Institute of Computer Science
  1. Courses
  2. 2017/18 spring
  3. Information security (MTAT.07.028)
ET
Log in

Information security 2017/18 spring

  • Pealeht
  • Loengud ja praktikumid
  • Ülesanded
  • Eksam
  • Uudised
  • Viited

Manipuleerimisründed

Väga sagedased on uudised, mis kirjeldavad firma arvutivõrgu ründamist ning kliendiandmete lekkimist. Samuti näidatakse küberründeid ja niinimetatud häkkimist televisioonis ja kinodes. Tavaliselt kujutatakse ründajaid kui spetsialiste, kes suudavad kirjutada keerukaid ründeprogramme või kasutada olemasolevaid tööriistu, et süsteemidesse sisse murda. Selliselt ründajate kujutamine ei vasta alati päris elus toimuvale, sest reaalselt kasutab ründaja ära süsteemi kõige nõrgemat osa, milleks tavaliselt on inimene. Seega ei ole ründajal sageli vaja üldse ründeprogramme kasutada, sest vajaliku informatsiooni saab palju lihtsamalt kätte töötajate käest, neid psühholoogiliselt mõjutades. Inimese psühholoogiat ära kasutavaid ründeid nimetatakse manipuleerimisrünneteks.

Manipuleerimisoskus, suhtlusosavus: mittetehniline ründevahend, hõlmab veenvat teesklust, valesid, altkäemaksu, ähvardusi jms. Allikas: http://akit.cyber.ee/

Koomiks, mis illustreerib filmide ja päriselus toimuva erinevust. allikas

Manipuleermisrünnete korral kasutatavad tehnikad

Informatsiooni kogumine

Manipuleerimisrünne kasutab ära inimlikke nõrkusi, et saada juurdepääs soovitud informatsioonile või süsteemile. Ründaja võib seada eesmärgiks otsese juurdepääsu saamise, näiteks ohvri arvuti nakatamise teel, kuid veel lihtsam on infole juurdepääsu saamine kaudsete meetodite abil. Ohver võib pahaaimamatult ründajale informatsiooni lekitada juhul kui ründaja teeskleb näiteks kaastöötajat või klienti. Niisugune kaudne rünne võib esmapilgul tunduda ebareaalne, sest inimesed pigem ei usalda võõraid, aga kahjuks osutub vastav rünne vägagi edukaks juhul kui ründaja selle õigesti läbi viib. Kogenud ründaja alustab kõikvõimaliku taustainfo kogumisega, mis annab talle piisavalt materjale, et leida nõrk koht ja usutav identiteet. Enamasti on juba Internetis olevatest avalikest materjalidest ja dokumentidest võimalik leida sihtmärgi kohta üsna palju infot. Lisaks saab uurida sotsiaalmeediast kas ettevõtte töötajad on jaganud tööga seotud infot või personaalset infot, mis võib ründajat aidata. Internetist avalikult kättesaadava info hulka illustreerib hästi järgnev video:

Samuti saab ründaja sotsiaalmeedias sõbruneda ettevõttes töötavate inimestega ning leida üles nende huvid ning nõrgad kohad, mis võivad aidata tulevast rünnet paremini läbi viia. Juhul kui Internetist ei ole võimalik infot kätte saada, siis saab ründaja esineda näiteks IT-toena, et esitada töötajatele küsimusi või siis juhendada neid sobivat tarkvara paigaldama. Ründaja saab informatsioon kogumiseks esineda ka hooldustöötajana ning selles rollis vajalikesse ruumidesse pääseda.


Apple ustel on sildid, mis keelavad teistele järgnemise ilma ID-näitamata, allikas.

Kogutud informatsiooni analüüsimine

Kui ründaja on leidnud sihtmärgi kohta piisavalt infot, siis alustab ta päris ründe planeerimist. Ründe planeerimine omakorda sõltub ründaja eesmärgist ning sihtmärgi kohta leitud infost. Ründaja eesmärgiks võib olla näitkes asutuse sisevõrku pääsemine ning sinna tagaukse jätmine, mis võimaldaks ründajal hiljem uuesti sisevõrku tungida. Ründe jaoks piisab ühest nõrgast kohast ning selleks nõrgaks kohaks võib olla töötaja, kellele ründaja oskab nüüd õigesti läheneda. Näiteks võib ründaja avastada, et hooldustöötajate dokumente ei kontrollita põhjalikult või et postikullerina esinedes õnnestub siseneda ründe läbiviimiseks vajalikku ruumi.

