Suomalaisen pk-yrityksen kaksi näkymätöntä tietoturva-aukkoa: DDoS ja sähköpostiväärennös

Useimmat tietoturvabudjetit menevät virustorjuntaan ja varmuuskopioihin. Sillä välin kaksi aukkoa pysyy auki ilman että kukaan huomaa: verkkosivuja kaatava palvelunestohyökkäys ja oman domainisi nimellä lähetetty huijausviesti. Kumpaakaan et tiedä ennen kuin asiakkaat soittavat. Tässä on mistä on kyse ja mitä asialle voi tehdä.

DDoS-hyökkäykset Suomessa

Mitä DDoS tarkoittaa pk-yrittäjälle

DDoS eli palvelunestohyökkäys tarkoittaa että joku ohjaa tuhansia botteja pommittamaan sivuasi yhtä aikaa. Sivu hidastuu, sitten kaatuu, sitten asiakkaasi näkevät tilausnappia painaessaan virhesivun. Hyökkääjälle riittää muutaman kymmenen euron botnet-vuokra. Sinulle se tarkoittaa että verkkokauppasi on pimeänä tunnin tai pari kesken Black Fridayn.

Kyberturvallisuuskeskus raportoi että Suomessa tapahtuu kymmeniä tuhansia palvelunestohyökkäyksiä vuosittain. Noin 80 prosenttia niistä kestää alle 15 minuuttia. Tarkoitus ei välttämättä ole sivuston tuhoaminen, vaan häirintä. Häirintä riittää kun verkkokauppasi sulkeutuu ostohetkellä.

198 Gbit/s — suurin Suomessa Q3/2024

Vuoden 2024 kolmannella neljänneksellä Suomessa mitattiin suurin tähän mennessä raportoitu DDoS-piikki: 198 gigabittiä sekunnissa. Se on yli kymmenkertainen tavalliseen suomalaisen verkkokaupan internet-yhteyteen verrattuna. Yksittäinen pk-yrityksen webhotelli ei kestä sellaista hetkeäkään.

Traficomin vuosikatsauksen mukaan vuonna 2024 viranomaiselle ilmoitettiin yli 18 000 kyberpoikkeamaa, minkä lisäksi automatisoituja ilmoituksia kertyi 185 000. Volyymi ei ole laskenut, se kasvaa.

Nordea, Helsinki ja Valio — ne joista kuulit, ja ne joista et

Syys-lokakuussa 2024 Nordea joutui usean DDoS-aallon kohteeksi. Verkkopankki kaatui toistuvasti ja asiakkaat eivät päässeet tileilleen. Saman vuoden isot tapaukset koskivat Helsingin kaupunkia, Valiota ja Peikko Groupia. Ne pääsivät uutisiin koska ne ovat tunnettuja brändejä.

Suomalainen 12 hengen putkiliike tai erikoistunut verkkokauppa ei pääse uutisiin kun sivu on neljä tuntia alhaalla.

Sen sijaan asiakkaat soittavat vaihteeseen, hakukoneet rekisteröivät katkon ja Google laskee sijoitusta. Hyökkäys on sama, vain mediahuomio puuttuu. Vuonna 2023 venäläisestä NoName057(16)-ryhmästä tuli tuttu nimi: se iski traficom.fi:hin syyskuussa 2023 ainakin kahdesti. Pienen pk-yrityksen ei tarvitse olla geopoliittinen kohde joutuakseen samalle listalle, automatisoitu botti löytää avoimet portit itsekseen.

Halpa webhotelli vs Anycast-suojattu hosting

Mitä halvempi hosting-paketti, sitä todennäköisemmin sivusi sijaitsee yhdellä palvelimella ilman kuormantasausta ja ilman DDoS-suodatusta. Kun hyökkäys tulee, palveluntarjoajan ainoa vaihtoehto on usein nollata sivusi IP-osoite ja toivoa parasta. Asiakkaalle se näkyy katkona ja toisinaan päivien sähköpostipingiksellä.

