Vastattu

Sähköpostia Elisalta tietoturvaongelmasta

  • 11 maaliskuu 2020
  • 15 kommenttia
  • 2479 katselukerrat

Käyttäjätaso 1

Hei,

 

Sain tässä tänään sekä tekstiviestillä, että sähköpostitse viestin Elisalta, jossa kerrotaan seuraavaa: 

 

 

Hei,
 
Saamamme ilmoituksen mukaan internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. Korjaa tietoturvaongelma mahdollisimman pian tai irrota laite verkosta. Muutoin liittymäsi joudutaan sulkemaan. Liittymän avauksesta veloitamme hinnaston mukaisen palvelumaksun.
 
Liittymätunnus: SC*********
Tietoturvaongelman kuvaus: Azorult

 

Ihmettelenkin nyt kovasti että mitähän tässä mahtaa olla taustalla, kun viestit eivät sitä tuon enempää avaa. Kaikissa laitteissa on Bitdefenderin ajan tasalla oleva virustorjunta, koko laitteisto on skannattu ja mitään ei löydy. Olen myös resetoinut modeemin ja reitittimen, sekä vaihtanut niihin salasanat vielä varmuuden vuoksi. Olen kyllä saanut tänään ihmeellisiä viestipyyntöjä facebookin messengerissä, jotka sinänsä saattaisivat liittyä Azorultiin, mutta en luonnollisesti ole linkkejä availlut. Enkä siis ole ainut, joka tuota roskaa on saanut, kun se tulee aina n. 200 ihmiselle kerralla spämmääjän luomaan ryhmäkeskusteluun.

 

Kummallista vain, että uhataan liittymän sulkemisella, kun laitteistosta ei löydy mitään kyseiseen troijalaiseen tai muuhunkaan viittaavaa. 

icon

Vastauksen tähän kysymykseen jakoi Keinotekoinen 12 maaliskuu 2020, 10:04

Hei,

 

Sain tässä tänään sekä tekstiviestillä, että sähköpostitse viestin Elisalta, jossa kerrotaan seuraavaa: 

 

 

Hei,
 
Saamamme ilmoituksen mukaan internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. Korjaa tietoturvaongelma mahdollisimman pian tai irrota laite verkosta. Muutoin liittymäsi joudutaan sulkemaan. Liittymän avauksesta veloitamme hinnaston mukaisen palvelumaksun.
 
Liittymätunnus: SC*********
Tietoturvaongelman kuvaus: Azorult

 

Ihmettelenkin nyt kovasti että mitähän tässä mahtaa olla taustalla, kun viestit eivät sitä tuon enempää avaa. Kaikissa laitteissa on Bitdefenderin ajan tasalla oleva virustorjunta, koko laitteisto on skannattu ja mitään ei löydy. Olen myös resetoinut modeemin ja reitittimen, sekä vaihtanut niihin salasanat vielä varmuuden vuoksi. Olen kyllä saanut tänään ihmeellisiä viestipyyntöjä facebookin messengerissä, jotka sinänsä saattaisivat liittyä Azorultiin, mutta en luonnollisesti ole linkkejä availlut. Enkä siis ole ainut, joka tuota roskaa on saanut, kun se tulee aina n. 200 ihmiselle kerralla spämmääjän luomaan ryhmäkeskusteluun.

 

Kummallista vain, että uhataan liittymän sulkemisella, kun laitteistosta ei löydy mitään kyseiseen troijalaiseen tai muuhunkaan viittaavaa. 

 

Mikäli olet saanut ilmoituksen haittaohjelmasta, tarkoittaa tämä sitä, että verkossa on havaittu tietoturvaongelma. Nämä ilmoitukset tulevat aina Elisalle luotettavilta tahoilta, kuten esimerkiksi Kyberturvallisuuskeskukselta. Turhaan näitä ilmoituksia ei siis lähetetä, vaan tarkoitaa juuri sitä että jollain internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. 

