Citizen Lab: Kiina kalasteli toimittajien tunnuksia tekaistun ilmiantajan avulla
Tiivistelma
Toronton yliopiston Citizen Lab ja kansainvälinen tutkivien toimittajien verkosto ICIJ paljastivat kaksi Kiinan hallintoon kytkeytyvää kalastelukampanjaa. Hyökkääjät käyttivät tekaistuja ilmiantajapersoonia, tekoälyviestejä ja OAuth-kalastelua kohdistuakseen toimittajiin ja ihmisoikeusaktivisteihin.
Viesti saapuu sähköpostiin luotettavan oloiselta lähteeltä — toimittajalta, joka haluaa jakaa arkaluontoista aineistoa Kiinan ihmisoikeusloukkauksista. Viestissä on yksityiskohtia, jotka viittaavat aitoon asiantuntemukseen. Lähde vaikuttaa todelliselta.
Paitsi että häntä ei ole olemassa.
Toronton yliopiston Citizen Lab julkaisi 27. huhtikuuta yhdessä kansainvälisen tutkivien toimittajien verkoston ICIJ:n kanssa raportin nimeltä "Tall Tales". Raportti paljastaa kaksi laajaa kiinalaista kalastelukampanjaa, jotka kohdistuivat toimittajiin ja ihmisoikeusaktivisteihin yhdeksän kuukauden ajan. Citizen Labin tutkijat arvioivat suurella varmuudella, että kampanjoiden takana on Kiinan hallinnon lukuun toimivia yksityisiä urakoitsijoita osana maan sotilassiviili-integraatiojärjestelmää.
Kaksi kampanjaa, yli sata haitallista verkkotunnusta
Tutkimus alkoi huhtikuussa 2025, kun kanadalaisuiguuriaktivisti Mehmet Tohti otti yhteyttä Citizen Labiin epäilyttävän sähköpostin vuoksi. Siitä avautui kaksi erillistä operaatiota.
Citizen Labin raportin mukaan GLITTER CARP kohdistui laajasti uiguurien, tiibetiläisten, taiwanilaisten ja Hongkongin diasporayhteisöjen aktivisteihin. Kampanjassa lähetettiin väärennettyjä Googlen tietoturvailmoituksia, jotka ohjasivat uhrit luovuttamaan kirjautumistietonsa.
Hyökkääjät rekisteröivät yli sata haitallista verkkotunnusta operaation tueksi.
SEQUIN CARP oli kohdennetumpi ja menetelmiltään ovelampi. Pääkohteina olivat ICIJ:n tutkiva toimittaja Scilla Alecci ja taiwanilainen toimittaja Yi-Shan Chen. Chenin henkilöllisyyttä käytettiin aseena häntä itseään vastaan — hyökkääjät rakensivat hänen nimeensä ja taustaansa perustuvan valepersoonan, jolla lähestyttiin muita kohteita uskottavien ilmiantajaviestien avulla.
Hyökkääjät käyttivät ChatGPT:tä viestien tuottamiseen ja tarjosivat jopa Samsung-puhelimia fyysisinä houkuttimina luottamuksen rakentamiseksi. Tekoälyn tuottamat viestit olivat kielellisesti uskottavia ja sisälsivät aiheeseen liittyvää yksityiskohtaista tietoa. Ilman huolellista tarkistusta moni olisi voinut tarttua syöttiin.
Miksi OAuth-kalastelu ohittaa kaksivaiheisen tunnistautumisen
Perinteinen kalastelu varastaa salasanan. OAuth-kalastelu menee hyvin paljon pidemmälle.
Hyökkääjä huijaa uhrin myöntämään kolmannen osapuolen sovellukselle pääsyn sähköpostitiliin.
Uhri klikkaa "Salli käyttöoikeus" -painiketta — ja hyökkääjä saa pysyvän lukuoikeuden sähköposteihin ilman, että salasana vaihtuu.
Kaksivaiheinen tunnistautuminen tekstiviestillä tai todennussovelluksella ei suojaa tältä, koska uhri itse valtuuttaa pääsyn.
Salasanan vaihtaminen ei auta, koska hyökkääjällä on oma erillinen pääsy tiliin.
Uhri ei välttämättä edes huomaa tunkeutumista.
Ainoastaan fyysinen turva-avain estää hyökkäyksen, koska se vaatii fyysisen laitteen läsnäolon valtuutuksen yhteydessä.
– Kun hyökkäävän kyberkapasiteetin voi hankkia näin edullisesti, ulkomailla asuvien diasporayhteisöjen kohdistamisen kynnys laskee olennaisesti, Citizen Labin raportti toteaa.
Koskeeko uhka Suomea
Citizen Labin raportissa ei mainita suomalaisia kohteita.
Uhkamalli koskee silti myös Suomea.
Suojelupoliisin kansallisen turvallisuuden katsaus 2025–2026 arvioi, että Kiinalla on "poikkeuksellisen mittavat resurssit kybervakoiluun". SUPO varoittaa, että Kiina hyödyntää sosiaalista mediaa tiedustelussa ja pyrkii hankkimaan tietoja strategisesti tärkeiltä sektoreilta. Keinovalikoimaan kuuluvat juuri sellaiset menetelmät, joita Citizen Labin raportti kuvaa — tekaistut henkilöllisyydet ja uskottavat lähestymisyritykset.
Keneen tällainen hyökkäys voi kohdistua? Toimittajiin, tutkijoihin, virkamiehiin, yritysjohtajiin — oikeastaan keneen tahansa, jolla on pääsy kiinnostavaan tietoon tai verkostoon. Valtiollinen kalastelu ei vaadi, että kohde on julkisuuden henkilö.
Tunnistusmerkit
- Tekaistu toimittaja- tai aktivistipersoona ottaa yhteyttä ilmiantajana
- ChatGPT-tuotettu viesti, jossa on aihekohtaisia yksityiskohtia
- OAuth-lupapyyntö ("Salli käyttöoikeus") Google- tai Microsoft-tilille
- Fyysiset lahjat tai puhelintarjoukset luottamuksen rakentamiseksi
- Epäilyttävä ilmiantajaväite tuntemattomalta lähteeltä
Mitä tehdä
- Ota käyttöön fyysinen turva-avain (YubiKey tai vastaava) tärkeimpiin tileihisi. Se on ainoa todistettu suoja OAuth-kalastelua vastaan.
- Tarkista OAuth-sovellusten käyttöoikeudet säännöllisesti. Googlessa: myaccount.google.com/permissions. Microsoftissa: account.live.com/consent/Manage. Peruuta käyttöoikeudet sovelluksilta, joita et tunnista.
- Varmista uudet kontaktit erillisen kanavan kautta. Jos toimittaja tai asiantuntija lähestyy sinua sähköpostilla, tarkista henkilöllisyys puhelimella tai toisella viestintävälineellä.
- Älä klikkaa linkkejä yllättävissä sähköposteissa — edes silloin, kun lähettäjä vaikuttaa tutulta.
- Ilmoita epäilyttävistä yhteydenotoista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Valtiollinen kalastelu ei kohdistu vain toimittajiin ja aktivisteihin. Samat menetelmät — tekaistu lähettäjä, uskottava tarina ja linkki, joka pyytää käyttöoikeuksia — ovat varsin arkipäiväisiä.
Juuri siksi ne toimivat niin hyvin.