"Tietomurto laitteeltanne" lähettäjänä Telia

Pettynyt
Pettynyt Viestejä: 5 New Member

Käytän maksettua F-Securen ohjelmistoa ja sain tänään 3.6.2024 Telialta alempana olevan sähköpostin. Olen tarkistanut koneeni ja mitään uhkia, tietomurtoja jne. ei löydy. Mitähän ihmettä? Eikö F-Secure suojaakaan konettani? Eniten silti ketuttaa ettei saa / ei edes ole mahdollista saada tukeen yhteyttä! Tässä kuitenkin sähköposti:


"Olemme saaneet tietoomme, että Internet-liittymäänne kytketty tietokone tai muu laite on saastunut haittaohjelmalla ja on päätynyt rikollisten etähallintaan osaksi ns. bottiverkkoa. Kaapattuja koneita ja laitteita käytetään yleensä käyttäjän vakoiluun ja tietoliikenteen häirintään.

Viimeisimmät liittymäänne koskevat raportit:
2024-06-02T11:38:30 (GMT+3) bot, Malware: 911 s5, C&C Ip: 5.79.71.205, C&C Port: 443, Http Request:
POST /api/getversion HTTP/1.1, Source Port: 19833 [86.115.69.120 IMEI:-873205]
2024-06-02T11:39:05 (GMT+3) bot, Malware: 911 s5, C&C Ip: 178.162.203.202, C&C Port: 443, Source
Port: 19197 [86.115.69.120 IMEI:-873205]
2024-06-02T11:44:59 (GMT+3) bot, Malware: 911 s5, C&C Ip: 5.79.71.225, C&C Port: 443, Source Port:
19290 [86.115.69.120 IMEI:-873205]
2024-06-02T11:53:27 (GMT+3) bot, Malware: 911 s5, C&C Ip: 178.162.203.211, C&C Port: 443, Http
Request: POST /api/node HTTP/1.1, Source Port: 19400 [86.115.69.120 IMEI:-873205]
2024-06-02T12:49:38 (GMT+3) bot, Malware: 911 s5, C&C Ip: 178.162.203.202, C&C Port: 443, Http
Request: POST /api/node HTTP/1.1, Source Port: 19132 [86.115.69.120 IMEI:-873205]
2024-06-02T13:30:16 (GMT+3) bot, Malware: 911 s5, C&C Ip: 5.79.71.225, C&C Port: 443, Http Request:
POST /api/node HTTP/1.1, Source Port: 19645 [86.115.69.120 IMEI:-873205]
2024-06-02T13:32:11 (GMT+3) bot, Malware: 911 s5, C&C Ip: 5.79.71.205, C&C Port: 443, Source Port:
20004 [86.115.69.120 IMEI:-873205]
Ryhdyttehän välittömästi toimiin saastuneen koneen/laitteen löytämiseksi ja irrottamiseksi verkosta.
Saatte tarvittaessa apua koneen puhdistukseen lähimmästä tietokonehuollostanne tai maksullisesta Telia
Helppi -palvelusta, puh. 0600 10 100 ma-pe klo 8-20, la klo 9-16 (2,50 €/puhelu + 2,50 €/alkava min +
mpm/pvm), www.telia.fi/helppi"

Hyväksytty vastaus

  • Firmy
    Firmy Viestejä: 1,905 Community Manager
    Vastaus ✓

    Hei @Pettynyt @Anna_Aaltonen @Javo

    Tervetuloa F-Secure-yhteisöön. Kiitos viestistäsi ja kommentistasi.

    Emme pysty vahvistamaan sähköpostin aitoutta, koska se on lähetetty palveluntarjoajaltasi, Telialta. Suosittelemme tarkistamaan suoraan Telialta lisätietoja sähköpostin sisällöstä, sillä he voivat auttaa sinua tässä asiassa.

    F-Secure kuitenkin suojaa sinua ja laitteitasi skannaamalla laitteesi reaaliajassa, peittämällä IP-osoitteesi, kun olet yhteydessä VPN-palvelimiimme, tallentamalla henkilökohtaiset tietosi turvallisesti ja valvomalla mahdollisia tietomurtoja.

    Jos haluat varmistaa laitteesi turvallisuuden, suorita skannaus. Ilmoitathan meille, jos tarvitset lisäapua.

