- COMP.SEC.100
- 8. Haitallinen toiminta: hyökkäyksiä ja hyökkääjiä
- 8.3 Haitallisen toiminnan elementit (syventävä)
Haitallisen toiminnan elementit (syventävä)¶
Järjestelmien kannalta haitalliset toiminnot ja niiden tekijät voivat käyttää melko monimutkaisia infrastruktuureja erityisesti järjestäytyneen rikollisuuden tapauksessa. Rikolliset haluavat toimia mahdollisimman kustannustehokkaasti ja tehdäkseen suurinta mahdollista voittoa. Lisäksi esim. poliisit, lainvalvontaviranomaiset, turvallisuusyritykset, ja käyttäjät itse yrittävät jatkuvasti estää rikollisten toimia, ja siksi rikollisten on saatava toimintansa torjunnankestäväksi. Viime vuosina on nähty kyberrikollisten ekosysteemin kehittyminen ja erikoistuminen, jossa rikolliset erikoistuvat eri asioihin ja käyvät kauppaa näillä palveluilla keskenään pimeillä markkinoilla.
- Yhteistyöohjelmat
- Yhteistyöohjelma (affiliate programme) on järjestelmä, jossa pääorganisaatio tarjoaa “brändin” ja kaikki tarvittavat keinot esim. tilauksiin, lähetyksiiin ja maksuihin. Yhteistyökumppanit voivat liittyä ohjelmaan, ohjata liikennettä alustan osoitteeseen ja saada osansa myynnistä. Tällaisia järjestelmiä on myös laillisille yrityksille (esim. Amazonilla on yhteistyöohjelma), mutta erityisen hyvin ohjelmat ovat onnistuneet kyberrikollisten kesken. Suurin ero laillisten ja rikollisten ohjelmien välillä on, että rikolliset kauppaavat tuotteita, joita pidetään laittomina (esim. lääkeväärennökset, rahapelit, väärennetyt design-tuotteet) ja rikolliset yleensä tukevat laittomia tekniikoita (esim. haittaohjelmien käyttö tai black hat -hakukoneoptimointi, jossa rikollisia sivustoja nostetaan hakukonetuloksissa). Yhteistyöohjelmat ovat suosittuja kyberrikollismaailmassa, koska rikollisen ei tarvitse aloittaa tyhjästä, vaan he voivat keskittyä esim. bottiverkkojen perustamiseen roskapostitusta varten ja ostaa muut tarpeet (esim. tuotteiden jakelu) palveluna. Yhteistyöohjelmat tarjoavat kyberrikollisille myös yhteistyökanavan, joka helpottaa kontaktien solmimista ja palveluiden kauppaa.
Hyökkäysvektorit (syventävä)¶
Otsikon hyökkäysvektori (attack vector) tarkoittaa yleisesti välinettä, jota käyttämällä on mahdollista hyökätä esim. tietojärjestelmään tai -verkkoon. Kyberrikollisten toiminta perustuu usein haittaohjelmien levittämiselle ja tällöin heidän hyökkäysvektorinsa liittyvät haittaohjelmien levittämiseen. Rikollisilla on useita tapoja saada haittaohjelma uhrin koneelle:
- Haitalliset liitetiedostot: Vanhin ja tunnetuin tapa. Uhri pitää houkutella avaamaan liite. Tähän käytetään erilaisia esim. myös phishingissä käytettyjä tapoja tehdä liitteestä houkutteleva. Houkutteluun käytetään myös käyttäjän manipulointiin liittyviä tekniikoita.
- Black hat -hakukoneoptimointi: Hakukoneoptimointi (search engine optimization, SEO) on käytäntö, jossa web-sivujen ylläpitäjät optimoivat sivuston sisältöä, jotta se indeksoituu paremmin ja jotta sivusto näkyy korkeammalla hakukonetuloksissa. Rikolliset tekevät tätä samaa, mutta niin, että valesivusto nousee korkeammalle tuloksissa ja erehdyttää käyttäjiä sivustolle. Esim. Suomessa varoitettiin syksyllä 2021 Kanta-palveluihin liittyneestä kalastelukampanjasta, jossa Kanta-palvelun näköinen kalastelusivusto nousi ohi oikean Kanta-palvelun joissakin hakukoneissa ja varasti sivulle erehtyneiden pankkitunnuksia. Black hat -hakukoneoptimointi liittyy usein johonkin asiaan, joka on puheenaiheena tai ajankohtainen yhteiskunnassa (esim. suuret urheilutapahtumat, vaalit, rokotustodistukset), jolloin asiasta tehdään paljon hakuja.
