Fi-tunnuksen saa nyt kuka vain – varoita omaa väkeäsi vaaroista

Fi-loppuisen verkkotunnuksen voi tästä eteenpäin rekisteröidä kuka tahansa mistä tahansa. Tunnuksen haltijan ei tarvitse enää olla suomalainen. Nyt on viimeinen hetki suojautua rekisteröimällä oman verkko-osoitteen erilaiset muunnokset.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: syyskuu 1, 2016
Lukuaika: 2 Minuuttia

Mitä muutos merkitsee nykyisille fi-tunnuksen haltijoille? Sitä, että mahdollisten hyökkääjien ja haitantekijöiden määrä moninkertaistuu. Hyökkääjät voivat rekisteröidä erilaisia muunnoksia yhtiöiden nimistä ja käyttää niitä joko yhtiön rahastamiseen tai tiedon kalasteluun.

Yhtiö X:n oma oikea osoite on yhtio-x.fi. Heille vinkataan, että osoitteessa yhtiox.fi on Yhtiö X:n mainetta vahingoittavaa materiaalia. Kun sivujen omistajaan otetaan yhteyttä, hän on valmis luopumaan tunnuksesta sopivaa korvausta vastaan. Vallatusta osoitteesta riippuen valtaaja saattaa vaatia huomattaviakin summia.

Tietoturvan näkökulmasta vakavampi juttu on osoitteiden käyttö tietojen kalastelutarkoituksissa. Rikolliset yrittävät urkkia käyttöönsä yrityksen työntekijöiden käyttäjätunnuksia ja salasanoja ja päästä niillä ensin sisään yrityksen järjestelmiin.

Lopullinen tavoite on saada pääkäyttäjäoikeudet, jolloin verkossa voi mellastaa mielin määrin.

URL-osoitteiden valtaajat rekisteröivät käyttöönsä yrityksen oikean osoitteen lähellä olevia osoitteita, jotka näyttävät aidoilta. Onko “I” pieni äl-kirjain vai iso ii? Nolla vai oo? Usein väärää kirjoitustapaa on vaikea erottaa oikeasta. Tässä N0KlA-sanan o-kirjain on nolla ja i-kirjain pieni L.

Valtaajat myös selvittävät tyypillisimmät virhelyönnit yrityksen nimessä ja rekisteröivät ne. Google.fi kirjoitetaan usein väärin googel.fi tai gogle.fi. Suomalaisilla pakkaa sekoittaa myös mahdollisuus käyttää ääkkösiä .fi-osoitteissa, mistä moni ei ehkä edes tiedä.

Yhtiön kannattaa siis viimeistään nyt varmistaa, että selvimmät oman osoitteen muunnokset ovat visusti omassa omistuksessa. Mahdollisia muunnoksia on kuitenkin niin paljon, että kaikkia on turha edes yrittää saada rekisteröityä. Yrityksillä tuntuu olevan riittävästi sarkaa siinä, että pysyvät edes kartalla siitä, minkälaisia varsinaisia verkko-osoitteita Internetiin asti näkyy. Eikä ihme, esimerkiksi markkinointi-osaston voi olla nopeampaa varata verkkosivu ja pystyttää se palveluntarjoajan avulla, kuin käydä läpi organisaation oma byrokratia verkkopalvelun käynnistämiseksi. Tähän haasteeseen on olemassa työkalukin.

Selvästi tärkeintä on huolehtia organisaation henkilöstön osaamisesta ja siitä, että kaikki tietävät väärien osoitteiden tietoturvauhkasta. Vaikka aidolta näyttävä sähköposti veisi aidon näköiselle oman organisaation sivulle, osoite pitää tarkistaa varsinkin, jos sivulla kysytään omaa käyttäjätunnusta ja salasanaa.

Jos kalastelu on onnistunut, kannattaa kääntyä ammattilaisten puoleen hyökkääjän torjumiseksi ja tuhojen minimoimiseksi.

Lue lisää uudistuksesta Viestintäviraston sivuilta


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s