Ohjeita virustartunnan poistamiseen löydät myös täältä: https://elisa.fi/asiakaspalvelu/ohje/tietoliikenteen-vaarantaminen/

Katso alkuperäinen viesti

15 kommenttia

Käyttäjätaso 5
Kunniamerkki +3

Hei,

 

Sain tässä tänään sekä tekstiviestillä, että sähköpostitse viestin Elisalta, jossa kerrotaan seuraavaa: 

 

 

Hei,
 
Saamamme ilmoituksen mukaan internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. Korjaa tietoturvaongelma mahdollisimman pian tai irrota laite verkosta. Muutoin liittymäsi joudutaan sulkemaan. Liittymän avauksesta veloitamme hinnaston mukaisen palvelumaksun.
 
Liittymätunnus: SC*********
Tietoturvaongelman kuvaus: Azorult

 

Ihmettelenkin nyt kovasti että mitähän tässä mahtaa olla taustalla, kun viestit eivät sitä tuon enempää avaa. Kaikissa laitteissa on Bitdefenderin ajan tasalla oleva virustorjunta, koko laitteisto on skannattu ja mitään ei löydy. Olen myös resetoinut modeemin ja reitittimen, sekä vaihtanut niihin salasanat vielä varmuuden vuoksi. Olen kyllä saanut tänään ihmeellisiä viestipyyntöjä facebookin messengerissä, jotka sinänsä saattaisivat liittyä Azorultiin, mutta en luonnollisesti ole linkkejä availlut. Enkä siis ole ainut, joka tuota roskaa on saanut, kun se tulee aina n. 200 ihmiselle kerralla spämmääjän luomaan ryhmäkeskusteluun.

 

Kummallista vain, että uhataan liittymän sulkemisella, kun laitteistosta ei löydy mitään kyseiseen troijalaiseen tai muuhunkaan viittaavaa. 

 

Mikäli olet saanut ilmoituksen haittaohjelmasta, tarkoittaa tämä sitä, että verkossa on havaittu tietoturvaongelma. Nämä ilmoitukset tulevat aina Elisalle luotettavilta tahoilta, kuten esimerkiksi Kyberturvallisuuskeskukselta. Turhaan näitä ilmoituksia ei siis lähetetä, vaan tarkoitaa juuri sitä että jollain internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. 

Ohjeita virustartunnan poistamiseen löydät myös täältä: https://elisa.fi/asiakaspalvelu/ohje/tietoliikenteen-vaarantaminen/

Käyttäjätaso 7

Mikäli olet saanut ilmoituksen haittaohjelmasta, tarkoittaa tämä sitä, että verkossa on havaittu tietoturvaongelma. Nämä ilmoitukset tulevat aina Elisalle luotettavilta tahoilta, kuten esimerkiksi Kyberturvallisuuskeskukselta. Turhaan näitä ilmoituksia ei siis lähetetä, vaan tarkoitaa juuri sitä että jollain internet-liittymääsi kytketyssä laitteessa on tietoturvaongelma. 

Ohjeita virustartunnan poistamiseen löydät myös täältä: https://elisa.fi/asiakaspalvelu/ohje/tietoliikenteen-vaarantaminen/

Lisätäänpä tähän vielä , että ei ne virusskannerit kaikkea löydä ja nykyään voi olla haitakkeita myös modeemeissa ja reitittimissä. Niihinhän se tietsikan skanneri ei pääse käsiksi.

Hyvä puoli on , että modeemin/reitittimen putsaukseen yleensä riittää uudelleenkäynnistys , ei kuitenkaan aina.

Tuossa on linkki omaan kirjoitukseeni ehkä samantapaisesta “tietoturvaongelmasta”.


https://yhteiso.elisa.fi/tietoturva-69/arris-tg2492-ilm-tai-netgem-7700-scannaillut-mirain-valtaamana-kuukausia-toisten-samoja-mahdollisia-tietoturva-aukkoja-516435

En tiedä mikä sinun kohdallasi on ongelman takana. Mutta linux pohjainen verkkolaite huonolla tieturvalla + joku ominaisuus että paljastaa itsensä scannuksille tai elisan sulkeman smtp 25 portin tapa ilmoittaa itsensä maailmalle niin voi olla.

Omia portteja voi testata täällä https://www.grc.com/x/ne.dll?bh0bkyd2 jos linkki ei toimi niin grc.com , services,  shields up!

