Kalastamine (phishing)

Selle nädalasel teemaspektril olen ma kõige rohkem kokku puutunud kalastamisega (phishing). Nimelt minu kokkupuude sai alguse mängust „Runescape“, kus on teatavasti ka reaalne turg („real world trading“) mängu valuuta üle „coins“ („gp“)Runescape gpja sellevõrra ka suurem tähelepanu erinevate kurjategijate pilkudele. Ühel päeval sain ma elektronkirja mänguvaldajalt „Jagexilt“. Kiri oli rämpspostis, kuid see ei tekitanud erilist kahtlust, sest varasemalt on ka nende kirjad rämpsposti läinud. Avasin kirja ja seal seisis kiri ala: Teie kasutajale on tehtud logimine võõralt IP’lt. Meili aadressiriba tundus ka õige ja siis ma avasin selle lingi. Tavaline sisselogimise leht. Logisin suurest mõjutusest sisse ja siis ma nägin seda – leht ei olnud isegi HTTPS. Muidugi mingit kahju see mulle ei suutnud veel teha, sest logisin koheselt õigel lehel sisse ja muutsin enda parooli ära. Päev hiljem oli minu parool nähtav lekkinud paroolide andmebaasis ja tegelikult ma ohkasin kergendatult, sest kuskil mujal mul sellist parooli ei olnud.

Kuid rääkides nüüd kalastamisest endast, siis võtsin appi Cybernetica andmekaitse ja infoturbeleksikoni, mis on siis tõlkinud ISO/IEC 27032 järgi kalastamise definitsiooni.

Kalastamine on petturlik protsess, millega elektroonilises suhtluses usaldatavat olemit teeseldes püütakse saada privaatset või konfidentsiaalset teavet, suhtlusosavusega või tehnilise pettusega.[1]

Ehk kergelt öeldes on tegu teesklusega, eesmärgiga saada konfidentsiaalset või privaatset teavet.

Tavaliselt antakse Ajakirjanduses sellele märksõnu nagu andmepüük, petukiri, õngituskiri jne. Kuid ega kalastamine on meid saatnud terve globaalse Interneti tekke algusest alates. Esmakordselt mainiti sõna „Phishing“ 1996. aastal ühes Useneti grupis[2]. Kui 2000ndate alguses jõudsid veebi pangandus ja erinevad maksesüsteemid, siis kalastamine hakkas aina hoogu koguma. Kuigi kalastamist saaks veel oma korda liigitada mitmeti, siis siin postituses ma seda siiski tegema ei hakkaks ja lihtsalt mainiks, et kõige enam levinum meetod on meililt veebilehele suunamine, mida illustreerib ka all olev joonis.

Tüüpiline kalastamisskeem

Nüüd aga vaataks veidikene statistikat ja uuriks, kui suur probleem see kalastamine ikkagi on. Seega siin on järgnevalt joondiagramm, mis representeerib unikaalseid kalastamise teateid Anti-Phishing Working Groupi (APWG) raportitest.

[3]

Selgelt on näha, et 2013-2015 on toiminud suur tõus raporteerimistel või siis lihtsalt ongi kalastamisi rohkem. Kuid pärast seda on asi jälle languses. Kas inimeste koolitamine aadressiribalt HTTPS’i otsima ja kaheastmelist autentimist (2FA) kasutama on kanda kinnitanud? Võib ka nii öelda. HTTPS’i teadvustamise mõju võib selgelt lugeda siin üheks faktoriks, sest pärast 2015. aastast on HTTPS kalastajate seas aina populaarsemaks muutunud.

[4]

Joondiagrammilt on näha viimastel aastatel suurt õngitsuste langust, siis kindlasti võibki pidada siin silmas „Mitnicki valmi“ koolituste osa. Inimesed ongi lihtsalt rohkem teadlikumad ja enam nii kergelt lõksu ei lange. Me käitume veebis teadlikumalt kui 10 aastat tagasi. Kuid siiski ei leidu päeva, mil ma ei leiaks Twitterist @leak_scavenger lekitatud paroole.