Manipuleerimisründe läbiviimine

Manipuleerimisründe läbiviimiseks ei pea ründaja kohapeal olema, sest rünnet saab edukalt läbi viia ka telefoniteel või emaili kaudu. Mõlemal juhul peab ründaja omama piisavalt taustainfot, et paista usutavana. Üks lihtsaim viis kaitstud info saamiseks on mängida teises osakonnas olevat töötajat. IT-toe esindajana esinev ründaja võib küsida töötaja käest informatsiooni kasutatava tarkvara kohta või arvuti seadmistuse kohta, kuid mõnel juhul võib head põhjust omades teada saada ka töötaja kasutajanime ja parooli. Samuti võib IT-toe esindajat mängiv ründaja paluda töötajal sisestada terminali kindlat tüüpi käsud, mis võimaldavad ründajal saada kontroll arvuti üle.

Emaili abil tegutsev ründaja võib meelitada ohvreid kirja sisus olevat ohutuna näivat linki või faili avama, mis võib kaasa tuua ohvri arvuti nakatumise.

Üheks väga levinud trikiks, mis aitab firma sisevõrgust infot kätte saada, on USB pulga jätmine kohta, kus töötaja selle kindlasti üles leiab, näiteks parklasse. Juhul kui töötaja võtab (nakatunud) USB pulga tööle kaasa ja sisestab selle tööarvutisse, siis võib arvuti automaatselt nakatuda ja seega võib ründaja saada kaugligipääsu firma sisevõrku. Enamasti (mitte alati, vt. BAD USB rünnet) on arvuti nakatamiseks vaja USB pulgalt faili avamist, aga selle saavutamine ei ole väga raske, kui USB pulgal on näiteks fail palgatabel_2017.xls. Hiljuti tehti USA-s katse, kus parkimisplatsile "kaotati" umbes 300 USB pulka ning katse tulemusena selgus, et vähemalt 48% pulkadest ühendati arvutitesse ning seal olevaid faile avati. Ilmselt ühendati arvutitega palju rohkem pulkasid, aga katse käigus mõõdeti ainult seda, kas mõnda faili avati. Antud katsest on kirjutatud ülevaade, mida saab lugeda siit: Concerns about USB security are real: 48% of people do plug-in USB drives found in parking lots.


(Originaal allikas pole enam kättesaadav.)

Hea ülevaate manipuleerimisrünnetes kasutatavatest tehnikatest, informatsiooni kogumisest, psühholoogiast ja ründevektoritest leiab lehelt: The Social Engineering Framework.

Mõned olulisemad näited manipuleerimisrünnetest:

  • A Twitter accont was hijacked by using social engineering against PayPal and GoDaddy
  • How Apple and Amazon Security Flaws Led to My Epic Hacking

Kuidas kaitsta ennast või töötajaid manipuleerimisrünnete eest

Kõige olulisem on informeerida ja koolitada töötajaid, et muuta nad teadlikuks manipuleerimisrünnetest. Juhul kui töötaja ei tea, mis on manipuleerimisrünne, siis on ründe takistamine väga raske, sest tehnoloogilised lahendused ei suuda vastavat rünnet ära hoida. Seega peavad töötajad omama piisavalt teadmisi, et tunda ära kahtlast tegevust, mis võib viidata manipuleerimisründele.

Lisaks peavad firmad ja organisatsioonid omama korralikku turvapoliitikat, mis määrab ära kuidas töötajad peaksid käituma turvaintsidentide korral ja olukorras kui nad kahtlustavad manipuleerimisrünnet. Turvapoliitika peaks sisaldama eeskirja, mis kirjeldab, mille alusel remonditööde tegijad, hooldustööde tegijad ja koristajad saavad siseneda piiratud juurdepääsuga ruumidesse. Hooldustööde tegijateks või koristajateks maskeerunud ründajate avastamine võib olla küllaltki keerukas kui töötajatel ei ole juhendit vastavas olukorras käitumiseks. Lisaks sellele peaks turvapoliitika määrama ära vastutavad isikud ning isikud, kelle poole peaks pöörduma turvaintsidentide korral.

Phishing / kalastamine

Kalastamine (phishing): teesklus, mille sooritaja saadab tundliku teabe saamiseks sõnumeid, mis näivad tulevat sotsiaalvõrgust, oksjonisaidist, pangast vm usaldatavast allikast. Allikas: http://akit.cyber.ee/

Kalastamisrünne Dilberti koomiksis, allikas.

Kalastusründe abil üritab ründaja jätta usaldusväärse osapoole muljet selleks, et nakatada ohvereid pahavaraga või saada juurdepääs kaitstud andmetele.