Anycast-tason suoja toimii toisin: hyökkäysliikenne hajaantuu kymmeniin datakeskuksiin ympäri maailmaa ennen kuin se ehtii palvelimellesi. Edge-tason DDoS-suojaus absorboi pyyntöpiikit ja päästää läpi vain oikeat kävijät. Tämä ei ole ydinfysiikkaa, se kuuluu hyvän hosting-paketin perusvarustukseen.

Sähköpostiväärennös ja BEC

54 prosenttia suomalaisista domaineista on paljaana

PowerDMARC:n helmikuun 2024 otos (715 suomalaista domainia) antoi karun tuloksen: 54,13 prosenttia oli kokonaan ilman DMARC-tietuetta ja 39,02 prosenttia ilman SPF-tietuetta. Vain 10,07 prosentilla oli p=reject-politiikka eli oikeasti suojaava asetus. 99,72 prosenttia oli ilman MTA-STS-tietuetta. Otoksessa ei ollut yhtään DNSSEC-suojattua domainia. Luvut ovat sen ajankohdan otantaa — eivät reaaliaikaista mittausta — mutta antavat realistisen kuvan suomalaisten pk-domainien tilasta.

Tämä tarkoittaa että noin kaksi suomalaista yritystä kolmesta ei voi millään tavoin todistaa että heidän nimissään lähetetty sähköposti tuli oikeasti heiltä. Postilaatikkoaan vastaanottaja ei sitä huomaa.

Mitä rikollinen voi tehdä ilman DMARC:ia

Kuvitellaan että yrityksesi on [email protected]. Domainisi yritys.fi ei sisällä SPF- tai DMARC-tietueita. Rikollinen avaa oman palvelimensa, asettaa lähettäjäkentäksi [email protected] ja lähettää viestin asiakkaalle:

"Hei Matti, laskumme tilinumero on muuttunut, uusi IBAN on FI12 3456…"

Viesti menee perille. Asiakkaasi näkee oikean nimesi ja oikean osoitteen, ja maksaa 4 800 euroa rikollisen tilille.

Tätä kutsutaan termillä BEC, Business Email Compromise. Europolin Suomi-raportin mukaan BEC muodostaa 10,6 prosenttia kaikista sähköpostipohjaisista hyökkäyksistä. Keskustelukaappaus eli viestiketjuun soluttautuminen kasvoi yli 70 prosenttia vuoteen 2022 verrattuna. Kyberturvallisuuskeskus on varoittanut laskutushuijauksista toistuvasti vuonna 2024.

SPF, DKIM, DMARC — mikä on mikä 60 sekunnissa

Kolme DNS-tietuetta jotka pitäisi olla jokaisella domainilla:

SPF kertoo vastaanottavalle palvelimelle mistä IP-osoitteista sinun sähköpostisi saa tulla. Jos lähettäjä on muualta, viesti hylätään.

DKIM lisää jokaiseen lähtevään viestiin kryptografisen allekirjoituksen. Vastaanottaja voi tarkistaa että viesti ei ole muuttunut matkalla ja että se tuli juuri sinun palvelimeltasi.

DMARC sitoo SPF:n ja DKIM:n yhteen ja kertoo vastaanottajalle mitä tehdä jos tarkistus epäonnistuu. p=reject on ainoa asetus joka oikeasti hylkää huijausviestit. p=none raportoi vain itsellesi mutta päästää viestit perille.

Asetukset ovat ilmaisia. Niiden tekemättä jättäminen ei säästä yhtäkään euroa, ja niiden puuttuminen voi maksaa yhden asiakkaan vuositason myynnin.

Logistiikkasektori 80 prosenttia paljaana

PowerDMARC:n samassa helmikuun 2024 otoksessa logistiikkasektori oli erityisen heikossa kunnossa: 80,29 prosenttia logistiikka-alan suomalaisista domaineista oli ilman SPF-tietuetta. Toimialaa on helppo arvostella, mutta sama tarina toistuu rakennusalalla, autokorjaamoissa ja hammaslääkäreissä — ja monessa muussa pk-vetoisessa sektorissa.

Syy on yksinkertainen: nämä ovat aloja joilla IT-osasto on usein yksi ulkopuolinen kumppani joka ei välttämättä ole päivittänyt sähköpostikonfiguraatiota sen jälkeen kun postilaatikot perustettiin 2014. Konfiguraatiota ei kukaan päivitä jos sitä ei kukaan koskaan tarkista.

