on välttämätöntä. Tämä pätee erityisesti, jos kyseessä on taloudellinen petos, identiteettivarkaus, kiristysohjelma, yrityksen sähköpostin kaappaus, asiakasdatan varkaus tai henkilökohtaisen turvallisuuden uhkia.
Hyödyllisiä ilmoituskanavia voivat olla:
Ilmoitusluonti antaa myös kirjallisen jäljen. Se voi olla tarpeen myöhemmin, jos petollinen toiminta jatkuu tai jos sinun täytyy osoittaa ryhtyneesi toimiin nopeasti.
Yrityksissä murrettu tili ei ole harvoin vain käyttäjäkohtainen ongelma. Se voi olla ensimmäinen näkyvä merkki laajemmasta tietoturvatapauksesta. Kompromissoitu postilaatikko voi paljastaa asiakaskeskusteluja. Varastettu ylläpitäjäsalasana voi johtaa tietojen vuotamiseen. Vuotanut käyttöönottoavain voi vaarantaa tuotantojärjestelmät.
Yrityksen vastauksen tulisi sisältää:
Jos tapaus liittyy säädeltyyn tietoon, asiakastietoihin, kiristysohjelmaan, tuotantoympäristöön tai laajennettuihin käyttöoikeuksiin, hanki apua ammattilaisilta heti. Liian pitkään odottaminen vaikeuttaa katastrofin rajaamista ja todisteiden keruuta.
Hyväntahtoisetkin toimet voivat vaikeuttaa palautumista tai luoda uusia riskejä.
Vältä näitä virheitä:
Kun kriisi on hallinnassa, käytä aikaa ympäristön vahvistamiseen. Suurin osa tilimurroista ei johdu kehittyneistä hyökkäyksistä. Syynä ovat usein uudelleenkäytetyt salasanat, tietojenkalastelu, heikot palautusvaihtoehdot, haittaohjelmat, altistuneet laitteet tai unohtuneet pääsyoikeudet.
Käytännön tarkistulista:
Turvallisuuden ei tarvitse olla täydellistä ollakseen huomattavasti parempaa. Muutama johdonmukainen tapa vähentää helpoimpia hyökkäysreittejä ja rajoittaa vahinkoja, jos joku onnistuu uudelleen.
Hakkerointi ei aina tarkoita, että olet toiminut tyhmästi. Hyökkääjät kohdistavat jatkuvasti sekä yksityishenkilöihin että yrityksiin, ja huolellisempikin käyttäjä voi ajautua ansaan uskottavan kalastelusivun, vuotaneen vanhan salasanan tai huomaamattomasti saastuneen laitteen kautta.
Tärkeintä on reagoida oikein: turvaa sähköposti ensin, vaihda salasanat luotettavalta laitteelta, kumoa istunnot, ota käyttöön vahva MFA, tarkista taloudelliset riskit, säilytä todisteet ja ilmoita mahdollisesti vaikuttaville. Sen jälkeen paranna järjestelmää ja käytäntöjä niin, ettei seuraava hyökkäys onnistuisi yhtä helposti.