Tietojenkalastelu

Kalastelija osaa nykiä oikeasta narusta – kolmannes tietovuodoista toteutuu kalastelun kautta

Olli Luotonen, Senior Cyber Security Specialist
Tietoliikennetaustan omaava IT-ammattilainen, joka toimii kyberturvan parissa aina konsultointityöstä eettiseen hakkerointiin. Pyrkii tarkastelemaan asioita niin punaisten kuin sinistenkin lasien läpi.
Blogi Kyberturva

Kalastelijoiden syötit ovat entistä houkuttelevampia. Vuonna 2019 tapahtuneista tietovuodoista 33% sisälsi kalastelua jossain vaiheessa operaatiota ja näistä 65% tapauksista kalasteluviesti oli ensimmäinen jalansija yritysverkkoon.

”Vilkaisepa tätä botskia! Mitä luulet, saisiko tällä naapurin kateelliseksi Houtskarin mökillä?”

”Miksiköhän viesti tulee Harrin työpaikan sähköpostista?” miettii Mika hetken ennen linkin avaamista, mutta sivuuttaa sitten ajatuksen. Ruudulle pomppaa oudohko viesti, mutta sen hyväksymisen jälkeen avautuu veneitä myyvän verkkosivuston ilmoitus bränikästä uutuudesta.

”Hinta saisi varmasti naapurit vihreäksi, muttei kyllä ole lainkaan Harrin tyylinen”, pohtii Mika nostaen kätensä hieromaan leukaansa.

Mutta käden ele ei jää ainoastaan Mikan ja hänen lattialla makoilevan borderterrierinsä todistamaksi. Jossain muualla webkameran kuvassa kolmas silmäpari tarkastelee kohdettaan. Operaatio on alkanut.”

Entistä ovelampaa kalastelua

Vielä puoli vuosikymmentä sitten kalasteluviestit olivat helppoja tunnistaa. Ne sisälsivät lähes poikkeuksetta kirjoitusvirheitä, epäkohtia ulkoasussa tai olivat draamankaarensa puolesta ilmiselviä.
Mutta kehitys kehittyy myös rikollisten toimijoiden käsissä ja nykypäivän kalasteluviestejä on usein lähes mahdoton tunnistaa pelkän visuaalisen tai kontekstuaalisen sisällön perusteella. Ja kuten meidän kuvitteellisessa tarinassamme, ne usein hyödyntävät jotain uhrin sosiaalista kulmaa kuten harrastusta.

Mitä tärkeämpi kohde on, sitä syvemmältä viestin tueksi etsitään tarinaa. Esimerkiksi koko yrityksen talousosastoa koskevaan kalasteluviestiin voitaisiin etsiä oikean laskutuskumppanin dokumenttipohjaa muistuttavia materiaaleja. Yksittäistä toimitusjohtajaa koskevaan kalastelutoimeen saatettaisiin puolestaan käyttää jopa kuukausia; esimerkiksi rakentaen feikkiprofiilia samalle harrastelijafoorumille kuin missä tietää kohteensa olevan aktiivinen. Tarkoituksena on näin lisätä uskottavuutta kohteen silmissä.

Peruutetaanpa kuitenkin vielä hieman. Mitä kalasteluviestillä sitten halutaan saavuttaa?

Syitä voi olla monia. Tyypillisiä tavoitteita ovat yleisen yrityksen informaation kerääminen, kuten käytettyjen suojausmenetelmien kartoittaminen sekä käyttäjätunnuksien kalastelu tai suora jalansija yrityksen verkkoon haittaohjelman avulla. Kuitenkin tien päätepysäkillä pyritään saamaan konkreettinen pääsy yrityksen IT-järjestelmiin.

Luvut kertovat karua kieltä kalastelun tehokkuudesta. Vuonna 2019 tapahtuneista tietovuodoista 33% sisälsi kalastelua jossain vaiheessa operaatiota ja näistä 65% tapauksista kalasteluviesti oli ensimmäinen jalansija yritysverkkoon. (Lähde: Verizon Data Breach Investigations Report. 2019)

Miten kannattaa suojautua?

Vielä kymmenen vuotta sitten suojauksen painopiste kohdistettiin sähköpostin teknisille suojaustavoille, kuten roskapostin suodatukselle ja sähköpostiprotokollien ympärille rakentuville mekanismeille. Näistä esimerkkejä ovat DMARC, SPF tai DKIM. Digitalisaation edetessä hyökkääjien kyvykkyys kiertää näitä kontrolleja on kasvanut pakottaen myös puolustavan puolen miettimään toimintatapojaan uudelleen.

Sen sijaan, että estäisimme viimeiseen asti sen pahan sähköpostiviestin päätymistä käyttäjälle, tulisi meidän auttaa käyttäjiämme kehittämään kriittistä arvostelukykyään ja yleistä tietoisuuttaan.
Kuten missä tahansa harjoittelussa, tämä onnis tuu parhaiten asettamalla käyttäjät mahdollisimman aidonoloiseen, mutta turvalliseen, tilanteeseen – yhtä taidokkaiden kalasteluviestien kohteiksi kuin oikeassa elämässäkin. Kalastelusimulaatiossa käyttäjä opetetaan tunnistamaan kalasteluviestit omasta sähköpostivirrasta lähettämälle tälle vaarattomia kalasteluviestejä. Kun käyttäjä tunnistaa viestin kalasteluviestiksi, hän merkitsee sen ja saa välittömän palautteen merkinnästään. Harjoittelu aidoissa arkipäivän tilanteissa on usein monin verroin tehokkaampaa kuin pelkästään asiasta kertominen ja opastaminen.

Loihde Trustin offensiivisiin tietoturvapalveluihin kuuluvat kalastelusimulaatio, penetraatiotestaus ja Red Teaming. Palvelut simuloivat reaalimaailman nykyaikaisia kyberuhkia sekä -hyökkäyksiä hyödyntämällä samoja tekniikoita sekä työkaluja kuin uhkatekijät.

Offensiivisilla tietoturvapalveluilla voidaan testata organisaation tietoturvaa hyökkääjän näkökulmasta.