Manipuleerimisründed
Väga sagedased on uudised, mis kirjeldavad firma arvutivõrgu ründamist ning kliendiandmete lekkimist. Samuti näidatakse küberründeid ja niinimetatud häkkimist televisioonis ja kinodes. Tavaliselt kujutatakse ründajaid kui spetsialiste, kes suudavad kirjutada keerukaid ründeprogramme või kasutada olemasolevaid tööriistu, et süsteemidesse sisse murda. Selliselt ründajate kujutamine ei vasta alati päris elus toimuvale, sest reaalselt kasutab ründaja ära süsteemi kõige nõrgemat osa, milleks tavaliselt on inimene. Seega ei ole ründajal sageli vaja üldse ründeprogramme kasutada, sest vajaliku informatsiooni saab palju lihtsamalt kätte töötajate käest, neid psühholoogiliselt mõjutades. Inimese psühholoogiat ära kasutavaid ründeid nimetatakse manipuleerimisrünneteks.
Manipuleermisrünnete korral kasutatavad tehnikad
Informatsiooni kogumine
Manipuleerimisrünne kasutab ära inimlikke nõrkusi, et saada juurdepääs soovitud informatsioonile või süsteemile. Ründaja võib seada eesmärgiks otsese juurdepääsu saamise, näiteks ohvri arvuti nakatamise teel, kuid veel lihtsam on infole juurdepääsu saamine kaudsete meetodite abil. Ohver võib pahaaimamatult ründajale informatsiooni lekitada juhul kui ründaja teeskleb näiteks kaastöötajat või klienti. Niisugune kaudne rünne võib esmapilgul tunduda ebareaalne, sest inimesed pigem ei usalda võõraid, aga kahjuks osutub vastav rünne vägagi edukaks juhul kui ründaja selle õigesti läbi viib. Kogenud ründaja alustab kõikvõimaliku taustainfo kogumisega, mis annab talle piisavalt materjale, et leida nõrk koht ja usutav identiteet. Enamasti on juba Internetis olevatest avalikest materjalidest ja dokumentidest võimalik leida sihtmärgi kohta üsna palju infot. Lisaks saab uurida sotsiaalmeediast kas ettevõtte töötajad on jaganud tööga seotud infot või personaalset infot, mis võib ründajat aidata. Internetist avalikult kättesaadava info hulka illustreerib hästi järgnev video:
Samuti saab ründaja sotsiaalmeedias sõbruneda ettevõttes töötavate inimestega ning leida üles nende huvid ning nõrgad kohad, mis võivad aidata tulevast rünnet paremini läbi viia. Juhul kui Internetist ei ole võimalik infot kätte saada, siis saab ründaja esineda näiteks IT-toena, et esitada töötajatele küsimusi või siis juhendada neid sobivat tarkvara paigaldama. Ründaja saab informatsioon kogumiseks esineda ka hooldustöötajana ning selles rollis vajalikesse ruumidesse pääseda.
Kogutud informatsiooni analüüsimine
Kui ründaja on leidnud sihtmärgi kohta piisavalt infot, siis alustab ta päris ründe planeerimist. Ründe planeerimine omakorda sõltub ründaja eesmärgist ning sihtmärgi kohta leitud infost. Ründaja eesmärgiks võib olla näitkes asutuse sisevõrku pääsemine ning sinna tagaukse jätmine, mis võimaldaks ründajal hiljem uuesti sisevõrku tungida. Ründe jaoks piisab ühest nõrgast kohast ning selleks nõrgaks kohaks võib olla töötaja, kellele ründaja oskab nüüd õigesti läheneda. Näiteks võib ründaja avastada, et hooldustöötajate dokumente ei kontrollita põhjalikult või et postikullerina esinedes õnnestub siseneda ründe läbiviimiseks vajalikku ruumi.
Manipuleerimisründe läbiviimine
Manipuleerimisründe läbiviimiseks ei pea ründaja kohapeal olema, sest rünnet saab edukalt läbi viia ka telefoniteel või emaili kaudu. Mõlemal juhul peab ründaja omama piisavalt taustainfot, et paista usutavana. Üks lihtsaim viis kaitstud info saamiseks on mängida teises osakonnas olevat töötajat. IT-toe esindajana esinev ründaja võib küsida töötaja käest informatsiooni kasutatava tarkvara kohta või arvuti seadistuse kohta, kuid mõnel juhul võib head põhjust omades teada saada ka töötaja kasutajanime ja parooli. Samuti võib IT-toe esindajat mängiv ründaja paluda töötajal sisestada terminali kindlat tüüpi käsud, mis võimaldavad ründajal saada kontroll arvuti üle.
Emaili abil tegutsev ründaja võib meelitada ohvreid kirja sisus olevat ohutuna näivat linki või faili avama, mis võib kaasa tuua ohvri arvuti nakatumise.
