29.09.2006 11:06

Sosiaalinen hakkerointi kohdistuu käyttäjään

Kotikäytössä olevien tietokoneiden tietoturva muuttuu jatkuvasti tiukemmaksi ja se kohdistuu yhä enemmän myös vielä tuntemattomien uhkien ennaltaehkäisyyn. Sitä mukaa kun turvaohjelmistot kehittyvät, hyökkäyksiä kohdistetaan yhtä enemmän järjestelmän haavoittuvimpaan osaan, näppäimistön ja tuolin väliin. Ihmisiä koetetaan huijata netissä monilla eri tavoilla. Verkon tehokkuus viestivälineenä tekee huijaamisesta valitettavan tehokasta ja kannattavaa - kun lähettää miljoona viestiä, joukkoon sattuu aina joku jallitettava.

Ei ole liioittelua sanoa, että tietokoneen tietoturva on vain yhtä hyvä kuin sen käyttäjä. Tietoturvapuolella käyttäjän valistaminen on yhtä tärkeää kuin varsinaisista turvaohjelmistoista huolehtiminen. Hyväkään turvaohjelma ei välttämättä suojele käyttäjää, joka ehdoin tahdoin avaa koneensa haittaohjelmille tai hakkereille.

Käyttäjien jallittamista kutsutaan englanniksi nimityksellä social engineering, joka tietokoneiden tapauksessa kääntyy sosiaaliseksi hakkeroinniksi. Kyseessä on yleistermi kaikille tekniikoille, joilla yritetään mainpuloida käyttäjä paljastamaan arkalointoista tietoa tai avaamaan tietokoneensa tai vaikkapa firman verkko tunkeutujille.

Tässä ylläpito, saisinko salasanasi ja tilitietosi

Hyvin perustavaa tasoa edustava esimerkki sosiaalisesta hakkeroinnista ovat edellisessä artikkelissa esitellyt phishing-hyökkäykset, joissa käyttäjiä huijataan antamaan pankkitietonsa tai salasanansa väärennetylle nettisivulle. Kyseisestä artikkelista löydät neuvoja siihen, miten tällaiset huijausyritykset voi tunnistaa.

Phishingissä turvaudutaan hyvin usein sosiaalisen hakkeroinnin perustekniikkaan, ylläpitohenkilöstöksi naamioitumiseen. Varoituksista huolimatta tämä tekniikka on edelleen tehokas. Suuri osa näistä hyökkäysistä tehdään puhelimitse, osa sähköpostitse tai pikaviestimillä. Hakkeri tekeytyy esimerkiksi verkon ylläpitäjäksi, jonka tiedustelee käyttäjän tunnusta ja salasanaa tehdäkseen jokun ylläpidolle tärkeän toimen. Yleensä käyttäjää yritetään säikäyttää toimintaan, esimerkiksi kertomalla että ellei hän tottele, tunnus suljetaan. Huijari voi myös väittää, että joku käyttää uhrin tunnusta hämäräpuuhiin. Ellei toimita nopeasti, käyttäjä on ongelmissa.

Hakkeri voi saada salasanan tai käyttäjätunnuksen haltuunsa myös lahjomalla, tutkimusten mukaan jopa yllättävän halvalla. Vuonna 2004 järjestetyssä tutkimuksessa paljastui, että 70-80 prosenttia käyttäjistä luovuttavat verkkopalvelun salasanan mikäli he saisivat vastapalkkioksi suklaata. 34 prosenttia vastaajista myöntyi, kun haastattelija arveli, että salasana on lapsen tai lemmikkieläimen nimi. Vuotta aiemmin järjestetyssä tutkimuksessa paljastui, että 90 prosenttia vastaajista paljasti salasanansa saadakseen vastalahjaksi halvan kynän.

