Suomessa viime viikolla aktivoituneen uuden Flubot-haittaohjelmakampanjan yhteydessä on lähetetty arviolta miljoonia huijaustekstiviestejä, arvioivat Suomen suurimmat teleoperaattorit.
Tarkkaa viime viikkojen Flubot-viestien kokonaislukua on vaikea sanoa, mutta teleoperaattoreiden mukaan viestejä arvioidaan olevan liikkeellä useita miljoonia. Teliasta kerrotaan, että Flubot-viestejä on pystytty suodattamaan useampia miljoonia. DNA ja Elisa kertovat suodattaneensa satojatuhansia huijausviestejä.
Keskusrikospoliisi on käynnistänyt asiasta esitutkinnan, mutta asiasta ei ole tällä hetkellä yksityiskohtaisempaa tiedotettavaa, kertoi poliisitarkastaja Tuomas Pöyhönen Poliisihallituksesta STT:lle perjantaina. Pöyhönen suosittelee viestin saaneita ja haittaohjelman asentaneita noudattamaan Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskuksen antamia ohjeita.
Haittaohjelmalla saastunut laite levittää viestejä eteenpäin
Kyberturvallisuuskeskus julkaisi varoituksen tekstiviestitse lähetettävästä haittaohjelmasta viime viikon torstaina. Kyberturvallisuuskeskuksen tietoturva-asiantuntijan Aino-Maria Väyrysen mukaan keskukselle ilmoituksia huijaustekstiviesteistä oli tullut viime viikon tiistaista lähtien noin 1 500 perjantaiaamupäivään mennessä.
Flubot-haittaohjelma on kohdistettu Android-laitteita käyttäville. Huijaustekstiviestin linkki ohjaa asentamaan haittaohjelman.
Asennettu haittaohjelma voi varastaa puhelimelta tietoja ja lähettää haittaohjelmaa edelleen levittäviä tekstiviestejä. Viestit tulevat jo haittaohjelmalla saastuneen laitteen aidosta puhelinnumerosta. Puhelinnumerot eivät ole siis keksittyjä tai väärennettyjä.
Itse linkin avaaminen ei vielä asenna ohjelmaa, vaan se pyytää asentamiseen käyttäjän suostumusta. Väyrynen ei kuitenkaan suosittele linkkien avaamista.
– Se on ohjenuora näissä viesteissä, ettei niitä ikinä klikata auki.
Haittaohjelma ei asennu Applen puhelimille, mutta linkki ohjaa käyttäjät muihin huijauksiin, kuten luottokorttitietojen kalasteluun.
Viestien sisältö muuttuu jatkuvasti
Myös kesäkuun alusta elokuun lopulle varoitettiin vastaavankaltaisista huijaustekstiviesteistä, jotka ohjasivat Flubot-ohjelman asentavalle sivustolle. Väyrysen mukaan viime kesän huijausviestikampanja vaikuttaa olleen ärhäkämpi kuin nykyinen. Kesäkuussa suurin yhden päivän ilmoitusmäärä oli 925, kun nykyisen haittaviestikampanjan korkein yksittäisen päivän lukema oli maanantaina, noin 330 ilmoitusta.
– Kesän kampanja on ollut aggressiivisempi, mutta aggressiivinen se on kyllä nytkin, Väyrynen kertoo.
Nykyinen viestikampanja on Väyrysen mukaan kehittynyt kesäistä huonompaan suuntaan. Viesteissä käytetään nyt erikoismerkkejä, minkä on tarkoitus vaikeuttaa viestien suodatustoimenpiteitä. DNA:n, Telian ja Elisan mukaan erikoismerkit eivät ole kuitenkaan vaikeuttaneet viestien suodattamista. Enemmän haasteita operaattoreille aiheuttaa viestien jatkuva muuttuminen.
– Suodattavassa päässä on vaikea sanoa, että suodata aina tällaiset viestit, koska merkkien paikat, viestien linkit sekä viestien ulkoasu itsessään vaihtelevat, Väyrynen kertoo.
Kyberturvallisuuskeskus tekee torjuntatoimenpiteissä tiivistä yhteistyötä operaattoreiden kanssa. Näin viime kesän Flubot-kampanjakin saatiin kitkettyä Suomesta lähes kokonaan.
Viime maanantain jälkeen päivittäiset ilmoitusmäärät ovat olleet tasaisesti hieman alle 300 ilmoitusta. Väyrynen kuitenkin muistuttaa, että luvuissa kannattaa huomioida se, ettei viesteistä ole pakko ilmoittaa kyberturvallisuuskeskukselle.
– Meille on saatettu ilmoittaa ensimmäisestä tai toisesta viestistä, mutta viidettä tai kuudetta ei enää välttämättä ilmoiteta. Meille trendi näkyy laskevana maanantaista, mutta todellisuus voi olla hieman synkempi, Väyrynen kertoo.
Tällä viikolla yleistyneet pakettiteemaiset viestit
Viime viikolla alkaneen kampanjan huijausviestien teemana on ollut esimerkiksi saapunut ääniviesti tai ilmoitus operaattorilta. Tällä viikolla kyberturvallisuuskeskukselle on tullut myös paljon ilmoituksia pakettiteemaisista viesteistä, joissa kerrotaan esimerkiksi saapuneesta tai hukkuneesta paketista. Myös kesän viesteissä oli vastaavia teemoja.
Huijausviestit tunnistaa usein puuttuvista ääkkösistä sekä oudoissa paikoissa olevista erikoismerkeistä, kuten plus-, anfangi- tai prosenttimerkeistä. Viestin linkin avaamalla päätyy Android-puhelimilla asentamaan haittaohjelmaa, joka vaatii asennukseen käyttäjän suostumusta. Linkistä avattu asennussivu neuvoo yleensä englanniksi asentamisesta ja asetusmuutosten tekemisestä.
Jos haittaohjelman on asentanut laitteelle, kannattaa olla yhteydessä pankkiin. Myös operaattoriin kannattaa olla yhteydessä, sillä liittymästä on saatettu lähettää maksullisia viestejä. Rikosilmoitus kannattaa tehdä silloin, jos haittaohjelma on aiheuttanut rahallisia menetyksiä.
Asentunut haittaohjelma saattaa luoda laitteelle Voicemail-nimisen kuvakkeen tai DHL-kuljetusyhtiön sovellusta matkivan kuvakkeen.
– Täytyy huomioida, että kampanja voi kehittyä ja muuttua. Kuvakkeet voivat olla erilaisia, mutta periaatteessa tuollaisia laitteelta voi nyt etsiä, Väyrynen kertoo.
Jos haittaohjelma on asentunut laitteelle, se kannattaa palauttaa tehdasasetuksiin. Varmuuskopiosta palauttamisessa tulee huomioida, että varmuuskopio on luotu ennen haittaohjelman asennusta. Haittaohjelman pystyy myös poistamaan itse, mutta sitä Väyrynen ei suosittele.
– Haittaohjelman poistaminen itse on todella vaikeaa, vaikka olisi teknisesti valveutuneempikin henkilö. Se taistelee kyllä vastaan.