Miks ikkagi langetakse lõksu?

Seda võib võtta juba puhtalt inimeste psühholoogiast tulenevalt. Rutiinsetele tegevusetele ei pööragi me suuremat tähelepanu, kuid kui teeksime investeerimisotsust, siis meie mõttetöö nõuab rohkem pingutust ja on aeglasem. Sellisel juhul me kaalume otsust seni kuniks see on meie jaoks leidnud loogilise lahenduse. Erinevad süsteemid aitavad meid, kuid mitte alati. Meil on rutiiniks kujunenud HTTPS’i olemasolu vaatamine aadressiribalHTTP. Kuid meid ei pruugi aidata ettevõtted ise, kes pakuvad oma teenuseid veebis. Vaatame mõningaid näiteid.

Esimene näide: Slack

Slack pakub ettevõtetele virtuaalseid töökeskkondi.

Vaatame kahte elektronkirja, millest üks on saadetud nende endi poolt ja teine on õngituskiri.


Leiame, et meiliaadressid on samad ja tekstis kirjavead puuduvad. Ei olegi võimalik selle pildi põhjal tegelikult teada saada, et kumb on õngitsus. Mida tegi Slack valesti? Slack ei rakendanud DNS serveri kandeid (SPF, DMARC) enda domeenil. Seega said sisuliselt kõik saata nende domeeni nimega kirju.

Järgmine näide: Amazon Web Services

Sellel korral vaatame veebilehti.


Näeme, et mõlemad kasutavad HTTPS’i. Mõlema aadressiriba lõpud on samuti samad, kuid vastus peitub aladomeenide süsteemis endas. Amazon on millegipärast kasutanud väga pikki domeene. Mainin ära, et ülemine näide “aws.amazon.com” lõpuline on õige veebileht ja “awssignin.com” on õngitus. Esmalt paistab silma erinevus pärast „us-east-1.“ aladomeeni „signin“ ja „console“. Peaks süttima punane tuluke, kuid tegelikult ei.

Need kaks aadressiriba (tumedal taust) on tegelikult mõlemad Amazoni enda omad ja siin me näeme nii kirjeid „console“, „signin“, „aws“. Inimene, kes selliste süsteemidega igapäevaselt töötab ei pane neid erinevusi ilmselt tähelegi ja heas usus saadabki enda andmed kalastajale. [5]

Aga 2FA kasutamine lahendab probleemi?

Pigem ei. See küll lisab kalastajale lisameetmeid.

1) Tuleb õigel veebilehel andmetega kohe sisse logida koos 2FA koodiga.

2) Lihtsalt proovida mõnes teises keskkonnas samu andmeid kasutada.

3) Müüa andmed maha või teha 2) ja 3) korraga.

4) Ehitada reverse proxy näol üles vingem kalastamisleht.

Viimane variant on ammu eksisteerinud (Cloudflare DDoS protection), kuid nüüdseks on mõned sellised õngitsuslehed olemas[6].

Nagu näha siis kalastamine veel eksisteerib, kuid selle takistamiseks on juba palju ära tehtud. Seda siis nii tehnoloogiate (2FA, DMARC, SPF, HTTPS) kui ka inimeste teadlikust kasvatavate projektide näol. Samuti on Google enda AI’ga hakanud paremini tuvastama õngitsuslehti ja need teinud enda kasutajatele raskemini kättesaadavamaks (Gmail filterid, Chrome veebilehitseja).


Kasutatud allikad:

[1] - Cybernetica ANDMEKAITSE JA INFOTURBE LEKSIKON

[2] - Phishing.org - History of Phishing

[3] - Anti-Phishing Working Group (APWG)

[4] - Phishing Activity Trends Report 2nd quarter 2020 (APWG)

[5] - Ichthyology: Phishing as a Science Karla Burnett (Blackhat 2017)

[6] - Phishing NG. Bypassing 2FA with Modlishka.