    Kiitos ja mukavaa päivänjatkoa.

    Firmy
    Community Manager | F-Secure Community
    🔐 Strengthening digital security through knowledge and collaboration
    🌐 Explore our User Guides | Knowledge Base for self-help resources
    💻 Empower yourself with Cybersecurity Insights and protect what matters
    📢 Help Shape Our New Homepage! Share your input in our design survey.

Vastausvaihtoehdot

  • Anna_Aaltonen
    Anna_Aaltonen Viestejä: 5 Observer

    Sama ongelma täällä, mutta en ole vielä selvittänyt millä laitteella haittaohjelma luuraa. F-secure on vain yhdessä laitteessa, mutta löytääkö sekään tätä?

  • Pettynyt
    Pettynyt Viestejä: 5 New Member

    Itse sain ratkaisun netistä kaiveltua ja tässä linkki miten tuon "botin" saa hävitettyä. Itse löysin Windowsin "Aloitus"-painikkeen kautta "ShieldVPN" kansion kun selasin ohjelmistolistaa alaspäin. Avasin tiedostosijainnin ja heitin roskakoriin koko kansion. Sitten kone kiinni ja uudelleenkäynnistys, itse tarkistin että tosiaan lähti pois.

    Upotetun kohteen näyttämisessä tapahtui virhe.

  • Pettynyt
    Pettynyt Viestejä: 5 New Member

    Niin, F-secure ei tuota tunnistanut vaikka "botti" oli aktiivinen (näky että käytti koko ajan muistia ja nettiyhteyttä).

  • Javo
    Javo Viestejä: 50 Contributor

    Saisiko nyt VIHDOIN kommenttinne / vastauksenne, mistä tässä on kyse? Kysymys on tehty jo 10 pv sitten (TELIAN ILMOITUS):

    "Olemme saaneet tietoomme, että Internet-liittymäänne kytketty tietokone tai muu laite on saastunut haittaohjelmalla ja on päätynyt rikollisten etähallintaan osaksi ns. bottiverkkoa. Kaapattuja koneita ja laitteita käytetään yleensä käyttäjän vakoiluun ja tietoliikenteen häirintään …”

    Ja jos näin on, MITEN IHMEESSÄ TÄMÄ ON ”LÄPÄISSYT” F-SECUREN SUOJAUKSEN? Kyseessä on vakava asia!

  • Pettynyt
    Pettynyt Viestejä: 5 New Member

    Yritin F-securelta tätä kysyä mutta kun yhtiö ei välitä asiakaspalvelusta niin eipä sitten saa vastaustakaan. En ainakaan jatka tällaisen feikkivirustorjuntaohjelmiston tilaustani.

  • Pettynyt
    Pettynyt Viestejä: 5 New Member

    F-secure EI todellakaan suojaa konetta vaikka kuinka monta kertaa skannaa niin botti on edelleen aktiivinen.

  • Javo
    Javo Viestejä: 50 Contributor

    Tuo on kyllä hyvin OUTO kommentti / vastaus @Firmyltä: (ja herättää paljon uusia kysymyksiä)

    ”Emme pysty vahvistamaan sähköpostin aitoutta, koska se on lähetetty palveluntarjoajaltasi, Telialta. Suosittelemme tarkistamaan suoraan Telialta lisätietoja sähköpostin sisällöstä, sillä he voivat auttaa sinua tässä asiassa.”

    1. Vahvistamaan sähköpostin aitoutta … miten sen tekisitte?

    2) Onko Telialta tullut ilmoitus jotenkin epäluotettava?

    3) Vai ettekö usko F-Secure käyttäjän kertomukseen?

    4) Vai arveletteko verkkorikollisten lähettäneen sähköpostin Telian nimissä?

    5) Eikö siis F-Secure edes aio tutkia sähköpostin sisältöä, jolloin voisi mahdollisesti todeta / selvitä, onko se ”aito”?

    Ja … taas kerran siirrettiin sujuvasti "jatkotoimenpide vastuu" muualle (Telialle)!😒

    Haluan yllä olevaan @Firmyn kommentin + vastaukset!

