Spear phishing - SecMeter

Go to content

Spear phishing

Yritysturvallisuus > Kyberturvallisuus
Spear phishing -termi tarkoittaa kohdennettua tietojen kalastelua sähköpostiviestin, tekstiviestin, puhelun tai väärennetyn verkkosivun avulla.

Kohdennetun tietojen kalastelun eli ”tuulastuksen” ja tavanomaisen tietojen kalastelun eli "troolauksen" periaate on sama eli houkutellaan henkilö käyttäytymään tavalla, joka palvelee hyökkääjän päämääriä.

Kyseessä on social engineering taktiikka, jonka tuloksena viestin vastaanottaja saadaan kokemaan "sokeaa luottamusta" vastapuolen sanomaa kohtaan. Taktiikkaa hyödynnetään myös mm. valtiollisissa ATP-hyökkäyksissä.



Kohdennetussa tietojenkalastelussa huijausviesti räätälöidään tarkasti tietylle kohdeyritykselle. Tavoitteena on useimmiten liikesalaisuuksiin liittyvien tietojen hankinta. Kohdennettu tietojenkalastelu on Suomessa toistaiseksi harvinaisempaa, kuin tavanomainen tiedon kalastelu. Ensimmäiset tapaukset ilmenivät Suomessa vuonna 2004.

Tarkasti tiettyyn yritykseen kohdennettua sähköpostihuijausta on huomattavasti vaikeampi havaita kuin tavanomaista tiedon kalastelua. Kohdennettua sähköpostihuijausta vastaan ei ole saatavissa valmiita suojausohjelmistoja. Toistaiseksi uhkaa voidaan torjua vain koulutuksella ja yrityksen turvallisuuskulttuuria kehittämällä.

Hyökkäävä osapuoli hankkii huijauksessa tarvittavat tiedot esim. henkilötiedot, tietokannan tietojen nimet, sähköpostiosoitteet ja muut tunnistetiedot ostamalla tiedot tietoverkkorikollisuutta tukevilta markkinoilla tai kalastamalla tiedot itse.

Lopputuloksena käyttäjän sähköpostilaatikkoon tuleva sähköpostiviesti näyttää usein saapuneen tutun yrityksen omasta osoiteavaruudesta henkilökuntaan kuuluvalta käyttäjältä tai muusta luotettavasta lähteestä. Huijausviestiä on käytännössä mahdotonta erottaa normaalista sähköpostiviestistä.

Sähköpostiviesti voi sisältää liitetiedoston tai linkin, jonka klikkaaminen voi johtaa useampien erityyppisten haittaohjelmien latautumiseen tietokoneelle. Latautuvat haittaohjelmat ovat useimmiten myös viruslaboratorioille aiemmin tuntemattomia. Haittaohjelmat ovat polyformisia ja niitä on lähes mahdotonta poistaa tietokoneesta. Ainoaksi toimintavaihtoehdoksi voi osoittautua tietokoneen irrottaminen lopullisesti verkosta.

Esimerkiksi kymmenet tuhannet LinkedIn –palvelun (sosiaalinen verkostosivusto) käyttäjät joutuivat kohdennetun spear phishing sähköpostihuijauksen kohteiksi. Sivuston jäsenet uskoivat saavansa sivustolta lähetetyn sähköpostiviestin ja toimivat viestin ohjeiden mukaisesti. Tosiasiallisesti käyttäjien koneisiin latautui haittaohjelmia.

Norjassa paljastui maan toistaiseksi suurin tietomurtojen sarja
Norjan viranomaisten (NSM, National Security Agency = Norjan CERT) mukaan tietomurtojen kohteina oli kymmenen Norjan puolustus-, öljy- ja kaasuenergia-alan yritystä. Todellisen luvun uskotaan olevan kuitenkin suurempi. Hyökkäykset tapahtuivat sähköpostiviestien avulla levitettyjen räätälöityjen haittaohjelmien avulla ja ne ajoittuivat yritysten kannalta kiireisimpään sopimusneuvotteluiden aikaan.

Hyökkäykset olivat tarkkaan suunniteltuja sekä yksittäisten kohteiden mukaan räätälöityjä. Ne pystyivät ohittamaan kaikki antivirus-ohjelmat. Hyökkääjien arveltiin saaneen haltuunsa ainakin teknisiä dokumentteja (suunnitelmia ja piirustuksia), sopimusasiakirjoja, käyttäjätunnuksia ja salasanoja. Tekijöiden kiinnisaaminen osoittautui hyvin vaikeaksi, koska hyökkäysten jäljet oli osattu peittää hyvin.