Minkään netti- tai tietokonepalvelun ylläpito ei nykyisin kysy käyttäjän tunnusta tai salasanaa sähköpostitse tai puhelimitse. Jos tällainen tiedustelu tulee, kyseessä on hyvin todennäköisesti hakkerointiyritys. Tällaisen puhelun tullessa kannattaa ottaa pieni miettimispaussi, eikä laverrella automaattisesti kirjautumistietojaan. Vähintään tulee varmistaa, että kyselijä on kuka hän väittääkin olevansa. Varminta on mennä tapaamaan ylläpitoa kasvotusten, mutta puhelimitse asian voi hoitaa niin että sulkee puhelun ja soittaa itse oikeaksi tietämäänsä ylläpidon numeroon. Firmassa numero löytyy sisäisestä puhelinluettelosta tai intranetistä, muiden palveluiden numeroita kannattaa etsiä niiden kotisivuilta. Kannattaa muistaa että tällaiset kyselijät ovat hyvin vakuuttavia sekä aggressiivisuudessaan että suostuttelutaidoiltaan. Ellei käyttäjä meinaa totella, huijari voi ryhtyä näyttelemään raivostunutta tai hätääntynyttä. Tärkeintä on pysyä itse rauhallisena ja miettiä mitä tekee.

Salasanansa suklaapatukkaa tai kynää vastaan luovuttaneiden tulisi painua nurkkaan häpeämään.

Sähköpostia salaiselta ihailijalta

Toinen nykyisin runsaasti käytetty sosiaalisen hakkeroinnin tekniikka on huijata käyttäjä asentamaan vahingollinen ohjelma koneelleen. Tällä tavoin levitetään sähköpostitse viruksia sekä troijalaisia, jotka avaavat koneen tunkeutujille. Tällaiset haittaohjelmat leviävät yleensä niin, että ne nappaavat saastutetun koneen vieraskirjasta seuraavien uhriensa nimet ja lähettävät kopion itsestään heille käyttäjän nimissä. Tutulta henkilöltä tuleva viesti sekä sen liitetiedosto tulee avattua sen kummemmin ajattelematta. Juuri tämän varaan tietokonerikolliset laskevat. Mikäli tutulta tai tuntemattomalta lähettäjältä tulee millään tavoin epäselvä tai kummallinen viesti, sen mukana olevia liitetiedostoja ei missään nimessä pidä avata. Tässä tapauksessa kannattaa varmistaa viestin lähettäjältä mistä liitteessä on kyse.

Toinen psykologinen kikka on varustaa viesti uteliaisuutta herättävällä otsikolla. Jos viestissä lupaillaan että mukana tulevassa liitetiedostossa on salaisen ihailijan valokuva, monen käyttäjän hormonitoiminta ryntää järjenjuoksusta ohi. Tähän menetelmään perustui esimerkiksi LoveLetterinä tunnettu legendaarinen sähköpostivirus, joka oli varustettu ILOVEYOU-otsikolla, sekä kehoituksella avata viestin liitetiedostossa oleva rakkauskirje. Liitetiedosto on usein naamioitu kuva- tai tekstitiedostoksi laittamalla sille kaksi tiedostopäätettä. Esimerkiksi LoveLetterin liitetiedoston nimi oli LOVE-LETTER-FOR-YOU.TXT.vbs. Koska Windows piilottaa oletusasetuksillaan avuliaasti tiedostojen päätteet, kokemattomat ja huolimattomat käyttäjät avasivat txt-tekstitiedoston sijaan vbs-skriptin.

Ei kannata luottaa siihen, että tietoturvaohjelmat tunnistavat liitetiedostoihin upotetut virukset. Haittaohjelmakentällä uusin suuntaus on tehdä tiettyä firmaa tai muuta tahoa vastaan räätälöityjä haittaohjelmia, jotka eivät välttämättä koskaan päädy tietoturvafirmojen tutkittavaksi. Ainoa tapa suojautua sähköpostitse levitettäviltä haittaohjelmilta on pysähtyä hetkeksi miettimään ennen kuin klikkailee auki sähköpostien liitetiedostoja.

