Arvutiteaduse instituut
  1. Kursused
  2. 2023/24 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2023/24 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Terminoloogia
  • Eksam
  • Viited

Manipuleerimisründed

Sisukord

  • Manipuleermisrünnete korral kasutatavad tehnikad
    • Informatsiooni kogumine
    • Kogutud informatsiooni analüüsimine
    • Manipuleerimisründe läbiviimine
    • Kuidas kaitsta ennast või töötajaid manipuleerimisrünnete eest
  • Õngitsusründed
    • Levinud meetodid
    • Õngitsusründed Eestis
  • Kasulikud lingid
  • Moodle foorum ja tagasiside ankeet

Väga sagedased on uudised, mis kirjeldavad firma arvutivõrgu ründamist ning kliendiandmete lekkimist. Samuti näidatakse küberründeid ja niinimetatud häkkimist televisioonis ja kinodes. Tavaliselt kujutatakse ründajaid kui spetsialiste, kes suudavad kirjutada keerukaid ründeprogramme või kasutada olemasolevaid tööriistu, et süsteemidesse sisse murda. Selliselt ründajate kujutamine ei vasta alati päris elus toimuvale, sest reaalselt kasutab ründaja ära süsteemi kõige nõrgemat osa, milleks tavaliselt on inimene. Seega ei ole ründajal sageli vaja üldse ründeprogramme kasutada, sest vajaliku informatsiooni saab palju lihtsamalt kätte töötajate käest, neid psühholoogiliselt mõjutades. Inimese psühholoogiat ära kasutavaid ründeid nimetatakse manipuleerimisrünneteks.

Manipuleerimisoskus, suhtlusosavus: mittetehniline ründevahend, hõlmab veenvat teesklust, valesid, altkäemaksu, ähvardusi jms. Allikas: http://akit.cyber.ee/

Koomiks, mis illustreerib filmide ja päriselus toimuva erinevust. allikas

Manipuleermisrünnete korral kasutatavad tehnikad

Informatsiooni kogumine

Manipuleerimisrünne kasutab ära inimlikke nõrkusi, et saada juurdepääs soovitud informatsioonile või süsteemile. Ründaja võib seada eesmärgiks otsese juurdepääsu saamise, näiteks ohvri arvuti nakatamise teel, kuid veel lihtsam on infole juurdepääsu saamine kaudsete meetodite abil. Ohver võib pahaaimamatult ründajale informatsiooni lekitada juhul kui ründaja teeskleb näiteks kaastöötajat või klienti. Niisugune kaudne rünne võib esmapilgul tunduda ebareaalne, sest inimesed pigem ei usalda võõraid, aga kahjuks osutub vastav rünne vägagi edukaks juhul kui ründaja selle õigesti läbi viib. Kogenud ründaja alustab kõikvõimaliku taustainfo kogumisega, mis annab talle piisavalt materjale, et leida nõrk koht ja usutav identiteet. Enamasti on juba Internetis olevatest avalikest materjalidest ja dokumentidest võimalik leida sihtmärgi kohta üsna palju infot. Lisaks saab uurida sotsiaalmeediast kas ettevõtte töötajad on jaganud tööga seotud infot või personaalset infot, mis võib ründajat aidata.

Samuti saab ründaja sotsiaalmeedias sõbruneda ettevõttes töötavate inimestega ning leida üles nende huvid ning nõrgad kohad, mis võivad aidata tulevast rünnet paremini läbi viia. Juhul kui Internetist ei ole võimalik infot kätte saada, siis saab ründaja esineda näiteks IT-toena, et esitada töötajatele küsimusi või siis juhendada neid sobivat tarkvara paigaldama. Ründaja saab informatsioon kogumiseks esineda ka hooldustöötajana ning selles rollis vajalikesse ruumidesse pääseda.


Apple ustel on sildid, mis keelavad teistele järgnemise ilma ID-näitamata, allikas.

Kogutud informatsiooni analüüsimine

Kui ründaja on leidnud sihtmärgi kohta piisavalt infot, siis alustab ta päris ründe planeerimist. Ründe planeerimine omakorda sõltub ründaja eesmärgist ning sihtmärgi kohta leitud infost. Ründaja eesmärgiks võib olla näitkes asutuse sisevõrku pääsemine ning sinna tagaukse jätmine, mis võimaldaks ründajal hiljem uuesti sisevõrku tungida. Ründe jaoks piisab ühest nõrgast kohast ning selleks nõrgaks kohaks võib olla töötaja, kellele ründaja oskab nüüd õigesti läheneda. Näiteks võib ründaja avastada, et hooldustöötajate dokumente ei kontrollita põhjalikult või et postikullerina esinedes õnnestub siseneda ründe läbiviimiseks vajalikku ruumi.