Norjan turvallisuuspalvelun operatiivisen johtaja Tore Risbergetin mukaan ääritapauksessa nämä kyberhyökkäykset voivat vaikuttaa Norjaan sekä poliittisesti että taloudellisesti. Lähteet: (aftenposten.no 15.11.2011, bbc.co.uk 18.11.2011, aamulehti.fi 18.11.2011, ts.fi 18.11.2011, ksml.fi 18.11.2011, iltasanomat.fi 18.11.2011

Supo varoitti jälleen nettivakoilusta
Aamulehden artikkelin mukaan supo on kerännyt tiedustelutietoa useista saastuneista nettisivuista, jotka viittaavat vakoiluun. Uhkana on puutteellisesti suojatut sivustot, joihin on ylläpidon tietämättä solutettu haitallista ohjelmakoodia.

Aamulehden artikkelissa todetaan mm. seuraavaa ”Suojelupoliisin mukaan uusimpana uhkakuvana on vakoiluohjelman levittäminen julkisten verkkosivujen kautta”. Lähteet: (Aamulehti 27.12.2008, YLE Uutiset 28.12.2008)

Kyseessä ei ollut suinkaan uusi uhka tai ilmiö, vaan vanhan kertausta. Hyökkäykset ovat olleet aina mahdollisia ja tulevat sitä aina olemaankin huolimatta siitä, että palvelinten ylläpidosta, ohjelmistopäivitysten ajantasaisuudesta ja muusta asianmukaisesta suojauksesta pidetään huolta. Tästä pitävät huolen nimenomaan tiedustelupalvelut.

Tiedustelupalvelut kehittävät hyökkäysohjelmistoja sekä varmistavat demokraattisissa yhteiskuntajärjestelmissä lainsäädännöllisesti riittävät resurssit ja toimintaolosuhteet verkossa tapahtuvalle tiedustelutoiminnalle.

Aamulehden artikkelissa todettiin, että ”supolla ei ole toistaiseksi tiedossa verkkohyökkäyksiä, joissa suomalaisiin kohteisiin olisi isketty nettisivuilta levitetyllä ohjelmalla”. Jos näin on todella lausuttu, on kyseessä ristiriitainen ja erittäin mielenkiintoinen toteamus supolta. Useiden eri organisaatioiden tietoliikenneyhteyksistä ja tietoturvallisuudesta vastaavilla henkilöillä on tiedossaan tällaisia havaintoja.

Kohdennettuja verkkohyökkäyksiä suomalaisiin organisaatioihin
Suojelupoliisi kertoi kesäkuussa 2008 Helsingin Sanomille, että Suomen valtiota (”ulkoasioita hoitavat valtiolliset tahot”) sekä puolustusteollisuuden yrityksiä vastaan on hyökätty internetin kautta vuodesta 2004 lähtien. Supon mukaan alkuvuonna 2008 todettujen hyökkäysten määrä oli suurempi kuin edellisen vuoden tapaukset yhteensä. Vuosien 2004 - 2008 osalta puhutaan noin kolmestakymmenestä (30) tapauksesta.

Hyökkäykset on toteutettu kohdistamalla kohteeksi valittujen organisaatioiden työntekijöille haittaohjelmia (takaportteja) sisältäviä sähköpostiviestejä. Hyökkäykset on pystytty jäljittämään "kiinan muurille" saakka, mutta hyökkäysten takana olevia tahoja ei ole pystytty identifioimaan, kuten ei myöskään hyökkäysten tavoitteita.

Mikäli hyökkäyksillä on ollut yksi yhteinen tavoite, viittaa hyökkäysten kohdeorganisaatiot ensisijaisesti asekauppoihin liittyvään tiedusteluun, ei niinkään aseinnovaatioihin. Suurvallat ovat kaikki merkittäviä aseviejiä, joten potentiaalisia intressipiirejä on useampia kuin yksi. Hyökkäyksillä saattaa olla myös useampia toisiinsa liittyviä tai liittymättömiä tavoitteita. Vaihtoehtoja on lukuisia, joten tekijöiden todentaminen on arpapeliä.

Myöhemmin supo vahvisti, että myös muut kuin aseteollisuusyritykset ovat joutuneet verkon kautta tapahtuneiden hyökkäysten kohteiksi. Kohteena ovat olleet erityisesti kansainvälisesti toimivat suuryritykset.

Oliko tietoja lopulta onnistuttu imuroimaan, kenelle imuroidut tiedot lopulta päätyivät ja syntyikö tietovuodoista vahinkoa, jää arvailujen varaan. Lähteet: (HS.fi 11.6.2008, Ilta Sanomat 11.6.2008, Iltalehti 11.6.2008, It-viikko 11.6.2008, Kauppalehti 11.6.2008, Digitoday 12.6.2008)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.

Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.

Back to content