Poistamme virukset koneeltasi samalla kun surffaat ilmaista pornoa yhteysohjelmallamme

Ketkuin tapa huijata käyttäjää asentamaan koneelleen haittaohjelmia on naamioida ne tietoturvaohjelmiksi. Tämä tapahtuu esimerkiksi liittämällä nettisivulle komponentti, joka tarjoaa käyttäjän koneelle ilmaista virustarkistusta. Kun käyttäjä lataa ja asentaa virustutkaksi luulevansa ActiveX-komponentin tai muun ohjelman, se itse asiassa saastuttaa käyttäjän koneen haittaohjelmilla. Pääsääntöisesti tällaisiin ilmaisiin virustarkastuksiin kannattaa suhtautua huomattavalla epäilyksellä ja käyttää sen sijaan tunnetusti asiallisia turvaohjelmia.

Toinen tapa huijata käyttäjä asentamaan koneelleen haittaohjelmia on luvata aikuisviihdettä ilmaiseksi tai halvalla. Eräs perinteinen tienaamistapa on asentaa modeemikäyttäjän koneelle niin kutsuttu dialler-ohjelma, joka soittaa erittäin kalliiseen palvelunumeroon. Tällaisiin ”yhteyttä nopeuttaviin apuohjelmiin” pitäisi suhtautua suurella varauksella, löytyi koneesta modeemi eli ei. Jotkut niistä ovat asiallisia ohjelmistoja, jotka ilmoittavat käyttäjälle hinnaston selkeästi ja ovat näin laillista liiketoimintaa, suuri osa eivät.

Sähköpostin ja netin kanssa lievä vainoharhaisuus on nykyisin elossaselviämisstrategia. Verkossa pätee erittäin hyvin se sääntö, että jos jokin kuulostaa liian hyvältä ollakseen totta, se ei ole totta ja luultavasti jonkinlainen huijaus. Osa näistä on viattomia, kuten erilaiset ketjukirjehuijaukset joissa väitetään Nokian antavan ilmaisia kännyköitä tai Microsoftin jakelevan Windows-kopioita. Haitallisempia ovat aidot huijaukset, kuten Nigerialaishuijauksina tunnetut sähköpostit, joiden lähettäjä väittää että hänellä on hallussaan miljoonaomaisuus. Jos vastaanottaja auttaa sen siirtämisessä ulkomaille, luvassa on aimo tukku rahaa. Käytännössä vastaanottajalta lypsetään niin paljon rahaa kuin mahdollista erilaisina kuvitteellisina kuluina, minkä jälkeen lähettäjä katoaa taivaan tuuliin.

Lyhyt yhteenveto edellisestä:

• Jos joku tuntematon kyselee käyttäjätunnustasi tai salasanaasi johonkin palveluun, mieti hyvin, hyvin tarkkaan ennen kuin luovutat ne. Pyri varmistamaan asia henkilöltä jonka tunnet. Myöskään luottokorttinumeroa ei pidä luovuttaa puhelimitse, sähköpostitse tai pikaviestimillä.

• Jos saat sähköpostia jossa on liite, mieti aina kahdesti ennen kuin avaat sen, vaikka uteliaisuus miten kutkuttaisi. Tämä koskee myös tutuilta tulevia viestejä.

• Mikäli netissä luvataan jotain ilmaiseksi, etenkin jos kyseessä ovat ohjelmakopiot tai aikuisviihde, tarjoukseen on melko varmasti koira haudattuna.

• Viestien suomenkielisyys ei ole tae niiden aitoudesta.

SecurityFocus-sivuston englanninkielinen artikkeli sosiaalisesta hakkeroinnista.

BBC:n artikkeli siitä, kuinka käyttäjät luovuttavat tunnuksensa esim. saadessaan palkinnoksi suklaata.

Käyttäjää rakkauskirjeellä houkuttelevan LoveLetter-viruksen kuvaus.

Urbaanilegendoja listaavalta Snopes-sivustolta löytyy myös lista sähköpostihuijauksista. Ei, Nokia ei jakele ilmaisia kännyköitä jos lähetät viestin kymmenelle kaverille.

Nettihuijauksia listataan myös F-Securen sivuilla

Janos Honkonen