Manipuleerimisründe läbiviimine

Manipuleerimisründe läbiviimiseks ei pea ründaja kohapeal olema, sest rünnet saab edukalt läbi viia ka telefoniteel või emaili kaudu. Mõlemal juhul peab ründaja omama piisavalt taustainfot, et paista usutavana. Üks lihtsaim viis kaitstud info saamiseks on mängida teises osakonnas olevat töötajat. IT-toe esindajana esinev ründaja võib küsida töötaja käest informatsiooni kasutatava tarkvara kohta või arvuti seadistuse kohta, kuid mõnel juhul võib head põhjust omades teada saada ka töötaja kasutajanime ja parooli. Samuti võib IT-toe esindajat mängiv ründaja paluda töötajal sisestada terminali kindlat tüüpi käsud, mis võimaldavad ründajal saada kontroll arvuti üle.

Emaili abil tegutsev ründaja võib meelitada ohvreid kirja sisus olevat ohutuna näivat linki või faili avama, mis võib kaasa tuua ohvri arvuti nakatumise. Emaili on võimalik teatud tingimustel saata ka nii, et vastuvõtjale tundub nagu email oleks saadetud teiselt aadressilt (kellegi teise nimelt).

Üheks väga levinud trikiks, mis aitab firma sisevõrgust infot kätte saada, on USB pulga jätmine kohta, kus töötaja selle kindlasti üles leiab, näiteks parklasse. Juhul kui töötaja võtab (nakatunud) USB pulga tööle kaasa ja sisestab selle tööarvutisse, siis võib arvuti automaatselt nakatuda ja seega võib ründaja saada kaugligipääsu firma sisevõrku. Enamasti (mitte alati, vt. BAD USB rünnet) on arvuti nakatamiseks vaja USB pulgalt faili avamist, aga selle saavutamine ei ole väga raske, kui USB pulgal on näiteks fail palgatabel_2024.xls. USA-s tehti katse, kus parkimisplatsile "kaotati" umbes 300 USB pulka ning katse tulemusena selgus, et vähemalt 48% pulkadest ühendati arvutitesse ning seal olevaid faile avati. Ilmselt ühendati arvutitega palju rohkem pulkasid, aga katse käigus mõõdeti ainult seda, kas mõnda faili avati. Antud eksperimendist on kirjutatud ülevaade, mida saab lugeda siit: Concerns about USB security are real: 48% of people do plug-in USB drives found in parking lots.


(Originaal allikas pole enam kättesaadav.)

Hea ülevaate manipuleerimisrünnetes kasutatavatest tehnikatest, informatsiooni kogumisest, psühholoogiast ja ründevektoritest leiab lehelt: The Social Engineering Framework.

Mõned huvitavad manipuleerimisrünnete näited:

  • How Apple and Amazon Security Flaws Led to My Epic Hacking (2012)
  • A Twitter accont was hijacked by using social engineering against PayPal and GoDaddy (2014)
  • How Hackers Broke Into John Podesta and Colin Powell’s Gmail Accounts (2016)
    • 2016 Presidential Campaign Hacking Fast Facts
  • Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case (2019)
  • Hackers Convinced Twitter Employee to Help Them Hijack Accounts (2020)

Kuidas kaitsta ennast või töötajaid manipuleerimisrünnete eest

Kõige olulisem on informeerida ja koolitada töötajaid, et muuta nad teadlikuks manipuleerimisrünnetest. Juhul kui töötaja ei tea, mis on manipuleerimisrünne, siis on ründe takistamine väga raske, sest tehnoloogilised lahendused ei suuda vastavat rünnet ära hoida. Seega peavad töötajad omama piisavalt teadmisi, et tunda ära kahtlast tegevust, mis võib viidata manipuleerimisründele.

Lisaks peavad firmad ja organisatsioonid omama korralikku turvapoliitikat, mis määrab ära kuidas töötajad peaksid käituma turvaintsidentide korral ja olukorras kui nad kahtlustavad manipuleerimisrünnet. Turvapoliitika peaks sisaldama eeskirja, mis kirjeldab, mille alusel remonditööde tegijad, hooldustööde tegijad ja koristajad saavad siseneda piiratud juurdepääsuga ruumidesse. Hooldustööde tegijateks või koristajateks maskeerunud ründajate avastamine võib olla küllaltki keerukas kui töötajatel ei ole juhendit vastavas olukorras käitumiseks. Lisaks sellele peaks turvapoliitika määrama ära vastutavad isikud ning isikud, kelle poole peaks pöörduma turvaintsidentide korral.