  • Firmy
    Firmy Viestejä: 1,905 Community Manager

    Hei @Pettynyt @Javo

    Kiitos yksityiskohtaisesta palautteestasi ja kysymyksistäsi. Arvostamme mahdollisuutta selventää aiempaa vastaustamme.

    Ensisijainen tavoitteemme on varmistaa turvallisuutesi ja käsitellä huolenaiheitasi parhaalla mahdollisella tavalla.

    1. Sähköpostin aitouden vahvistaminen: Koska sähköposti on lähetetty Telialta, emme voi vahvistaa sen aitoutta suoraan. Telialla lähettäjänä on tarvittavat tiedot ja asiayhteys sähköpostin aitouden varmistamiseksi.
    2. Luottamus Telian ilmoitukseen: Emme epäile Telian ilmoituksia. Suosittelemme ottamaan heihin yhteyttä varmistaaksesi, että saat tarkimmat tiedot suoraan lähteestä.
    3. Luottamus käyttäjän raporttiin: Arvostamme ja uskomme käyttäjiemme raportteihin. Suosituksemme ottaa yhteyttä Teliaan on askel kohti luotettavaa ratkaisua.
    4. Mahdolliset tietojenkalasteluhuolenaiheet: Jos sähköposti voisi olla tietojenkalasteluyritys, Telia olisi paras taho vahvistamaan tämän, koska he voivat jäljittää sähköpostin alkuperän.
    5. F-Securen rooli: Vaikka keskitymme suojaamaan laitteitasi reaaliaikaisella skannauksella ja turvatoiminnoillamme, luotamme lähettäjän vahvistukseen sähköposteista, erityisesti muilta palveluntarjoajilta kuten Telialta.

    Miksi F-Secure ei voi valvoa sähköpostin sisältöä: F-Securen ensisijainen fokus on laitteiden ja verkon suojaamisessa. Emme valvo sähköpostien sisältöä yksityisyyden suojaamisen ja tietosuojamääräysten noudattamisen vuoksi. Sähköpostien sisällön valvominen vaatisi pääsyn henkilökohtaisiin ja mahdollisesti arkaluonteisiin tietoihin, mikä on palveluidemme ulkopuolella ja ristiriidassa käyttäjien yksityisyyden suojelun sitoumuksemme kanssa.

    Suojaus vaarallisilta linkeiltä: Jos vahingossa klikkaat vaarallista linkkiä sähköpostissa, F-Secure suojaa sinua selaussuojauksen avulla. Tämä ominaisuus auttaa estämään pääsyn haitallisille verkkosivustoille ja pitää selailukokemuksesi turvallisena.

    Kiitos kommenteistasi. Ymmärrämme täysin huolesi turvallisuudesta.

    Jos epäilet sähköpostin aitoutta, suosittelemme vahvasti suorittamaan turvallisuusskannauksen laitteellasi F-Securella. Tämä auttaa tunnistamaan mahdolliset uhat.

    Ilmoitathan meille, jos tarvitset lisäapua tai sinulla on lisäkysymyksiä. Olemme täällä auttamassa.

    Kiitos ymmärryksestäsi ja mukavaa päivänjatkoa.

    Firmy
    Community Manager | F-Secure Community
    🔐 Strengthening digital security through knowledge and collaboration
    🌐 Explore our User Guides | Knowledge Base for self-help resources
    💻 Empower yourself with Cybersecurity Insights and protect what matters
    📢 Help Shape Our New Homepage! Share your input in our design survey.

  • Anna_Aaltonen
    Anna_Aaltonen Viestejä: 5 Observer

    Hei @Firmy

    Rupesin tässä jo pelkäämään, että nerokas huijari pyytää henkilötunnustani ja osoitettani, tietää nettiliittymäni tunnuksen, sekä sopimuksen voimassaolopäivämäärät. Sain tänään tekstiviestin Telialta, missä ilmoitettiin, että liittymäni suljetaan, koska rikolliset pitävät edellään hallussaan laitettani. Olen siis skannanut Windows-laitteet F-Securella (ainut laite, joka on ollut päällä / yhdistettynä verkkoon Telian sähköpostissa mainittuina aikoina), mutta mitään ei ole löytynyt. Ei löytynyt myöskään Kyberturvallisuuskeskuksen ohjeilla, millä katsottiin läpi tehtävienhallinnan kautta mahdolliset VPN-sovellukset. Mikä kummalisinta, verkkokin toimii edelleen normaalisti. Olen tarkistanut tosin Tetherillä (laitteen etähallintaohjelma), että reititin on yhdistetty ainoastaan tuttuihin laitteisiin JA Telian verkkokaappiin.