Tuosta saa sellaisen kuvan, että Elisa lähettää asiakkaan ihmeteltäväksi kirjeen, kun ensin joku on valittanut scannailuista tai ne on sattuneet osumaan jonkun tahon honeypottiin joka on ottanut jonkun otannan. Omista “näytteistä” palomuurin lokeista löytyy todella paljon Elisan ip osoitteita, muiden mukana. Jotkut osoitteet olivat vielä tämän vuoden puolella aktiivisia portti 23 koputtelijoita viime kesästä asti. Ei taida Elisa ainakaan kovin aktiivisesti seurailla, ainakaan täälläpäin.

Jutussani tuon esiin myös Elisan tavan ilmoittaa portin 25 olevan suljettu kun oikeanlainen scanni tulee ip_osoite /portti 25. Tämä taas riittää Miraille käynnistää toinen vaihe, jossa se alkaa pomittamaan sitä osoitetta ja kokeilemaan siihen koodattuja valmiita tehdas ym. salanoja tai bruteforcella arvailee niitä mm. porteissa 23, 2323 .

Ehkäpä käyttäjien aiheuttamien tieturvaongelmien lisäksi mirai piinaa juuri niitä verkkoja joissa ei pidetä portteja piilossa.

Pari mielenkiintoista linkkiä on myös ja jonkulainen hakumalli miten itse onnistuin näkemään oman tuona ajankohta olleen ip osoitteen ja mitä sen kautta oli scannailtu.

Yo. keskustelussa on sekä yleisiä ohjeita, että spesifinen kysymys ongelmasta nimetlä Azorult. En ole tietoturva-ammattilainen, vaikka teknologia-alueella toimin, mutta Azorult on ohjelmisto, joka asentuu vain Windows-koneeseen:

AZORult targets only MS Windows and users of other platforms are safe.

 

Näin ollen Azaorultin tapauksissa en näe, että modeeemin uudelleenkäynnistäminen korjaa ongelman, ei siitä kyllä haittaakaan ole.

 

Microsoftin ilmainen ja vakio-ohjelmisto tunnistaa ja poistaa Azorultin:

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Azorult&threatId=-2147217665

 

Itse sain saman viestin. Meillä on nyt etätöiden takia muutama työpaikan Windows-kone. Niistä ei löytynyt tätä ongelmaa, vaikka manuaalisesti ajoimme skannauksen läpi ja varmistin asiaa vielä yrityksemme tietoturvasta vastaavalta henkilöltä. 

 

Elisalle välitin palautetta, että viesteihin pitäisi lisätä enemmän yksilöivää tietoa ongelmalaitteesta, ja web-sivuille myös kuvaus ongelmasta: mihin laitteisiin se vaikuttaa ym., joka nyt vain yhdellä sanalla toimitetaan asiakkaalle: “Azorult” samalla kun uhataan sulkea nettiliittymä, jonka saa sitten rahalla auki.

 

Sinänsä on hienoa, että tällaista palvelua kehitetään eteenpäin, jossa kuluttaja saa tiedon havaituista puutteista/uhista, jatkakaa sitä yhä. :-) 

 

PS. Löysin viitteitä Azorultiin myös koronan hyödyntämisestä, rikolliset laittavat koronatartunavisualisointiohjelmaan sen mukaan l. ei kannata asennella mitään corona.exejä.

 

Käyttäjätaso 4

Tänään tuli minullekkin kyseinen viesti. Syynä Tietomurtoyrityksiä ? Vähän tarkempi info ei olisi yhtään pahitteeksi kun kerran tietävät mitä on tapahtunut.

Samassa viestissä oli linkit elisan sivuille jossa ohjeita asian korjaamiseen. En nyt kuitenkaan lähde asentelemaan joka koneeseen windowssia uudestaan. Oli myös puhelinnumero maksulliseen omaguruun...

 

Mitäs luulette jos omaguruun soittaa, tuleeko sieltä samat ohjeet kuin elisan web sivuilla, vai onko siellä oikeasti ko. tapauksesta logia ja tietoa mitä on yritetty tehdä ?

 

Greynoisen sivuilla sanottiin että ip:stäni on opportunistisesti skannailtu porttia 22 ..

 

Kyseessä on siis ainoa portti joka minulla oli arriksessa auki ulkomaailmasta kotiverkkoon tiettyyn ip osoitteeseen. Laitoin sen nyt kiinni. Mitään muuta vikaa en mistään löytänyt.

Nyt ei voi muuta kuin odottaa että onko elisa tyytyväinen vai joutuuko vaihtamaan palveluntarjoajaa.