Comments

Post a Comment

Popular posts from this blog

Kaamera ja silmad

Kuigi olen kasutanud varem nii StickyKeys kui ka MouseKeys utiliite, siis tegelikult ei mõelnud ma üldse selle peale, et need oleks seotud kuidagi erilisusega, lihtsalt mugavad tööriistad. Eks selle nädalane lugemine oli tõesti väga sisukas, puudutades neid samu eelmainitud utiliite, kuid ka muid abivahendeid arvutiga töötamiseks. Kui nüüd lähemalt vaadata, siis mitte ükski nendest tugilahendusest ei tundu uudne, kuid mida võimsamaks lähevad arvutid, seda n-ö uudsemat kraami saab tuua lõppkasutajani. Kui ülikooli juures on tihti näha isesõitvat autot, siis võtakski sellest ajendatult vaatluse alla kaameraga seotud lahendused. Kuna arvuti jõudlus aastatega kasvab, siis meile on tavakasutusse jõudnud näotuvastusega ekraaniluku avamine. Tõsi, masinal just ei pea väga palju võimsust olema, et paari kaadrit võrrelda eelnevate salvestustega. Jutt suundub ikka rohkem arvuti kasutamisvõimalusest kaamera abiga. Seal on juba rohkem jõudlust vaja, sest kaamerast tulevat infot on vaja kogu aeg töö
Read more

Eesti infoühiskonna arengukava 2020

Sellel korral on vaatluse all hoopis midagi teistsugust. Eesti infoühiskonna arengukava 2020. See dokument koostati 2012. aastal ja visioneerib 2020. aastal olevat infoühiskonda.[ 1 ]  Eks eesmärkide seadmine, eriti nii kiiresti areneva valdkonna mõjul, olegi raskendatud, kuid ilmselt arengukava loojad sisimas ka teadsid, et kõik eesmärgid ei kulge plaanipäraselt. Tänaseks on juba aastanumber jooksnud 2020 peale ja oleks aeg vaadata, mis läks täppi ja mis ehk paistab nüüd silma just enda eemaloleva staatuse poolest. Pean mainima, et antud ülesanne osutus veidikene keerulisemaks ja mahukamaks kui arvasin. Infot on palju, kuid leidsin, et kõige mõistuspärasem oleks asi võimalikult lihtsana hoida. Samuti pidin tõdema, et eesmärgid on veidi laialivalguvamad ja kohati erinevalt mõistetavad. Mõnedel juhtudel oleks nagu eesmärk ainult pooleldi täidetud, kuid millal jookseb see piir, et millest alates enam eesmärki ei saa lugeda täidetuks. Kõige vähem realiseerunud visioonipunkt tundus mulle o
Read more

„Turunduspsühholoogia sotsiaalmeedias“ arvustus

Esimene rühmatöö link on jõudnud kursuse lehele ja kuna tegevusi on semestri lõpus küllaga, siis otsustasin ka selle rühmatöö retsensiooni eelisjärjekorras ära teha. Selleks esimeseks õnnelikuks osutus teema „Turunduspsühholoogia sotsiaalmeedias“, mille autoriteks on  Julia Ruzu, Saskia Rohtla, Denis Kusherekin ja Kristjan Mänd. Sissejuhatus oli paeluv ja probleem aktuaalne. Kuid ei pidanud pikalt lugema, et hakata nägema wiki’de eripära. Ma nüüd ei oska öelda, kas kirjutati ainult enda osa ja teiste osasid läbi ei loetud või ei tehtud seda enda kirjutisegagi, aga osad kordused ja erinevad mõiste definitsioonid hakkasid segama. Kui isegi nii suur probleem ei olnud mõne sõna kordumine järjestikustes lausetes, siis definitsioonid oleks võinud küll terve artikli peale ühendada, näiteks oli esmalt toodud mõiste „ pay-per-click “ ja hilisemas artikli osas „ cost-per-click “. Kui need mõisted oleks olnud sünonüümid või mitte, siis võinuks seda ka mainida, aga nagu ennist mainisin, siis ilmse
Read more