Tietojen kalastelu

Johdatus tietojen kalasteluun

Tietojen kalastelu on käyttäjän manipuloinnin muoto. Toisin kuin verkkohyökkäyksissä, jotka kohdistuvat suoraan verkkoihin ja resursseihin, sosiaalisessa manipuloinnissa hyödynnetään inhimillisiä erehdyksiä, valheellisia tarinoita ja painostustaktiikoita, jotta uhri vahingoittaisi tahattomasti itseään tai organisaatiotaan. Tyypillisessä kalasteluyrityksessä rikollinen esiintyy tahona, johon uhri luottaa. Tämä taho voi olla esimerkiksi kollega, pomo, viranomainen tai tunnetun tuotemerkin edustajana. Rikollinen lähettää viestin, jossa uhria kehotetaan maksamaan lasku, avaamaan liitetiedosto, klikkaamaan linkkiä tai tekemään jokin muu toimenpide.

Kalasteluhyökkäysten kehittyminen ja vaikutukset

Tietojenkalastelurikollisuus sai alkunsa tietokoneohjelmasta, jonka kehitti Pennsylvaniassa asuva nuori. Tämä varhainen haittaohjelma nimeltään AOHell kohdennettiin AOL:ään (America Online), joka oli suosittu verkkopalvelu internetin alkuaikoina. Ohjelman avulla varastettiin luottokorttitietoja ja murrettiin salasanoja, mikä johti häiriöihin AOL:n palveluissa. AOHell-ohjelma loi pohjan automaattisille tietojenkalasteluohjelmistoille ja vaikutti myöhempiin kalastelumenetelmiin.

Tietojenkalastelun varhaiset ajat

Warez-yhteisön katsotaan tehneen ensimmäiset organisoidut kalasteluhyökkäykset, jotka alkoivat vuonna 1996. Ne kohdistuivat AOL-käyttäjiin, ja niissä käytettiin algoritmia satunnaisten luottokorttinumeroiden luomiseen. Kun rikolliset löysivät kelvollisen luottokorttinumeron, he loivat oikeita AOL-tilejä huijatakseen muita käyttäjiä. Tämä alkuperäinen kalastelumenetelmä muuntui myöhemmin sosiaaliseksi manipuloinniksi, jossa hyökkääjät esiintyivät AOL:n työntekijöinä kerätäkseen arkaluonteisia tietoja.

Näiden ensimmäisten huijausten jälkeen tietojenkalastelu siirtyi nopeasti sähköpostiin. Varhaiset kalastelusähköpostiviestit vaihtelivat epäuskottavista yrityksistä, kuten nigerialaisena prinssinä esiintymisestä, kehittyneempiin yrityksiin, kuten vuoden 2003 Mimail-virukseen. Mimail-virusta levitettiin sähköpostiviestillä, jossa väitettiin viestin oleva PayPalin lähettämä. Viestissä kehotettiin käyttäjiä päivittämään luottokorttitietonsa. Useat käyttäjät, joita PayPal-logo johti harhaan, syöttivät tietonsa haitalliselle verkkosivustolle.

Uhka, joka kohdistuu ihmiseen

Kalastelu on erityisen vaarallista, koska siinä hyödynnetään psykologiaa eikä niinkään teknisiä haavoittuvuuksia. Hyökkääjien ei useinkaan tarvitse murtautua suoraan järjestelmiin tai päihittää tietoturvatyökaluja. Sen sijaan he huijaavat henkilöitä, joilla on valtuudet päästä käsiksi arkaluonteisiin tietoihin, ja saavat heidät tietämättään avustamaan hyökkäyksessä.

Kalasteluhyökkääjiä on monenlaisia, osa on yksittäisiä huijareita ja osa järjestäytyneitä rikollisjoukkoja, ja he voivat käyttää kalastelua erilaisiin haitallisiin tarkoituksiin, kuten identiteettivarkauksiin, luottokorttipetoksiin, rahavarkauksiin, kiristyksiin, tilien haltuunottoon ja vakoiluun. Tietojenkalasteluhyökkäysten kohteita ovat niin yksityishenkilöt, yritykset kuin valtion virastotkin. Yksi merkittävä esimerkki on Hillary Clintonin Yhdysvaltain presidentinvaalikampanjaan vuonna 2016 kohdistunut kalasteluhyökkäys, jossa venäläiset rikolliset käyttivät väärennettyä salasanan palautussähköpostia ja onnistuivat varastamaan tuhansia sähköposteja. Jopa kampanjan IT-tukea huijattiin väärennetyillä sähköposteilla.

Modernit kalastelutekniikat

Tietojenkalastelu on kehittynyt merkittävästi. Nykyisin kohteiden huijaamiseen hyödynnetään useita eri viestintämenetelmiä sekä kehittyneitä tekniikoita. Nykyaikaiset kalasteluyritykset voivat jäljitellä tarkasti esimerkiksi oikeiden yritysten viestintää, joten niiden havaitseminen on haastavaa ilman viestien huolellista tarkastelua.

Nykypäivänä kalastelua tehdään muun muassa näillä menetelmillä:

• Sosiaalisen median välityksellä tapahtuvassa kalastelussa rikolliset käyttävät väärennettyjä verkko-osoitteita, pikaviestejä tai valeprofiileja arkaluonteisten tietojen keräämiseen. Hyökkääjät voivat myös hyödyntää kohteen sosiaalisen median profiileja henkilökohtaisten tietojen hankkimiseksi ja manipuloinnin tehostamiseksi.
• Kloonauksesta ja verkkotunnusten väärentämisestä puhutaan silloin, kun rikolliset esiintyvät yleensä suurina, tunnettuina yrityksinä huijatakseen käyttäjiä luovuttamaan henkilökohtaisia tietoja. Hyökkääjät luovat sähköpostiviestejä, jotka muistuttavat hyvin paljon “oikeiden” lähettäjien sähköpostiviestejä. Vaikutelma luodaan käyttämällä tarkkoja kopioita viesteistä tai väärentämällä verkkotunnuksia, jotta sähköpostiviestit näyttäisivät aidoilta.
• Tekstiviestikalastelussa yhdistyvät tietojenkalastelu ja tekstiviestien lähettäminen. Huijaustekstiviestejä lähetetään esimerkiksi luottokorttinumeroiden tai salasanojen keräämiseksi.
• Keihäskalastelussa kohdennettua tekniikkaa hyödyntävät hyökkääjät keräävät yksityiskohtaisia tietoja, jotta he voivat laatia uhrille henkilökohtaisia sähköpostiviestejä, jotka näyttävät tulevan luotettavista lähteistä.
• Valaanpyyntikalastelu kohdistuu ylemmän tason työntekijöihin tai korkean profiilin henkilöihin, ja siihen liittyy usein hienostunutta sosiaalista manipulointia ja henkilökohtaisten tietojen keräämistä.
• Kalastelu puhelimitse tarkoittaa vilpillisiä puheluita, joilla pyritään saamaan luottamuksellisia tietoja.

Yhteenvetona voidaan todeta, että kalastelu on kehittynyt AOHellin kaltaisista varhaisista ohjelmista monimutkaisiin tekniikoihin, joissa käytetään erilaisia viestintämenetelmiä. Uhka on edelleen merkittävä, koska se perustuu ihmisen psykologisten ominaisuuksien hyödyntämiseen. Siksi ihmisten ja organisaatioiden on syytä pysyä valppaina ja olla tietoisia jatkuvasti kehittyvistä huijaustaktiikoista.