Käyttäjätaso 5
Kunniamerkki +1

Moi @tontze! Jos laitat meille tarkemempia tietojasi yksityisviestillä, niin voidan tarkastaa olisiko tarkempia tietoja haitakkeesta saatavissa. Noita “varoitussähköposteja” tulee aina muutama, ennen kuin yhteyksiä lähdetään sulkemaan. Eli jos ensimmäisen viestin jälkeen teet putsaukset laitteelle ja uutta varoitusta ei viikon tai kahden kuluessa tule, niin ongelma on poistunut. 

Käyttäjätaso 4

Moi @tontze! Jos laitat meille tarkemempia tietojasi yksityisviestillä, niin voidan tarkastaa olisiko tarkempia tietoja haitakkeesta saatavissa. Noita “varoitussähköposteja” tulee aina muutama, ennen kuin yhteyksiä lähdetään sulkemaan. Eli jos ensimmäisen viestin jälkeen teet putsaukset laitteelle ja uutta varoitusta ei viikon tai kahden kuluessa tule, niin ongelma on poistunut. 


Juurikin ilokseni huomasin että omagurulla on myös chat. Siellä juuri paraikaa asiaa setvitään.

Mitä tarkoita tarkemmilla tiedoilla, nehän ovat  “Tietomurtoyrityksiä” .. Täss saattais olla hiukan petrattavaa :)

Käyttäjätaso 5
Kunniamerkki +1

No hyvä! Sieltä chatista homma kyllä etenee. Tarkemmilla tiedoilla tarkoitan lähinnä katuosoitetta, jonka perusteella löydetään tuo kyseinen liittymä jota tuo ongelma koskee.

Käyttäjätaso 4

No hyvä! Sieltä chatista homma kyllä etenee. Tarkemmilla tiedoilla tarkoitan lähinnä katuosoitetta, jonka perusteella löydetään tuo kyseinen liittymä jota tuo ongelma koskee.


Juu, eipä sieltä nyt paljoa irronnut. Syy ei selvinnyt, mutta katsellaan oisko asiat korjaantuneet nykyisillä uudelleenkäynnistämisillä ja tuon yhden portin sulkemisella.

Mysteeriksi jäi.

Käyttäjätaso 5
Kunniamerkki +1

No hyvä! Sieltä chatista homma kyllä etenee. Tarkemmilla tiedoilla tarkoitan lähinnä katuosoitetta, jonka perusteella löydetään tuo kyseinen liittymä jota tuo ongelma koskee.


Juu, eipä sieltä nyt paljoa irronnut. Syy ei selvinnyt, mutta katsellaan oisko asiat korjaantuneet nykyisillä uudelleenkäynnistämisillä ja tuon yhden portin sulkemisella.

Mysteeriksi jäi.

Laita ihmeessä vielä yksityisviestillä osoitteesi, niin kurkataan meidän toimesta että onko tuosta lisätietoja saatavilla. :relaxed: Varmaksi en lupaa että lisätietoa on saatavilla, mutta voin kyllä yrittää hiukan kaivella!

Käyttäjätaso 4

No hyvä! Sieltä chatista homma kyllä etenee. Tarkemmilla tiedoilla tarkoitan lähinnä katuosoitetta, jonka perusteella löydetään tuo kyseinen liittymä jota tuo ongelma koskee.


Juu, eipä sieltä nyt paljoa irronnut. Syy ei selvinnyt, mutta katsellaan oisko asiat korjaantuneet nykyisillä uudelleenkäynnistämisillä ja tuon yhden portin sulkemisella.

Mysteeriksi jäi.

Laita ihmeessä vielä yksityisviestillä osoitteesi, niin kurkataan meidän toimesta että onko tuosta lisätietoja saatavilla. :relaxed: Varmaksi en lupaa että lisätietoa on saatavilla, mutta voin kyllä yrittää hiukan kaivella!


Laitettu :)

Minä sain myös tänään (4.5.2020) a.o. tekstarin Elisalta, enkä tiedä miten pitäis toimia……

Voiko johtua verkossa olevista älypistorasioista vai mikä voisi olla syynä?

