Apple julkaisi päivityksiä MacOS Sierra, macOS Server, Safari ja iCloud
for Windows -ohjelmistoille. Päivitykset korjaavat useita haavoittuvuuksia.

*macOS Sierra*

Päivitykset korjaavat useita haavoittuvuuksia, joista kriittisimmät
voivat mahdollistaa hyökkääjälle ohjelmakoodin suorittamisen, kun
käyttäjä esimerkiksi vierailee tietyllä tavoin muotoilulla web-sivulla.

*Safari 10*

Päivitykset korjaavat useita haavoittuvuuksia, jotka voivat mahdollistaa
hyökkääjän ohjelmakoodin suorittamisen, XSS-hyökkäyksen tai osoiterivin
osoitteen väärentämisen.

*macOS Server 5.2*

Päivitykset korjaavat haavoittuvuuksia apache ja ServerDocs -ohjelmistoissa.

*iCloud for Windows 6.0*

Päivitys korjaa haavoittuvuuden, joka voi mahdollistaa hyökkääjän
ohjelmakoodin suorittamisen.

Viestintävirasto on saanut kuluvalla viikolla useita ilmoituksia
suomalaisiin yrityksiin kohdistuneista toimitusjohtajahuijauksista.
Meneillään olevissa huijauksissa yrityksen henkilöstöä yritetään saada
maksamaan virheellinen tilisiirto.

Useita suomalaisia yrityksiä on yritetty huijata maksamaan tilisiirto
rikollisten tilille. Meneillään olevassa kampanjassa huijaukset ovat
tapahtuneet sähköpostin välityksellä. Sähköposteja on lähetetty sekä
suomeksi, että englanniksi. Huijauksissa on käytetty niin sanottuja
huijaus- tai häivedomaineja, joissa lähettäjän verkkotunnus muistuttaa
erehdyttävästi organisaation oikeaa verkkotunnusta.

Esimerkiksi jos talousjohtajan oikea osoite on matti@yritys.fi,
saattavat rikolliset lähettää huijausviestejä osoitteesta
matti@yr1tys.fi. Nopealla tarkastelulla tällainen sähköpostiviesti voi
näyttää tuleen oman organisaation sisältä.

Myös väärennettyjä lähettäjäosoitteita on käytetty. Näissä tapauksissa
sähköpostin vastausosoitteesta paljastuu jokin muu osoite kuin
yritykselle kuuluva osoite, mutta sähköpostiohjelma näyttää sähköpostin
lähettäjäksi tutun henkilön.

22.6.2016 julkaistussa Tietoturva nyt!-artikkelissa “Käynnissä on
aktiivinen huijauskampanja, joka hyödyntää alkavaa lomakautta” on
neuvoja huijauksen ennaltaehkäisyyn tunnistamiseen.

Huijauksen ennaltaehkäisy ja tunnistaminen

Ohjeita kaikille työntekijöille:

1. Älä luota sokeasti sähköpostin lähettäjätietoihin, koska ne ovat
kohtuullisen helposti väärennettävissä.
* Vaikka sähköposti näyttää tulevan esimerkiksi tutulta
yritykseltä tai tutulta henkilöltä, saattaa lähettäjänä silti
olla kyberrikollinen.
* Varmista tarvittaessa sähköpostien oikeellisuus puhelinsoitolla.
Tarkistus kannattaa tehdä etenkin epätavallisissa tilisiirroissa
tai muissa tavanomaisesta toiminnasta poikkeavissa tilanteissa.
2. Varmista puhelimitse lähestyvän soittajan henkilöllisyys.
* Voit esimerkiksi soittaa takaisin henkilölle tämän yrityksen
puhelinkeskuksen kautta.
* Tarkista sähköpostissa mahdollisesti näkyvät yhteystiedot muuta
kautta.
* Älä hämäänny tutuista työkaverien nimistä, joita huijari saattaa
mainita uskottavuutta lisätäkseen.
3. Älä anna käyttäjätunnusta tai salasanaa puhelimitse.
4. Älä anna tietoja yrityksestä tai yrityksen käyttämästä teknologiasta
soittajalle, jota et tunne.

Ohjeita esimiehille:

1. Sovi käytännöt, minkä suuruisia maksuja voi käsitellä yksin ja miten
laskutustiedot tarkistetaan.
2. Kouluta henkilökunta tunnistamaan eri tavoin toteutetut huijausyritykset
3. Jaa havainnot huijausyrityksistä organisaation sisällä ja
Kyberturvallisuuskeskukselle sekä tee tarvittaessa rikosilmoitus.