Luotetulla sivustolla ponnahtaa yhtäkkiä kirjautumisikkuna – älä syötä salasanaasi

Kuvittele, että avaat tutun verkkokaupan tai jopa älytelevisiosi sovelluksen. Yhtäkkiä ruutuun ponnahtaa harmaa laatikko, joka pyytää käyttäjätunnusta ja salasanaa – ja sen yläreunassa lukee verkkotunnus, jota et tunnista.

Juuri tällaista on tapahtunut kesäkuun alusta lähtien. Tunnetut sivustot kuten Toshiba ja Muji ovat näyttäneet kävijöilleen selaimen oman kirjautumisikkunan, jossa lukee suunnilleen "https://polyfill.io vaatii käyttäjätunnuksen ja salasanan". Kyse ei ole sivuston omasta kirjautumisesta.

Sama ilmiö on osunut myös Samsungin älytelevisioihin sekä japanilaisiin verkkokauppoihin Zojirushi, Hobonichi, Mitsui Shopping Park ja Autobacs. Toshiba ja Muji ovat varoittaneet asiakkaitaan julkisesti ja poistaneet tai jäädyttäneet ongelman aiheuttaneen skriptin.

Vanha haavoittuvuus heräsi henkiin

Taustalla on vuoden 2024 toimitusketjuhyökkäys, joka on nyt palannut. Palvelu oli ilmainen JavaScript-yhteensopivuusratkaisu, jota oli upotettu yli 100 000 verkkosivulle ympäri maailman.

Vuonna 2024 verkkotunnus myytiin kiinalaiselle toimijalle, joka alkoi levittää sen kautta haittaohjelmaa. Tietoturvayhtiö Sansec kertoo havainneensa hyökkäyksen, ja se kirjattiin haavoittuvuustunnuksella CVE-2024-38526. Myös Akamai dokumentoi hyökkäyksen ja varoitti asiakkaitaan. Sen jälkeen domain hiljeni. Tuhannet sivut eivät kuitenkaan koskaan poistaneet skriptiä koodistaan.

Toukokuun 21. ja 22. päivän välillä verkkotunnuksen rekisteröinti vaihtui, omistaja piilotettiin, ja domain palasi verkkoon. Nyt se vastaa kävijöille HTTP 401 -tunnistautumispyynnöllä.

– Selain on protokollan mukaan velvollinen näyttämään oman kirjautumisikkunansa, kun palvelin vastaa tällaisella pyynnöllä, kuvaa BleepingComputerin tietoturvatoimitus tapausta.

Ikkuna näyttää siis aivan järjestelmän omalta kehotteelta. Kaikki siihen kirjoitettu lähtee suoraan domainin tuntemattomalle omistajalle.

Vahvistettuja salasanavarkauksia ei toistaiseksi ole. Se on kuitenkin yritysten oma arvio, jota ei ole riippumattomasti varmistettu. Riski on silti ihan todellinen, ja se koskee jokaista sivua, jolla vanha skripti yhä roikkuu.

Onko Suomessa kärsineitä sivustoja? Toistaiseksi vahvistettuja tapauksia ei ole. Mutta mikä tahansa suomalainenkin sivu, jolta vanhaa polyfill.io-koodia ei ole poistettu, voi laukaista saman ikkunan. Suomalainen kävijä ei ole turvassa myöskään ulkomaisilla sivuilla selatessaan.

Tunnistusmerkit

Ikkuna on selaimen oma, riisuttu laatikko. Se on harmaa tai sininen, ilman sivuston omaa ulkoasua.

• Se nimeää verkkotunnuksen, esimerkiksi "polyfill.io", eikä näytä sivuston tavalliselta tyylitellyltä kirjautumissivulta.
• Se ilmestyy yllättäen kesken selailun, ilman että olet itse aloittanut kirjautumista.
• Se pyytää vain käyttäjätunnusta ja salasanaa, ilman logoa tai mitään tunnistettavaa brändäystä.

Aito kirjautuminen tapahtuu lähes aina sivuston omalla, tunnistettavalla sivulla. Selaimen perustason ikkuna luotetullakin sivustolla on syytä ottaa epäilyttävänä.

Mitä tehdä

Älä koskaan syötä tunnuksiasi tällaiseen ikkunaan. Klikkaa Peruuta tai Cancel ja sulje sivu.

Jos ehdit jo syöttää salasanasi, vaihda se heti. Vaihda se myös kaikkialle, missä olet käyttänyt samaa salasanaa. Salasanan uudelleenkäyttö on tässä se kohta, joka tekee yhdestä virheestä monen palvelun ongelman.

Ilmoita havainnostasi Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos epäilet, että tietojasi on käytetty väärin rahallisesti, tee rikosilmoitus poliisi.fi-palvelussa.

Tapaus on hyvä muistutus siitä, mitä viranomaiset toistavat vuodesta toiseen: tunnuksia ei syötetä kirjautumisikkunaan, joka ilmestyy odottamatta. Kuinka moni ehtii poistaa vanhan skriptin ennen kuin domain kerää saaliinsa?