 

“Hei! Internet-liittymässäsi  SC********** on havaittu tietoturvaongelma. Liittymään liitettyä päätelaitetta on käytetty hyväksi esimerkiksi palvelunestohyökkäyksiin. Tarkempi syy: Porttiskannaus Estä väärinkäyttö mahdollisimman pian tai liittymä saatetaan sulkea. Ohjeita väärinkäytön estämiseksi saat sivuilta elisa.fi/abuse kohdasta 'Palvelun väärinkäyttö' tai soittamalla Omaguruun 0600 900 500 (2,28 e/min+mpm/pvm). Suljetun liittymän avauksesta veloitamme hinnaston mukaisen palvelumaksun 12 €. Terveisin Elisa.”

Käyttäjätaso 4

Moikka @Liimis ja tervetuloa OmaYhteisöön! :blush:

Kurja kuulla että sinullekin on jokin pöpö iskenyt :sweat:  tässä ketjussa löytyykin jo aika hyvin ylempää vinkkejä miten nyt kannattaa edetä. Jos ja kun olet saanut ilmoituksen haittaohjelmasta tai muusta tietoturvarikkeestä se siis tarkoittaa sitä, että verkossa on havaittu tietoturvaongelma mikä liittyy joko modeemiin tai reitittimeen, tietokoneeseen, tai muihin laitteisiisi. Voi siis olla myös kyse älypistoradioista jos niissä on jokin tietoturvaongelma mikä on altistanut laitteet sille, että niitä on käytetty hyväksi esimerkiksi juurikin palvelunestohyökkäyksessä. Tarkempia ohjeita löytyy tältä sivulta jos haluat käynnistellä itse laitteet vielä uudestaan sekä ajaa kaikki virusturvat yms. läpi, ja jos tarvitset laitteiden putsaukseen enemmän apua niin meidän Omaguru-tiimi pääsee auttelemaan sitten tarkemmin.

Jos haluat että kurkataan löydetäänkö me tarkempaa tietoa tuosta niin laitatko vaikka profiiliisi vielä asiakasnumeron, ja jos haluat jatkaa asiaa mieluummin yksityisviestitse niin voit laittaa aina viestiä profiilin @OmaYhteisö-tiimin kautta :slight_smile:

Moikka @Liimis ja tervetuloa OmaYhteisöön! :blush:

Kurja kuulla että sinullekin on jokin pöpö iskenyt :sweat:  tässä ketjussa löytyykin jo aika hyvin ylempää vinkkejä miten nyt kannattaa edetä. Jos ja kun olet saanut ilmoituksen haittaohjelmasta tai muusta tietoturvarikkeestä se siis tarkoittaa sitä, että verkossa on havaittu tietoturvaongelma mikä liittyy joko modeemiin tai reitittimeen, tietokoneeseen, tai muihin laitteisiisi. Voi siis olla myös kyse älypistoradioista jos niissä on jokin tietoturvaongelma mikä on altistanut laitteet sille, että niitä on käytetty hyväksi esimerkiksi juurikin palvelunestohyökkäyksessä. Tarkempia ohjeita löytyy tältä sivulta jos haluat käynnistellä itse laitteet vielä uudestaan sekä ajaa kaikki virusturvat yms. läpi, ja jos tarvitset laitteiden putsaukseen enemmän apua niin meidän Omaguru-tiimi pääsee auttelemaan sitten tarkemmin.

Jos haluat että kurkataan löydetäänkö me tarkempaa tietoa tuosta niin laitatko vaikka profiiliisi vielä asiakasnumeron, ja jos haluat jatkaa asiaa mieluummin yksityisviestitse niin voit laittaa aina viestiä profiilin @OmaYhteisö-tiimin kautta :slight_smile:


Lähetetty yv:llä liittymänro ja lisätty asiakasnro profiiliin:slight_smile:

Käyttäjätaso 4

Kiitos @Liimis:blush: Huomasinkin vasta nyt että olitkin tosiaan jo aiemmin kerennyt laittaa viestiä :sweat_smile:  @roopeg oli kerennyt sinulle jo kertaalleen vastailemaankin. Palailin sinulle viellä yksityisviestitse, toivotaan että noista vinkatuista toimenpiteistä olisi nyt apua, ja jos laajakaista menee sulkuun niin sitten pitää kokeilla jotain järeämpiä toimenpiteitä :thumbsup_tone2:

Osallistu keskusteluun