Üheks väga levinud trikiks, mis aitab firma sisevõrgust infot kätte saada, on USB pulga jätmine kohta, kus töötaja selle kindlasti üles leiab, näiteks parklasse. Juhul kui töötaja võtab (nakatunud) USB pulga tööle kaasa ja sisestab selle tööarvutisse, siis võib arvuti automaatselt nakatuda ja seega võib ründaja saada kaugligipääsu firma sisevõrku. Enamasti (mitte alati, vt. BAD USB rünnet) on arvuti nakatamiseks vaja USB pulgalt faili avamist, aga selle saavutamine ei ole väga raske, kui USB pulgal on näiteks fail palgatabel_2021.xls. Hiljuti tehti USA-s katse, kus parkimisplatsile "kaotati" umbes 300 USB pulka ning katse tulemusena selgus, et vähemalt 48% pulkadest ühendati arvutitesse ning seal olevaid faile avati. Ilmselt ühendati arvutitega palju rohkem pulkasid, aga katse käigus mõõdeti ainult seda, kas mõnda faili avati. Antud katsest on kirjutatud ülevaade, mida saab lugeda siit: Concerns about USB security are real: 48% of people do plug-in USB drives found in parking lots.
Hea ülevaate manipuleerimisrünnetes kasutatavatest tehnikatest, informatsiooni kogumisest, psühholoogiast ja ründevektoritest leiab lehelt: The Social Engineering Framework.
Mõned olulisemad näited manipuleerimisrünnetest:
- A Twitter accont was hijacked by using social engineering against PayPal and GoDaddy
- How Apple and Amazon Security Flaws Led to My Epic Hacking
Kuidas kaitsta ennast või töötajaid manipuleerimisrünnete eest
Kõige olulisem on informeerida ja koolitada töötajaid, et muuta nad teadlikuks manipuleerimisrünnetest. Juhul kui töötaja ei tea, mis on manipuleerimisrünne, siis on ründe takistamine väga raske, sest tehnoloogilised lahendused ei suuda vastavat rünnet ära hoida. Seega peavad töötajad omama piisavalt teadmisi, et tunda ära kahtlast tegevust, mis võib viidata manipuleerimisründele.
Lisaks peavad firmad ja organisatsioonid omama korralikku turvapoliitikat, mis määrab ära kuidas töötajad peaksid käituma turvaintsidentide korral ja olukorras kui nad kahtlustavad manipuleerimisrünnet. Turvapoliitika peaks sisaldama eeskirja, mis kirjeldab, mille alusel remonditööde tegijad, hooldustööde tegijad ja koristajad saavad siseneda piiratud juurdepääsuga ruumidesse. Hooldustööde tegijateks või koristajateks maskeerunud ründajate avastamine võib olla küllaltki keerukas kui töötajatel ei ole juhendit vastavas olukorras käitumiseks. Lisaks sellele peaks turvapoliitika määrama ära vastutavad isikud ning isikud, kelle poole peaks pöörduma turvaintsidentide korral.
Phishing / kalastamine / õngitsemine
Kalastamisrünne Dilberti koomiksis, allikas.
Kalastusründe abil üritab ründaja jätta usaldusväärse osapoole muljet selleks, et nakatada ohvreid pahavaraga või saada juurdepääs kaitstud andmetele.
Mõned levinumad meetodid:
- Kalastusründeks on näiteks väliselt usaldusväärse emaili saatmine, milles sisalduvale lingile vajutamine nakatab arvuti pahavaraga. Samuti võib niisuguses emailis paista panga või mõne muu teenuse link (https://www.turvalineteenus.ee/), mis viitab hoopis ründaja poolt kontrollitud lehele. Seega kontrollige, mis aadressile link reaalselt viitab. Seda saate teha kui te teete lingil paremkliki ja valite "copy link address" või "copy link location". Lihtsam variant on hoida kursorit lingil ning vaadata, mis linki brauser teile kuvab ekraani alumises vasakus nurgas (see funktsionaalsus ei toimi kõigi brauserite korral nagu näiteks Safaris). Lingi kohal hõljuvat teksti ei saa usaldada.
- Samuti kasutatakse inimeste eksitamiseks alamdomeenide järjekorra muutmist, näiteks veebileht www.ut.courses.ee ei kuuluks mitte ülikoolile, vaid kuuluks isikule või asutusele, kes kontrollib domeeni courses.ee. Jätke meelde, et alamdomeeni nimi kirjutatakse domeeninimes enne ülemdomeeni. Seega vasakult paremale lugedes liigutakse domeenihierarhias alt üles kuni tipptaseme domeenini (näiteks com, eu, ee).