Phishing / kalastamine / õngitsemine

Kalastamine (phishing): teesklus, mille sooritaja saadab tundliku teabe saamiseks sõnumeid, mis näivad tulevat sotsiaalvõrgust, oksjonilehelt, pangast vm usaldatavast allikast. Allikas: http://akit.cyber.ee/

Kalastamisrünne Dilberti koomiksis, allikas.

Kalastusründe abil üritab ründaja jätta usaldusväärse osapoole muljet selleks, et nakatada ohvreid pahavaraga või saada juurdepääs kaitstud andmetele.

Mõned levinumad meetodid:

  • Kalastusründeks on näiteks väliselt usaldusväärse emaili saatmine, milles sisalduvale lingile vajutamine nakatab arvuti pahavaraga. Samuti võib niisuguses emailis paista panga või mõne muu teenuse link (https://www.turvalineteenus.ee/), mis viitab hoopis ründaja poolt kontrollitud lehele. Seega kontrollige, mis aadressile link reaalselt viitab. Seda saate teha kui te teete lingil paremkliki ja valite "copy link address" või "copy link location". Lihtsam variant on hoida kursorit lingil ning vaadata, mis linki brauser teile kuvab ekraani alumises vasakus nurgas (see funktsionaalsus ei toimi kõigi brauserite korral nagu näiteks Safaris). Lingi kohal hõljuvat teksti ei saa usaldada.
  • Samuti kasutatakse inimeste eksitamiseks alamdomeenide järjekorra muutmist, näiteks veebileht www.ut.courses.ee ei kuuluks mitte ülikoolile, vaid kuuluks isikule või asutusele, kes kontrollib domeeni courses.ee. Jätke meelde, et alamdomeeni nimi kirjutatakse domeeninimes enne ülemdomeeni. Seega vasakult paremale lugedes liigutakse domeenihierarhias alt üles kuni tipptaseme domeenini (näiteks com, eu, ee). Seetõttu tuleks domeeninimesid lugeda paremalt vasakule ehk alustada tipptaseme domeenist.
  • Õngitsusrünnetes kasutatakse sageli mitmeid teksti kodeerimisel põhinevaid trikke. Näiteks on võimalik nähtamatu erisümboli (u202e) abil pöörata tekstis olevate sümbolite järjekorda. Niisugune sümbol on vajalik näiteks araabia või heebrea keeles kirjutatud teksti kuvamiseks. Harjutus: kopeerige järgnev esiletõstetud failinimi (või lihtsuse huvides viimased kaheksa sümbolit ehk kõik pärast alakriipsu) ning kleepige see mõnda tekstieditori või selle sama brauseriakna aadressiribale ning seejärel mõelge, et mis juhtus: crimea_‮xcod.exe

Allikas: XKCD
  • Samuti kasutatakse sageli õngitsusrünnete korraldamisel erisümboleid, mis visuaalselt näevad välja väga sarnased ladina tähestikus olevatele tähtedele. Niisugust rünnet demonstreeriti 2017. aastal: Phishing with Unicode Domains.
  • Kui eesmärgiks on kindla isiku ründamine, siis võib ründaja teha kõigepealt eeltööd, uurides isiku tausta kõikvõimaliku kättesaadava info abil. Vastava info alusel valib ründaja kõige sobilikuma ründemeetodi. Suunatud ründe korral on väga raske ennast kaitsta, sest inimesed ei suuda kogu aeg hoida täit tähelepanu.

Kalastamisründe kirjeldus (Originaal allikas )

Õngitsusründed Eestis

Õngitsusründed on ka Eestis populaarsust kogumas. RIA 2013. aasta küberturvalisuse raportis (PDF) seisab, et võltskirjadega püüti juurdepääsu saada näiteks Elisa, Elioni, Eesti Maaülikooli, Tartu Ülikooli ja EENeti kasutajate meilikontodele. Järgnevatel aastatel on nii rünnete kvantiteet kui ka kvaliteet tõusnud, nagu võib välja lugeda RIA 2014., 2015. ja 2016. aasta aruannetest. 2017. aasta kohta käivas aruandes (PDF) seisab aga:

"Oleme aastaid pingutanud selle nimel, et Eesti küberruum oleks pahatahtlikele tegutsejatele ebasoodus keskkond – nii näiteks oleme teinud partnerite ja Eesti teenusepakkujatega pidevat koostööd õngitsemislehtede kiireks avastamiseks ja eemaldamiseks. Selle tulemusel on Eestis edukate andmepüügijuhtumite hulk märkimisväärselt vähenenud."