    Mikä avuksi?

  • Anna_Aaltonen
    Anna_Aaltonen Viestejä: 5 Observer

    Verkko lopetti toimintansa, kun soitin F-securen asiakaspalvelusoiton jälkeen uudestaan Telian asiakaspalveluun. Suostuivat avaamaan liittymän uudelleen, kun kerroin noudattaneeni F-securen asiakaspalvelusta saamaani ohjetta resetoida reititin. Väittivät Telialla, etteivät näe häiriöraportin IP-osoitteesta, mikä laite häiriöraportteja aiheuttaa - voiko pitää paikkansa? Sovimme, että pidän vain yhtä laitetta kerrallaan Telian laajakaistassa (tulee vaikeuttamaan meidän arkeamme melko lailla), jotta selviää onko syypäänä reititin, vai jokin kone.

    Telian asiakaspalvelijan mukaan kuulemma F-securekaan ei välttämättä näe haittaohjelmaa, mikäli käyttäjä on itse ladannut ohjelman/tiedoston koneelleen. Miten tässä tapauksessa silloin kannattaisi sitten menetellä?

  • Javo
    Javo Viestejä: 50 Contributor

    Hei @Pettynyt ja @Anna_Aaltonen

    Koska F-Secure ei pysty antamaan vastausta, suosittelen lähettämään Telian sähköpostin arvioitavaksi Kyberturvallisuuskeskukseen – siellä on paras tietotaito Suomessa:

    cert@traficom.fi

    Ottavat sinne mielellään tutkittavaksi / analysoitavaksi mahdollisia uusia tietoturvauhkia – näin olen itsekin toiminut saamieni huijausviestien suhteen.

    Toivoisin, että julkaisette Kyberturvallisuuskeskuksen vastauksen tällä foorumilla – käytössähän on ollut koko ajan F-Securen tietoturvasuojaus!

    Ja … tilanne näyttää edenneen "mystiseksi" / pahaksi, kun kerran Telia aikoi sulkea liittymän!

  • FS_Manu
    FS_Manu Viestejä: 192 Moderator

    Hei @Anna_Aaltonen !

    Aiemmassa kommentissa mainittiin että syypää saattaa olla "shieldVPN"-sovellus. Kannattaa siis tarkistaa löytyykö kyseinen ohjelma laitteelta ja tarvittaessa poistaa se. Uskon että pitää paikkaansa, että Teliakaan ei välttämättä näe mikä laite tai ohjelma häiriöraportteja aiheuttaa.

  • Javo
    Javo Viestejä: 50 Contributor

    Yksi tavalliselle käyttäjälle TÄRKEÄ asia / kysymys on nyt unohtunut täysin!

    KYSYMYS F-SECURELLE: Havaitsisiko tietokoneen tai laitteen F-Secure suojaus (reaaliaikainen suojaus, manuaalinen skannaus), jos verkkorikolliset olisivat kaapanneet tietokoneen tai laitteen omaan käyttöönsä bottiverkon osaksi = "saastunut" laite?

    Haluan tähän suoran vastauksen - tämä on tärkeä tieto käyttäjille!

    Tämä tapaus liittynee alla (linkki) tarkemmin kuvattuun isoon juttuun, missä on mm. ShieldVPN haitallisena sovelluksena mukana. Ilmaiset, laittomat VPN-palvelut oli pakattu piraattivideopeleihin ja ohjelmistoihin, joita uhrit latasivat laitteilleen.

    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/911-s5-bottiverkossa-tuhansia-suomalaisia-ip-osoitteita-mukana#:~:text=911%20S5%20%2Dbottiverkkoa.-,N%C3%A4in,-tunnistat%20ja%20poistat

  • Firmy
    Firmy Viestejä: 1,905 Community Manager
    editoi kesäkuu 29

    Hei @Javo

    Kiitos kommentistasi.