- Drive-by download -hyökkäykset: Uhri houkutellaan (esim. black hat -hakukoneoptimoinnilla) rikollisen kaappaamalle web-sivulle, jossa rikollisen skripti yritää ladata automaattisesti haittaohjelman uhrin laitteelle hyödyntäen haavoittuvuuksia selaimessa tai jossakin sen pluginissa. Toinen tapa on malvertisement, jossa rikollinen ujuttaa skiriptinsä joltakin sivustolta ostamaansa mainostilaan.
- Internetiin kytkettyjen laitteiden kaappaus: Rikolliset skannaavat verkkoa ja etsivät esim. haavoittuvia esineiden internetin (internet of things, IoT) laitteita. Nämä valjastetaan osaksi bottiverkkoja, joita voidaan käyttää roskapostittamiseen tai palvelunestohyökkäyksiin.
Infrastruktuuri (syventävä)¶
Rikolliset tarvitsevat isäntäpalvelimia (host) haitallisille verkkosivuilleen. Viranomaiset ja operaattorit sulkevat rikollisten palvelimet, mikäli ne löydetään. Tätä vastaan rikolliset käyttävät esim. bulletproof hosting service -palveluita, jotka eivät mene nurin viranomaisten vaatimuksesta. Tämä saadaa aikaan esim. pitämällä palvelimet valtioissa, joissa ei ole kummoista kyberlainsäädäntöä tai paikalliset viranomaiset voidaan esim. lahjoa. Tämä johtaa siihen, että näissä palveluissa on usein paljon erilaista rikollista toimintaa ja rikolliset ovat valmiita myös maksamaan palveluista. Vaikka viranomaiset eivät suoraan saa suljettua palveluita, operaattorit voivat estää niiden liikenteen, jos tiedetään missä palvelin on. Rikollisten bottiverkot puolestaan tarvitsevat komentoinfrastruuktuuria, jotta saastuneet koneet saadaan ohjattua haittaoperaatioihin. Rikollisille on ongelma, jos bottiverkon ohjaus on keskittynyt vain yhteen paikkaan, joten tässä käytetään mielellään hajautusta tai esim. peer-to-peer -verkkoja.
Erikoispalvelut, ihmisiin liittyvät palvelut ja maksupalvelut (syventävä)¶
Kyberrikolliset käyttävät useita palveluja operaatioidensa tukena. Exploit kit on haavoittuvuuspaketti, jonka kyberrikollinen voi ostaa ja asentaa web-sivulle. Paketti sisältää kokoelman haavoittuvuuksia ja haittaohjelmia. Kun uhri käy sivulla, kit tutkii uhrin laitteen ja käyttää sopivaa haavoittuvuutta. Kyberrikollinen säästää aikaa ja vaivaa haavoituvuuksien tutkimisesta. Pay-per-install -palvelu myy haittaohjelmien asennusta uhrien koneisiin, palvelua käyttävä rikollinen maksaa jokaisesta onnistuneesta asennuksesta. Rikollinen säästää aikaa ja vaivaa, kun työtä ei tarvitse tehdä itse. CAPTCHAn ratkaisupalvelut helpottavat tilien luomista massoittain, rikollinen ohjaa CAPTCHAt ratkaistavaksi palveluun, jossa ihmiset ratkaisevat ne, ja voi itse keskittyä tilien luontiin. Osa rikollisista käy myös suoraan kauppaa valetileillä, eli valmiita valetilejä voi osaa pimeiltä markkinoilta. Näissä voi olla myös jo valmiiksi esim. tilin mainetta nostettu. Myös erilaisia sisältöpalveluja on tarjolla pimeillä markkinoilla, esim. valesivustotarkoituksiin. Rikolliset voivat pimeiltä markkinoilta ostaa myös rahanpesun palveluna siihen erikoistuneilta “muuleilta” (money mules). Rahan ja maksujen käsittelyyn kyberrikolliset käyttävät esim. pankkikortteja, Paypalia, Western Unionia tai kryptovaluuttoja. Kiinnijäämismielessä kryptovaluutta on turvallisin vaihtoehto rikollisen näkökulmasta, koska se on anonyymimpi ja vaikeampi jäljittää kuin muut tavat.