27 miljoonaa varastettua tunnusta talteen – näin tarkistat, onko omasi joukossa
Europolin johtama isku katkaisi kahden tietoja varastavan haittaohjelman selkärangan ja sai talteen 27 miljoonaa kaapattua tunnusta. Sama data on nyt haettavissa, joten kuka tahansa voi tarkistaa parissa minuutissa, onko oma sähköposti joukossa.
Tiivistelma
Operation Endgame -operaatio kaatoi Amadey- ja StealC-haittaohjelmien palvelimet ja sai talteen 27 miljoonaa varastettua tunnusta. Talteen saatu data jaettiin tarkistuspalveluihin, joissa suomalainen lukija voi katsoa, onko hänen sähköpostinsa vuotaneiden joukossa. Pidätyksiä ei tehty, mutta infrastruktuuri kaatui.
Tarkistus vie kaksi minuuttia. Mene osoitteeseen politie.nl/checkyourhack, syötä sähköpostiosoitteesi, ja palvelu kertoo, onko se tuoreessa takavarikoidussa aineistossa. Sama haku onnistuu myös tutussa haveibeenpwned.com-palvelussa.
Miksi juuri nyt? Europolin koordinoima isku sai 24. kesäkuuta talteen 27 miljoonaa varastettua tunnusta, ja tuo data jaettiin suoraan näihin tarkistuspalveluihin. Talteen saadut tiedot päätyivät myös No More Leaks -hankkeeseen, joka kokoaa vuotaneita tunnuksia poliisien käyttöön. Jos osumia löytyy, käyt artikkelin lopun ohjeet läpi. Jos ei, voit hengähtää. Ainakin tämän vuodon osalta.
Tällainen julkinen tarkistusmahdollisuus on harvinaista herkkua. Yleensä takavarikoitu rikollisaineisto jää viranomaisten kassakaappiin, mutta tällä kertaa data avattiin tavalliselle käyttäjälle. Suomalaisen lukijan kannattaa hyödyntää tilaisuus, sillä Amadeyn ja StealC:n kaltaiset työkalut eivät kysele kansallisuutta.
Mistä luvut tulevat
Operation Endgame kaatoi kahden tietovaras-haittaohjelman koneiston. Operaatio on jatkoa samalle iskulle, jonka SocGholish-vaihetta käsittelimme 23. kesäkuuta. Nyt vuorossa olivat Amadey ja StealC, joiden alasajo julkistettiin 24. kesäkuuta.
Luvut ovat kovat. Operaatiossa kaadettiin 326 palvelinta ja takavarikoitiin 142 verkkotunnusta. Talteen saatiin 27 miljoonaa varastettua tunnusta, ja rikollisilta jäädytettiin noin 41 miljoonan euron (noin 47 miljoonaa dollaria) edestä kryptovaroja.
Pidätyksiä ei tehty. Kyse oli infrastruktuurin lamauttamisesta, ei kiinniotoista. Kyseessä ei myöskään ole haavoittuvuus eikä CVE-numeroitu aukko, vaan palveluna myytävät haittaohjelmat. Rikolliset vuokraavat niitä kuin mitä tahansa ohjelmistoa, ja juuri tuon liiketoiminnan koneisto nyt katkesi.
Iskun takana oli laaja koalitio. Europolin ja kansallisten poliisien (Kanada, Tanska, Saksa, Alankomaat, Britannia, Yhdysvallat) rinnalla olivat mukana Microsoft DCU, Bitdefender, Bitsight, ESET, Proofpoint ja IBM X-Force.
Mitä Amadey ja StealC tekevät
Kaksi työkalua, kaksi roolia. Tämän kiteytti Steven Masada, Microsoftin digitaalisten rikosten yksikön johtava asianajaja.
– Amadey auttaa hyökkääjiä saamaan pääsyn laitteisiin, kun taas StealC varastaa salasanoja ja arkaluonteisia tietoja, Masada sanoo.
Tietovaras nappaa selaimeen tallennetut salasanat, evästeet ja istuntotunnisteet sekä kryptolompakoiden tiedot. Juuri istuntoevästeet tekevät vuodosta todella paljon vaarallisemman kuin moni ajattelee.
Tästä syystä pelkkä salasanan vaihto ei aina riitä. Rikollinen voi käyttää varastettua evästettä ohittaakseen kirjautumisen kokonaan, jolloin hän pääsee tilille ilman tunnusta tai monivaiheista tunnistautumista. Suomalaiselle tämä koskee yhtä lailla verkkopankkia, sähköpostia kuin kryptopörssin tiliä.
Tietovaras (infostealer)
Haittaohjelma, joka kahmii koneelta tallennetut salasanat, selaimen evästeet ja istuntotunnisteet. Varastettu istuntoeväste on kuin valmiiksi avattu ovi: sillä rikollinen pysyy sisäänkirjautuneena palveluun, vaikka vaihtaisit salasanan.
Microsoftin yhteenvedossa mainitaan myös noin 385 000 saastunutta järjestelmää. Tuo luku nojaa yhteen lähteeseen, kun taas palvelin-, verkkotunnus- ja tunnusmäärät on vahvistettu useammasta. Varmistettuihin lukuihin kannattaa siis luottaa ensisijaisesti.
Mitä tehdä
Aloita tarkistuksesta. Syötä sähköpostisi sekä politie.nl/checkyourhack- että haveibeenpwned.com-palveluun.
Jos osuma löytyy, oleta että salasanasi ovat vuotaneet. Toimi näin:
- Vaihda salasanat. Tee jokaiseen palveluun oma, uniikki salasana ja ota käyttöön salasananhallinta.
- Ota monivaiheinen tunnistautuminen (MFA) käyttöön kaikkialla, missä se on tarjolla.
- Kirjaa kaikki aktiiviset istunnot ulos. Tämän moni unohtaa. Varastettu eväste säilyy voimassa salasanan vaihdon jälkeenkin, joten istunnot on katkaistava erikseen.
- Aja koneelle kattava haittaohjelmatarkistus.
- Pidä kryptolompakkoasi silmällä, jos sellainen on käytössä.
Suomessa havaituista tapauksista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Infrastruktuuri on nyt poikki, mutta palveluna myytävät haittaohjelmat ovat osoittautuneet sitkeiksi. Rikolliset rakentavat uudet palvelimet, jos kysyntää riittää. Kuinka kauan tämä koneisto pysyy maassa, jää nähtäväksi – sillä välin kannattaa tehdä se kahden minuutin tarkistus.