Miksi `p=none` ei riitä

PowerDMARC:n otoksessa 28,81 prosenttia domaineista käytti p=none-asetusta. Asetus näyttää nimessään luotettavalta mutta tarkoittaa käytännössä että huijausviestit menevät edelleen perille. Vastaanottavan palvelimen ohje on tällöin: "raportoi domain-omistajalle mutta toimita viesti normaalisti". Toisin sanoen postilaatikkoonsa katsova asiakas ei näe mitään eroa oikean ja väärän laskun välillä.

p=none on hyödyllinen vain alkuvaiheen valvontatilana, jolloin kerätään dataa siitä mistä lailliset viestit oikeasti lähtevät. Kuukauden tai parin jälkeen asetus pitää nostaa joko p=quarantine-tasolle (huijaukset roskapostikansioon) tai suoraan p=reject-tasolle (huijaukset hylätään ennen perille tuloa). Tämä siirtymä jää tekemättä useimmilla.

MTA-STS ja DNSSEC — kaksi tietuetta jotka kukaan ei muista

Edes täydellinen SPF + DKIM + DMARC -konfiguraatio jättää yhden aukon: hyökkääjä voi yrittää siepata sähköpostiyhteyden matkalla TLS-downgrade-hyökkäyksellä ja lukea liikenteen selkokielisenä. MTA-STS-tietue pakottaa lähettävät palvelimet käyttämään salausta sinun domainisi kanssa. PowerDMARC:n otoksessa 99,72 prosenttia oli ilman tätä suojausta.

DNSSEC puolestaan estää sen että hyökkääjä syöttäisi DNS-vastauksissa väärennettyä SPF- tai MX-tietoa. Otoksen 715 domainista yksikään ei käyttänyt DNSSEC:iä. Molemmat tietueet ovat ilmaisia, mutta ne vaativat hosting-puolelta vähän vaivaa konfiguraatioon, ja siksi ne jäävät yleensä tekemättä.

Yhden palveluntarjoajan etu

Nämä kaksi aukkoa ovat siinä mielessä samanlaisia, että kumpikin syntyy vaikenemisesta. Hosting-paketti ei mainitse mainostekstissä että DDoS-suodatusta ei ole. DNS-paneeli ei kerro että SPF-tietue puuttuu. Sähköposti kulkee kunnes ei kulje, ja siinä vaiheessa selvitys on jälkihoitoa.

Resahost Pro -pakettiin kuuluu edge-tason Anycast-pohjainen DDoS-suojaus, joka hajauttaa hyökkäysliikenteen ennen kuin se ehtii palvelimellesi. Sähköpostipuolelle konfiguroidaan SPF, DKIM ja DMARC p=reject ennen kuin domain otetaan käyttöön, ja saatavilla on lisäksi muita sähköpostin ja DNS-tason tietoturvakontrolleja paketista riippuen. Yksi sopimus, yksi tarkistuslista, yksi vastuuosoite.

Et tarvitse erillistä DDoS-mitigaatiokumppania, et erillistä DMARC-konsulttia etkä omaa nimipalvelininfraa. Tarvitset sen että joku on varmistanut nämä puolestasi ennen kuin asiakkaasi soittaa kysyäkseen miksi sivu on alhaalla tai miksi laskussa oli oudot tilinumerot.

Jos haluat tarkistaa nykyisen tilanteen oman domainisi osalta, audit on maksuton ja kestää alle vuorokauden. Saat raportin jossa näkyy SPF-, DKIM-, DMARC-, MTA-STS- ja DNSSEC-tilanne sekä arvio siitä kestääkö nykyinen hosting realistisen DDoS-piikin. Raportti on selkokielinen, ja jokaisesta löydöstä on mainittu joko korjausohje tai arvio siitä kuinka kauan korjaus kestää. Sen jälkeen voit päättää itse haluatko siirtää koko paketin yhden katon alle vai korjata kohdat oman nykyisen palveluntarjoajasi kanssa.