    Yksinkertainen vastaus kysymykseesi on kyllä! F-Securen suojaus (sekä reaaliaikainen suojaus että manuaalinen skannaus) on suunniteltu havaitsemaan, jos tietokoneesi tai laitteesi on vaarantunut ja sitä käytetään osana bottiverkkoa, jolloin se on "tartunnan saanut" laite. Turvaratkaisumme on varustettu tunnistamaan ja lieventämään tällaisia uhkia, jotta laitteesi pysyy turvassa.

    Tapaus, jonka mainitsit, korostaa ilmaisten, laittomien VPN-palveluiden riskejä, jotka on yhdistetty piraattivideopeleihin ja -ohjelmistoihin. F-Secure suosittelee vahvasti käyttämään laillisia ohjelmistoja välttääkseen tällaiset turvallisuusriskit.

    Tässä on hyödyllisiä viitteitä oppaaksesi:

    Kiitos ja hyvää päivänjatkoa.

    Firmy
    Community Manager | F-Secure Community
    🔐 Strengthening digital security through knowledge and collaboration
    🌐 Explore our User Guides | Knowledge Base for self-help resources
    💻 Empower yourself with Cybersecurity Insights and protect what matters
    📢 Help Shape Our New Homepage! Share your input in our design survey.

  • Javo
    Javo Viestejä: 50 Contributor

    Tuo oli hyvä ja tärkeä tieto kaikille tietokoneen käyttäjille!

    Lopulta siis näiden isojen ongelmien aiheuttajaksi paljastuikin käyttäjän oma toiminta. Aina ottaa kyllä nykyään ison tietoturvariskin, jos lataa laittomia piraattipelejä tai -ohjelmia.😒

  • Anna_Aaltonen
    Anna_Aaltonen Viestejä: 5 Observer

    Meillä ei ole mistään laitteelta löytynyt shieldVPN-sovellusta, eikä mitään muitakaan sovelluksia, jotka Kyberturvallisuuskeskuksen ohjesivulla mainitaaan. Tässä on ongelmana myös se, että Telian asiakaspalvelusta ei saa tietoa tietomurtoraporteista, koska Telia on ulkoistanut tietoturvatoimintansa. Telia Securiy Operations center on siis jokin Telian alihankkija, joka toimittaa haluamassaan tahdissa tietomurtoraportteja sekä palvelunostajalleen Telialle, että loppukäyttäjälle - Ja telia sulkee liittymät, joissa otsikon mukaista ongelmaa ei saada hallintaan - mutta ajantasaista tietoa tieoturvapoikkeamista ei saa sitten millään.

  • ame111
    ame111 Viestejä: 12 Enthusiast

    Kyberturvallisuuskeskuksen sivuilta löytyy ohjeet hakusanalla 911 S5.

    Kyseessä on siis VPN-sovellus ja tekee työtä käskettyä, eli kierrättää liikenteesi heidän servereiden kautta. Tästä syystä läpäissyt f-securen skannerit, koska se toimii kuten kuuluukin. Ongelma on vaan että kyseiset ilmaiset vpn-sovellukset tässä tapauksessa ovat muuttaneet koneesi välityspalvelimeksi jota myös rikolliset hyödyntäneet oman liikenteen kierrättämisessä.

    Tätä bottiverkkoa ollaan purkamassa ja nyt käyttäjille joilla näitä vpn-sovelluksia on asennettu selaimen liitännäiseksi/omiksi softiksi koneelle ilmoitellaan, että osaavat poistaa.

  • ame111
    ame111 Viestejä: 12 Enthusiast

    Myös se, että operaattorithan vaan ilmoittavat asiakkaille haittaliikenteestä, jonka tiedon saavat kyberturvallisuuskeskukselta. Jos haluaa lisätietoja noista haittaliikenneilmoituksista, kannattaa laittaa postia kyberkeskukseen ilmoituksen kera ja pyytää miten kuuluu toimia ja poistaa.

  • Anna_Aaltonen
    Anna_Aaltonen Viestejä: 5 Observer

    Hei @ame111 !

    Meillä ei ole koneilla asennettuna muita VPN-sovelluksia, kuin F-secure.

    Toisesta koneesta, missä oli, se poistettiin, kun siihen asennettiin F-secure.

    Kyberturvallisuuskeskuksen ohjeilla pitäisi etsiä VPN-sovelluksia, mutta sellaisia ei löydy. Aika erikoista.