2020-04-09

Tietojenkalastelun rooli kyberhyökkäyksissä

Yhteistyökumppanilta saapuu työsähköpostiin viesti, joka sisältää liitetiedostona laskun. Kannattaako tarkastaa mistä on kyse? Enhän minä ole tuolta mitään tilannut?

Tietojenkalasteluhyökkäyksistä (eng. Phishing) on tullut monelle jo arkipäiväinen käsite, ja jokainen on varmasti nähnyt sähköpostilaatikossaan ”spämmiksi” luokiteltavia viestejä. Vaikka käsite on varmasti useimmalle jo ennalta tuttu, monet saattavat epähuomiossa, kiireessä tai jopa tietämättään joutua huijatuksi.

Verizonin tietomurtoraportti https://enterprise.verizon.com/resources/reports/dbir/ kertoo, että vuonna 2018 noin kolmasosassa tietomurtoja on havaittu tietojenkalasteluksi luokiteltavaa toimintaa. Lisäksi kalastelua havaittiin 78% kybervakoilutapauksissa.

Vaikka tietoturvan ammattilaisen näkökulmasta ihmisten verkkotoiminta on mennyt jatkuvasti tietoturvallisempaan suuntaan, tulisi kaikkien tiedostaa se, että yksittäisen käyttäjän toimet voivat asettaa koko organisaation riskialttiiksi kyberhyökkäykselle.

Kyberhyökkäyksen vaiheita voidaan tarkastella ATA Kill Chain-graafin avulla:

Ensimmäisessä vaiheessa (External Recon) haittatekijä kerää mahdollisimman paljon yksityiskohtaista tietoa kohteestaan, mm. verkkosivuista, työntekijöistä ja verkkolaitteista.

Tietojenkalastelu astuu tärkeään osaan tässä vaiheessa. Usein käytettyjä kohdistetun tietojenkalasteluhyökkäyksen (eng. Spear phishing) menetelmiä ovat haitallisten liitetiedostojen ja linkkien sisältäminen viattomalta vaikuttavaan sähköpostiviestiin. Tätä vaihetta voitaisiin luonnehtia porttina organisaation tietoverkkoihin, jossa sisäänpääsyn mahdollistajana toimii yksittäinen käyttäjä.

Uusimmissa Word-versioissa tuntemattomasta lähteestä tullut dokumentti avataan suojatussa näkymässä, ja dokumentin ylälaitaan tulee varoitus:

Kalasteluviestit yrittävät usein huijata kohdetta käyttäjän manipuloinnin (Social Engineering) avulla klikkaamaan ”Ota muokkaus käyttöön” -nappia, esimerkiksi ilmoittamalla Microsoftin nimissä muokkauksen käyttöönoton olevan oleellinen osa dokumentin avaamista. Usein dokumentissa ilmoitetaan sen olevan ”suojattu”, jotta käyttäjä saadaan houkuteltua muokkauksen käyttöönottopainikkeen klikkaamista.

Käyttäjän painaessa nappia haittaohjelma suoriutuu taustalla, ja hyökkääjä on mahdollisesti saanut pääsyn käyttäjän työasemalle. Viattomalta vaikuttava sähköpostiviesti on saattanut johtaa koko organisaation uhanalaiseksi. Graafin seuraavissa vaiheissa haitantekijä on saanut jo jalansijan kohteeseensa ja pyrkii pitämään kontrolliaan yllä esimerkiksi uusien haittaohjelmien ja ”takaovien” (eng. Backdoor) avulla.

Nykyään puolustustoimet ovat hyvällä mallilla muun muassa kehittyneiden nettiselaimien, palomuurien ja virustorjuntaohjelmistojen ansiosta. Kaikkien tulisi kuitenkin muistaa se, että yhdenkin linkin tai liitetiedoston avaaminen voi riittää jalansijan saamiseksi. Epäilyttävät ja varsinkin kohdennetut sähköpostit tulisi ilmoittaa yrityksen tietoturvapuolelle ja johtoon riskien minimoimiseksi.

Maailmanlaajuinen COVID-19 pandemia ei valitettavasti koske verkkorikollisia. Päinvastoin, tätä maailmanlaajuista kriisiä käytetään yhä enemmän kalasteluviesteissä. On ymmärrettävää, että organisaatiot, virastot ja muut viralliset tahot haluavat tiedottaa viruksen ajankohtaisista aiheista. Tästä syystä haitallinen viesti on helppo naamioida virallisen tahon lähettämäksi tiedotteeksi, joka sisältää aiheeseen liittyvän liitteen tai linkin ulkopuoliselle sivustolle.

Pidetään itsemme turvassa viruksen aiheuttamien fyysisten uhkien lisäksi myös tietoturvauhilta!


Takaisin