Meetodid:

  • Kalastusründeks on näiteks väliselt usaldusväärse emaili saatmine, milles sisalduvale lingile vajutamine nakatab arvuti pahavaraga. Samuti võib niisuguses emailis paista panga või mõne muu teenuse link (https://www.turvalineteenus.ee/), mis viitab hoopis ründaja poolt kontrollitud lehele.
  • Samuti kasutatakse inimeste eksitamiseks alamdomeenide järjekorra muutmist, näiteks veebileht www.ut.courses.ee ei kuuluks mitte ülikoolile, vaid kuuluks isikule või asutusele, kes kontrollib domeeni courses.ee. Jätke meelde, et alamdomeeni nimi kirjutatakse domeeninimes enne ülemdomeeni. Seega vasakult paremale lugedes liigutakse domeenihierarhias alt üles kuni tipptaseme domeenini (näiteks com, eu, ee).
  • Kui eesmärgiks on kindla isiku ründamine, siis võib ründaja teha kõigepealt eeltööd, uurides isiku tausta kõikvõimaliku kättesaadava info abil. Vastava info alusel valib ründaja kõige sobilikuma ründemeetodi.

Kalastamisründe kirjeldus (Originaal allikas pole enam kättesaadav)

Statistika

RSA hinnangul tekitasid kalastusründed 2012 aastal 1.5 miljardi dollarit ulatuses kahjusid. Kusjuures kalastusrünnete hulk jätkab kasvamist ja sellest põhjustatud kahjud muutuvad järjest suuremaks. RSA raporti põhjal olid 2014 aastal kalastusrünnetest põhjustatud kahjud juba kolm korda suuremad kui need olid 2012 aastal ehk 4.5 miljardit dollarit. Täpsemat infot leiate vastavast raportist: http://estonia.emc.com/emc-plus/rsa-thought-leadership/online-fraud/index.htm.

Kalastusründed on ka Eestis populaarsust kogumas. RIA 2013. aasta küberturvalisuse raportis (PDF) seisab, et võltskirjadega püüti juurdepääsu saada näiteks Elisa, Elioni, Eesti Maaülikooli, Tartu Ülikooli ja EENeti kasutajate meilikontodele.


Social Engineering Infographic, allikas.

Näited

  • Tartu Ülikooli meiliteenuse kasutajatele saadetakse väga sageli võltskirju. Üheks levinud taktikas on meeldetuletuse saatmine, kus öeldakse, et postkast on liiga täis ja antakse postkasti tühjendamise link, mis viitab ründaja lehele.
  • 2014 aastal oli Eestis üpris levinud telefonikõnel põhinev kalastusrünne, kus end Microsofti esindajana tutvustanud inimene juhendas pahaaimamatuid kasutajaid oma arvutisse teatud programmi installeerima.
  • Kalastamisrünnet kasutatakse ka raha välja petmiseks. Kõigepealt kaaperdatatakse ühe ohvri meilikonto ning seejärel saadetakse tema kontaktidele kiri, kus räägitakse, et on kiiresti raha vaja. Üks selline näide Eestist: "Kaitse oma kontosid ehk kuidas mu “ema” Bradfordis paljaks varastati".
  • Näide selle kohta, kuidas Google reklaame saab kasutada kalastamise eesmärgil: Kraken Phishing Warning.
  • Jaanuaris 2015 saadeti laiali kiri, mis just nagu oleks saadetud Maksu- ja tolliamet poolt ja sisaldas infot tulumaksutagastuse kohta. Kiri ise oli vigases Eesti keeles, aga viitas veebilehele, mis nägi välja samasugune nagu Maksuameti koduleht. Pöörake tähelepanu fotol olevale aadressiribale, krediitkaardiandmete küsimise väljale ja lehekülje alumises osas olevatele ikoonidele, mis ütlevad, et leht on turvatud ja kasutab tugevat krüptot.

Kasulikud lingid

  • Social engineering framework
    • General Discussion
    • Information Gathering
    • Psychological Principles
    • Influencing Others
    • Attack Vectors
    • Social Engineering Tools
  • Social engineering
    • Wikipedia article about social engineering
    • CAPEC CATEGORY: Social Engineering
    • Top 5 Social Engineering Exploit Techniques
    • How Can I Protect Against Social Engineering Hacks?
  • Real life examples of social engineering
    • How Apple and Amazon Security Flaws Led to My Epic Hacking
    • How I Lost My $50,000 Twitter Username
    • US Government Agency Compromised by Social Engineering
  • Phishing
    • The year in phishing
    • What is phishing?
    • https://en.wikipedia.org/wiki/Phishing
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment