Vastaamo.fi:n tietomurrosta ei toistaiseksi tiedetä vielä juuri mitään, mutta asiaa voidaan pohtia hieman yleisesti.
Tietomurrossa jollain tavalla on osallisina suomalaisia, sillä uhreille lähetetyissä sähköposteissa kirjoitetaan melko hyvää suomea. Ainakaan tekstiä ei ole suoraan translaterilla käännetty, sillä silloin teksti olisi vähän pöhlön kuuloista.
Viestissä sanotaan, että Vastaamon johto on kieltäytynyt ottamasta vastuuta omista virheistään. Onko siis niin, että Vastaamoa on kiristetty ensin? Tässä tapauksessa tieto tietovuodosta on voinut olla yrityksen tiedossa jo kauemmin.
Tietojen mukaan useat ihmiset ovat saaneet jo viestin, mutta tarkkaa määrää ei tiedetä. Jos ihmisiä, joiden tietoja on saatu, on kymmeniä tuhansia, niin silloin ensinnäkin viestien lähettämiseen on käytetty jonkinlaista massapostitussysteemiä, sillä yksittäisten viestien lähettäminen on liian työlästä. Toisaalta potilastiedoista on jouduttu noukkimaan kaikki sähköpostit, joten tämäkin viittaisi siihen, että tietovuoto on tapahtunut jo aikoja sitten.
Jos yrittää ajatella asiaa kiristäjän kannalta, niin on sittenkin luultavampaa, että yritystä ei ole suoraan yritetty kiristää, sillä silloin rahan saanti on 50-50. Yritys joko maksaa tai ei maksa. Homma olisi siinä.
Tietenkin on mahdollista, että myös yritystä on kiristetty. Se ei poistaisi muiden kiristämistä.
Joka tapauksessa kiristäjät ovat laskeneet sen varaan, että jos heillä on kymmeniä tuhansia sähköpostiosoitteita, niin heistä ainakin osa maksaa. Yksittäinen kiristyssummahan ei sinänsä ole suuri, vain 200 euroa. Maailmassa on tälläkin hetkellä meneillään erilaisia, mutta samankaltaisia kiristys- ja huijausjuttuja, jotka perustuvat juuri siihen, että summat ovat tarpeeksi pieniä, että ne eivät sinänsä vie uhria ahdinkoon.
Kiristäjä ajattelee jotenkin siten, että kun X-määrä uhreista maksaa, niin siitä kilahtaa Bitcoin-tilille kohtuullinen määrä, tai ainakin X-määrä euroja. Tekijät ovat laskeneet siten, että jos vaikkapa 1000 maksaa, niin siinäkin on jo 200 000 potissa.
Seuraavaksi kannattaa pohtia hieman toista juttua, eli sitä, että miten on mahdollista, että Vastaamon potilastiedot ovat ylipäätään päätyneet jollekin kolmannelle osapuolelle.
Tällä hetkellä ei tiedetä, että onko yrityksen asiakas- ja potilasrekisteri ollut “avoin” eli nettiin yhteydessä. Tällöin tietomurto voisi olla mahdollsta siten, että ulkopuolinen on saanut rekisterin esimerkiksi jotkut yleistunnukset. Teoriassa voisi olla mahdollista, että Vastaamon nettitunnukset ovat olleet hyvin yksinkertaisia, tyyliin käyttäjätunnus “admin” ja salasana “admin”.
Tällöin tietoihin oltaisiin päästy melko yksinkertaisesti ilman mitään sen kummempia hakkerin taitoja.
Kun taas jos asiakasrekisteri on “suljettu”, eli toimii ilman nettiverkkoa, niin silloin firmassa on melko varmasti vuotaja. Tarkennetaan “suljettua” asiakasrekisteriä sen verran vielä, että se on esim. talon sisäisessä verkossa oleva rekisteri, tai mahdollisesti vain yhdellä koneella oleva rekisteri.
Tällaiseen asiakasrekisteriin ei toisin sanoen voi päästä talon ulkoa käsin. Sellaista tapahtuu vain elokuvissa. Mitään etäkryptauksia ei ole olemassa.
Koska yritys, johon on murtauduttu, psykiatriseen toimintaan keskittynyt hoitoyritys, niin kannattaa pohtia myös seuraavia juttuja.
Ensinnäkin mielenterveysalalla toimivan yrityksen asiakasrekisteri ei äkkiseltään ole sellainen seksikäs kohde tietomurrolle, kuten jos nyt vaikkapa vertaisi toista ääripäätä joku pankin, vakuutusyhtiön tms. yrityksen asiakasrekisteri.
1) Onko kohteena ollut tietoisesti juuri ko. yritys, jonka asiakastietoja on tavoiteltu juuri siksi, että on kuviteltu potilaiden olevan erityisen herkkiä maksamaan kiristysrahoja?
2) Vai onko kyseisen yrityksen tietoturva vain ollut niin heikko, että on saatu puolivahingossa vaikkapa juuri nämä admin-tunnukset, ja sitä myöten asiakas- eli potilasrekisteri, niin vasta tämän jälkeen on kehitetty idea kiristyksestä?
Niiden tietojen perusteella, mitä on päivän mittaan saatu eri medioista, niin rekisterissä olleille asiakkaille kiristysviesti on massapostitettu. Viesti on kaikille ollut sama, mutta se on kuitenkin kohdennettu.
En ihan tarkkaan tiedä miten tällainen käytännössä toimii, mutta klikkailen usein uteliaisuuttani kymmeniä itselleni saapuvia Postnordin, Gigantin tms. yritysten nimissä tulevia huijausviestejä. Ne ovat myös massaviestejä, mutta niihin on kehitetty jokin tapa kohdentaa se viesti juuri kyseiselle vastaanottajalle.
Tarkoittaa sitä, että ei olisi järkevää huijarin kannalta kirjoittaa jokaista sähköpostia erikseen ja niihin erikseen vastaanottajan nimi. Sen jälkeen kun klikkaa linkkiä, josta voittokännykän muka voi lunastaa, niin tälläkin sivulla henkilöä puhutellaan henkilön omalla nimellä. Tässä on olemassa joku systeemi, jolla viestit massapostitetaan, mutta ne jollain tavalla saadaan näyttämään kohdennetulta.
Kuten oli Vastaamon asiakaille lähetetyt viestit.
Kymmenien tuhansien viestien oikea kohdentaminen olisi aivan liian työlästä ja kannattamatonta.
Joka tapauksessa jos on saanut kiristysviestin, niin siihen ei kannata reagoida mitenkään. On melko luultavaa, että kiristäjät eivät pidä mitään rekisteriä kuten yritys, joka päivittäin tai viikoittain tsekkaa tilitapahtumat. Eli toimii osto- ja myyntireskontran hoitajana.
Luultavasti kiristäjät vain ottavat ne rahat vastaan, joita heille lähetetään. Sen jälkeen he yrittävät myydä potilastietoja edelleen jollekin kolmannelle osapuolelle. Tai vielä luultavampaa on, että potilas-/ asiakasrekisterin sähköpostiosoitteet päätyvät jollekin huijariklikille, joka aloittaa spämmäämisen jollakin toisella huijauksella.