RIA 2024. aasta küberturvalisuse aastaraamatus on kirjas:

"Summad, mis onEesti inimestelt erinevate pettuste ja õngitsuste abil varastatud, küündivad isiku tasandil kümnetesse tuhandetesse ja koondina mitme miljonini. Kuigi statistika näitab, et Eesti inimeste küberteadlikkus on aasta-aastalt kasvanud, on skeemid, millega meid küberruumis õnge üritatakse tõmmata, peensusteni lihvitud".

2023. aastal registreeriti 3315 mõjuga intsidenti, millest 1722 olid seotud õngitsusrünnetega. Aastaraamat annab ülevaate levinud õngitusrünnetest:

"Jätkuvalt jagunevad õngitsused laias laastus kaheks – kontoõngitsused (kasutajanimed ja salasõnad) ja pangaandmeteõngitsused (krediitkaartide andmed, PIN-koodid). Viimaste puhul on kahju kiire tulema, paroolilekke tagajärjed võivad ilmneda kuude või aastate pärast. Endiselt levivad laialdaselt näiliselt mõne kullerifirma nimel saadetud õngitsuskirjad ja -sõnumid, mis paluvad pakikättesaamiseks tasuda mõneeurone summa."

Näited

Andke märku kui oskate täiendada seda nimekirja relevantsete ja uuemate näidetega õngitsusrünnetest, mis on toimunud Eestis.

  • Tartu Ülikooli meiliteenuse kasutajatele saadetakse väga sageli võltskirju. Üheks levinud taktikas on meeldetuletuse saatmine, kus öeldakse, et postkast on liiga täis ja antakse postkasti tühjendamise link, mis viitab ründaja lehele.
  • 2014 aastal oli Eestis üpris levinud telefonikõnel põhinev kalastusrünne, kus end Microsofti esindajana tutvustanud inimene juhendas pahaaimamatuid kasutajaid oma arvutisse teatud programmi installeerima.
  • Kalastamisrünnet kasutatakse ka raha välja petmiseks. Kõigepealt kaaperdatatakse ühe ohvri meilikonto ning seejärel saadetakse tema kontaktidele kiri, kus räägitakse, et on kiiresti raha vaja. Üks selline näide Eestist: "Kaitse oma kontosid ehk kuidas mu “ema” Bradfordis paljaks varastati" (2014).
  • Näide selle kohta, kuidas Google reklaame saab kasutada kalastamise eesmärgil: Kraken Phishing Warning (2016).
  • Jaanuaris 2015 saadeti laiali kiri, mis just nagu oleks saadetud Maksu- ja tolliamet poolt ja sisaldas infot tulumaksutagastuse kohta. Kiri ise oli vigases Eesti keeles, aga viitas veebilehele, mis nägi välja samasugune nagu Maksuameti koduleht. Pöörake tähelepanu fotol olevale aadressiribale, krediitkaardiandmete küsimise väljale ja lehekülje alumises osas olevatele ikoonidele, mis ütlevad, et leht on turvatud ja kasutab tugevat krüptot.
  • Kuidas telefonikõne abil saab teha vahendusründel põhinevat õngitsusrünnet: Would You Have Fallen for This Phone Scam? (2020)
  • Omniva ja muude postiteenust pakkuvate asutuste nimel saadetakse sageli õngituskirju.
    • https://twitter.com/CERT_EE/status/1523657646792142848
    • Kuidas tuvastada petukirja?

Kasulikud lingid

  • Social engineering framework
    • General Discussion
    • Information Gathering
    • Psychological Principles
    • Influencing Others
    • Attack Vectors
    • Social Engineering Tools
  • Social engineering
    • Wikipedia article about social engineering
    • CAPEC CATEGORY: Social Engineering
    • Top 5 Social Engineering Exploit Techniques
    • How Can I Protect Against Social Engineering Hacks?
  • Real life examples of social engineering
    • https://web.archive.org/web/20140418215144/http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/all/ (2012)
    • US Government Agency Compromised by Social Engineering (2013)
    • How I Lost My $50,000 Twitter Username (2014)
    • How Hackers Broke Into John Podesta and Colin Powell’s Gmail Accounts (2016)
    • Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case (2019)
  • Phishing
    • What is phishing?
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused