1. COMP.SEC.100
  2. 8. Haitallinen toiminta: hyökkäyksiä ja hyökkääjiä
  3. 8.3 Haitallisen toiminnan elementit (syventävä)

Haitallisen toiminnan elementit (syventävä)

Rikolliset haluavat toimia mahdollisimman kustannustehokkaasti ja tehdäkseen suurinta mahdollista voittoa. Poliisi, muut viranomaiset, turvallisuusyritykset ja tietojärjestelmien käyttäjät yrittävät jatkuvasti estää rikollisten toimia, ja siksi näiden kehitettävä toimintansa torjunnankestäväksi. Viime vuosina on nähty kyberrikollisten ekosysteemin kehittyminen ja erikoistuminen, jossa he erikoistuvat eri asioihin ja käyvät kauppaa näillä palveluilla keskenään pimeillä markkinoilla.

Yhteistyöohjelmat
Yhteistyöohjelma (affiliate programme) on järjestelmä, jossa pääorganisaatio tarjoaa “brändin” ja kaikki tarvittavat keinot esim. tilauksiin, lähetyksiin ja maksuihin. Yhteistyökumppanit voivat liittyä ohjelmaan, ohjata liikennettä alustan osoitteeseen ja saada osansa myynnistä. Tällaisia järjestelmiä on myös laillisille yrityksille (esim. Amazonilla on yhteistyöohjelma), mutta erityisen hyvin ohjelmat ovat onnistuneet kyberrikollisten kesken. Suurin ero laillisten ja rikollisten ohjelmien välillä on, että rikolliset kauppaavat tuotteita, joita pidetään laittomina (esim. lääkeväärennökset, rahapelit, väärennetyt design-tuotteet), ja yleensä soveltavat laittomia tekniikoita kuten haittaohjelmia. Yhteistyöohjelmat ovat suosittuja kyberrikollismaailmassa, koska rikollisen ei tarvitse aloittaa tyhjästä, vaan he voivat keskittyä esim. bottiverkkojen perustamiseen roskapostitusta varten ja ostaa muut tarpeet (esim. tuotteiden jakelun) palveluna. Yhteistyöohjelmat tarjoavat kyberrikollisille myös kanavan, joka helpottaa kontaktien solmimista ja palveluiden kauppaa.

Hyökkäysvektorit (syventävä)

Kyberrikollisten toiminta perustuu usein haittaohjelmien levittämiselle ja heidän hyökkäysvektorinsa ovat näin ollen tapoja, joilla he saavat haittaohjelman asentumaan uhrin koneelle:

  • Haitalliset liitetiedostot: Vanhin ja tunnetuin tapa on houkutella uhri avaamaan liite, jossa on tai joka on haittaohjelma. Tähän käytetään erilaisia esim. myös phishingissä käytettyjä tapoja tehdä liitteestä houkutteleva. Houkutteluun käytetään myös käyttäjän manipulointiin liittyviä tekniikoita.
  • Black hat -hakukoneoptimointi: Hakukoneoptimointi on käytäntö, jossa verkkosivustojen ylläpitäjät säätävät sivujensa sisältöä, jotta ne indeksoituvat paremmin ja jotta sivusto näkyy korkeammalla hakukonetuloksissa. Rikolliset tekevät tätä samaa, mutta niin, että valesivusto nousee korkeammalle tuloksissa ja erehdyttää käyttäjiä sivustolle. Esim. Suomessa varoitettiin syksyllä 2021 Kanta-palveluihin liittyneestä kalastelukampanjasta, jossa Kanta-palvelun näköinen kalastelusivusto nousi oikean sivun ohi joissakin hakukoneissa ja varasti sivulle erehtyneiden pankkitunnuksia. Black hat -hakukoneoptimointi liittyy usein johonkin asiaan, joka on puheenaiheena tai ajankohtainen yhteiskunnassa (esim. suuret urheilutapahtumat, vaalit, rokotustodistuksetkin Covid-19:n aikaan), jolloin asiasta tehdään paljon hakuja.
  • Drive-by download -hyökkäykset: Uhri houkutellaan (esim. black hat -hakukoneoptimoinnilla) rikollisen luomalle tai kaappaamalle web-sivulle, jossa rikollisen skripti yrittää ladata automaattisesti haittaohjelman uhrin laitteelle hyödyntäen haavoittuvuuksia selaimessa tai jossakin sen pluginissa (ks. myös). Toinen tapa on malvertisement, jossa rikollinen ujuttaa skriptinsä joltakin sivustolta ostamaansa mainostilaan.
  • Internetiin kytkettyjen laitteiden kaappaus: Rikolliset skannaavat verkkoa ja etsivät esim. haavoittuvia IoT-laitteita. Nämä valjastetaan osaksi bottiverkkoja, joita voidaan käyttää roskapostittamiseen tai palvelunestohyökkäyksiin.