- Õngitsusrünnetes kasutatakse sageli mitmeid teksti kodeerimisel põhinevaid trikke. Näiteks on võimalik nähtamatu erisümboli (u202e) abil pöörata tekstis olevate sümbolite järjekorda. Niisugune sümbol on vajalik näiteks araabia või heebrea keeles kirjutatud teksti kuvamiseks. Harjutus: kopeerige järgnev esiletõstetud failinimi (või lihtsuse huvides viimased kaheksa sümbolit ehk kõik pärast alakriipsu) ning kleepige see mõnda tekstieditori või selle sama brauseriakna aadressiribale ning seejärel mõelge, et mis juhtus: crimea_xcod.exe
- Samuti kasutatakse sageli õngitsusrünnete korraldamisel erisümboleid, mis visuaalselt näevad välja väga sarnased ladina tähestikus olevatele tähtedele. Niisugust rünnet demonstreeriti 2017 aastal: Phishing with Unicode Domains.
- Kui eesmärgiks on kindla isiku ründamine, siis võib ründaja teha kõigepealt eeltööd, uurides isiku tausta kõikvõimaliku kättesaadava info abil. Vastava info alusel valib ründaja kõige sobilikuma ründemeetodi. Suunatud ründe korral on väga raske ennast kaitsta, sest inimesed ei suuda kogu aeg hoida täit tähelepanu.
Statistika
RSA (ettevõtte) hinnangul tekitasid kalastusründed 2012 aastal 1.5 miljardi dollarit ulatuses kahjusid. Kusjuures kalastusrünnete hulk jätkab kasvamist ja sellest põhjustatud kahjud muutuvad järjest suuremaks. RSA raporti põhjal olid 2014 aastal kalastusrünnetest põhjustatud kahjud juba kolm korda suuremad kui need olid 2012 aastal ehk 4.5 miljardit dollarit. Sama ettevõtte 2016 aasta kohta käiv hinnang andis õngitsusrünnete poolt ettevõtetele tekitatud kahjuks 9 miljardit dollarit. Nende 2018 aasta kohta käivas raportis on kirjas, et 2018 aastal moodustasid õngitsustründed kõikidest nende poolt tuvastatud pettusjuhtudest lausa 47%.
Kalastusründed on ka Eestis populaarsust kogumas. RIA 2013. aasta küberturvalisuse raportis (PDF) seisab, et võltskirjadega püüti juurdepääsu saada näiteks Elisa, Elioni, Eesti Maaülikooli, Tartu Ülikooli ja EENeti kasutajate meilikontodele. Järgnevatel aastatel on nii rünnete kvantiteet kui ka kvaliteet tõusnud, nagu võib välja lugeda RIA 2014., 2015. ja 2016. aasta aruannetest. 2017. aasta kohta käivas aruandes (PDF) seisab aga:
Näited
Andke märku kui oskate täiendada seda nimekirja relevantsete ja uuemate näidetega õngitsusrünnetest, mis on toimunud Eestis.
- Tartu Ülikooli meiliteenuse kasutajatele saadetakse väga sageli võltskirju. Üheks levinud taktikas on meeldetuletuse saatmine, kus öeldakse, et postkast on liiga täis ja antakse postkasti tühjendamise link, mis viitab ründaja lehele.
- 2014 aastal oli Eestis üpris levinud telefonikõnel põhinev kalastusrünne, kus end Microsofti esindajana tutvustanud inimene juhendas pahaaimamatuid kasutajaid oma arvutisse teatud programmi installeerima.
- Kalastamisrünnet kasutatakse ka raha välja petmiseks. Kõigepealt kaaperdatatakse ühe ohvri meilikonto ning seejärel saadetakse tema kontaktidele kiri, kus räägitakse, et on kiiresti raha vaja. Üks selline näide Eestist: "Kaitse oma kontosid ehk kuidas mu “ema” Bradfordis paljaks varastati" (2014).
- Näide selle kohta, kuidas Google reklaame saab kasutada kalastamise eesmärgil: Kraken Phishing Warning (2016).
- Jaanuaris 2015 saadeti laiali kiri, mis just nagu oleks saadetud Maksu- ja tolliamet poolt ja sisaldas infot tulumaksutagastuse kohta. Kiri ise oli vigases Eesti keeles, aga viitas veebilehele, mis nägi välja samasugune nagu Maksuameti koduleht. Pöörake tähelepanu fotol olevale aadressiribale, krediitkaardiandmete küsimise väljale ja lehekülje alumises osas olevatele ikoonidele, mis ütlevad, et leht on turvatud ja kasutab tugevat krüptot.
- Kuidas telefonikõne abil saab teha vahendusründel põhinevat õngitsusrünnet: Would You Have Fallen for This Phone Scam? (2020)
Kasulikud lingid
- Social engineering framework
- Social engineering
- Real life examples of social engineering
- Phishing