Infrastruktuuri (syventävä)

Rikolliset tarvitsevat isäntäpalvelimia (host) verkkosivuilleen. Viranomaiset ja operaattorit sulkevat rikollisten palvelimet, mikäli ne löydetään. Tätä vastaan rikolliset käyttävät esim. bulletproof hosting service -palveluita, jotka eivät mene nurin viranomaisten vaatimuksesta. Tämä saadaan aikaan esim. pitämällä palvelimet valtioissa, joissa ei ole kummoista kyberlainsäädäntöä tai paikalliset viranomaiset voidaan esim. lahjoa. Tämä johtaa siihen, että näissä palveluissa on usein paljon erilaista rikollista toimintaa ja rikolliset ovat valmiita myös maksamaan palveluista. Vaikka viranomaiset eivät suoraan saa suljettua palveluita, operaattorit voivat estää niiden liikenteen, jos tiedetään missä palvelin on. Rikollisten bottiverkot puolestaan tarvitsevat komentoinfrastruuktuuria, jotta saastuneet koneet saadaan ohjattua haittaoperaatioihin. Rikollisille on ongelma, jos bottiverkon ohjaus on keskittynyt vain yhteen paikkaan, joten tässä käytetään mielellään hajautusta tai esim. peer-to-peer -verkkoja.

Erikoispalvelut, ihmisiin liittyvät palvelut ja maksupalvelut (syventävä)

Kyberrikolliset käyttävät useita palveluja operaatioidensa tukena. Exploit kit on haavoittuvuuspaketti, jonka kyberrikollinen voi ostaa ja asentaa web-sivulle. Paketti sisältää kokoelman haavoittuvuuksia ja haittaohjelmia. Kun uhri käy sivulla, kit tutkii uhrin laitteen ja käyttää sopivaa haavoittuvuutta. Kyberrikollinen säästää aikaa ja vaivaa haavoittuvuuksien tutkimisesta. Pay-per-install -palvelu myy haittaohjelmien asennusta uhrien koneisiin, palvelua käyttävä rikollinen maksaa jokaisesta onnistuneesta asennuksesta. Rikollinen säästää aikaa ja vaivaa, kun työtä ei tarvitse tehdä itse. CAPTCHAn ratkaisupalvelut helpottavat tilien luomista massoittain, rikollinen ohjaa CAPTCHAt ratkaistavaksi palveluun, jossa ihmiset ratkaisevat ne, ja voi itse keskittyä tilien luontiin. Osa rikollisista käy myös suoraan kauppaa valetileillä, eli valmiita valetilejä voi osaa pimeiltä markkinoilta. Tarjolla voi olla tilejä, joiden mainetta on jo valmiiksi nostettu. Myös erilaisia sisältöpalveluja on tarjolla pimeillä markkinoilla, esim. valesivustotarkoituksiin. Rikolliset voivat pimeiltä markkinoilta ostaa myös rahanpesun palveluna siihen erikoistuneilta “muuleilta” (money mules). Rahan ja maksujen käsittelyyn kyberrikolliset käyttävät esim. pankkikortteja, Paypalia, Western Unionia tai kryptovaluuttoja. Kiinnijäämismielessä kryptovaluutta on turvallisin vaihtoehto rikollisen näkökulmasta, koska se on anonyymimpi ja vaikeampi jäljittää kuin muut tavat.

Palautusta lähetetään...