TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2012

Katariina Kannus

Social engineering ja sen torjuminen

Johdanto

Social engineering -hyökkäykset ovat aikakautemme legendaarisimpien hakkereiden, kuten Kevin Mitnickin, taktiikka murtautua teknisesti kaikkein suojatuimpiin järjestelmiin ja organisaatioihin. Hyökkäykset käyttävät hyväkseen yritysten heikointa lenkkiä - ihmistä. Ihminen on social engineerille varsin käyttökelpoinen hyökkäysväline, sillä vetoamalla tilanteesta riippuen ihmisen erilaisiin heikkouksiin, kuten miellyttämisen haluun, pelkoon tai egoon, on tie salattuihin tietoihin hyvin suora. Parhaiten näiltä hyökkäyksiltä voi suojautua oppimalla tuntemaan social engineerien taktiikat mahdollisimman hyvin. Tässä työssä esitellään neljä erityyppistä social engineering -hyökkäystä suojautumisehdotuksineen.

Kiltteys ja empatia: mikroilmeet

Mikroilmeitä hyväksikäyttävässä social engineering -hyökkäyksessä hyökkääjä kävelee sisään yhtiöön tavoitteenaan saada vastaanottovirkailija asettamaan saastutettu, esimerkiksi viruksen sisältävä, USB-tikku yhtiön tietokoneeseen. Hän uskottelee vastaanottovirkailijalle, että hänellä on tapaaminen yhtiön henkilöstöpäällikön kanssa, mutta matkallaan hän vahingossa läikytti kahvinsa CV:nsä päälle. Hän kertoo todella tarvitsevansa tämän työn ja anelee virkailijaa tulostamaan uuden kopion cv:stään. Kun virkailija uskoo tarinan, tulee hän saastuttaneeksi yhtiön tietokoneet vain ystävällisyytensä ja empatiakykynsä takia.

Päästäkseen tavoitteeseensa täytyy hyökkääjän voittaa virkailijan empatia puolelleen ja tähän hän käyttää niin kutsuttuja mikroilmeitä. Hänen on siis hallittava omat mikroilmeensä, joista voisi paljastua esimerkiksi pelko ja hermostuneisuus, ja vaihtaa ne empatiaa herättäviin ja rehellisyyttä huokuviin mikroilmeisiin.

Tällaisen mikroilmeitä ja empatiaa hyväksikäyttävän hyökkäyksen torjumiseksi on muutamiakin keinoja. Selkein on varmasti yrittää teroittaa kaikille yhtiön työntekijöille, ettei vierasta USB-tikkua tai vastaavaa saa koskaan missään tilanteessa kytkeä yhteenkään yhtiön tietokoneeseen ennen kuin joku tietoturvahenkilöstöstä on sen tarkistanut. Jos taas olet hyökkäyksen uhrina, niin ihmisten sanattoman viestinnän tulkitseminen voi paljastaa huijarin - vaikkakin jotkut pahansuovat social engineering -hyökkääjät ovat varsin taitavia hallitsemaan itseään ja sanattomia viestejään [1]. Niinpä vieraiden ihmisten kanssa ei voi koskaan olla liian varovainen ja sinisilmäisyydestä kannattaa pyrkiä tietoisesti eroon.

Pelko ja hätiköinti: käänteinen taivuttelu

Artikkelissaan Methods of Hacking: Social Engineering [9] Rick Nelson esittelee mielenkiintoisen hyökkäyksen, jossa social engineering toimii käänteisesti - uhri huijataan ottamaan hyökkääjään yhteyttä, jolloin hyökkääjä esiintyykin avuntarjoajana. Hyökkäys perustuu kolmiportaiseen taktiikkaan: sabotoiminen, mainostaminen ja auttaminen. Ensiksi hyökkääjä on päässyt jotenkin käsiksi uhrin työasemaan ja asettaa sinne jotain, joka saa koneen näyttämään vioittuneelta. Tämän jälkeen uhri tietenkin pelästyy ja alkaa etsiä nopeasti apua, mikä johtaakin mainostamisvaiheeseen. Siinä social engineer on huolehtinut siitä, että uhri ottaa vian ilmaantuessa ensimmäiseksi yhteyttä juuri häneen. Sen hän voi tehdä esimerkiksi lisäämällä yhteystietonsa työaseman näyttämiin virheilmoituksiin tai jättämällä sopivasti käyntikorttinsa uhrin löydettäväksi.

Kun uhri sitten ottaa yhteyttä hyökkääjään, on edessä helpoin vaihe, auttaminen. Siinä hyökkääjän rooli on helppo, sillä onhan hän itse ongelman luonutkin. Näin uhri saadaan luottamaan, että hyökkääjä osaa auttaa - niinpä esimerkiksi salasanan ja käyttäjätunnusten pyytäminen on tunkeutujalle helppo homma. Viimeistään tässä vaiheessa pitäisi uhrinkin sitten herätä, ettei antaisi kriittistä tietoa hyökkääjälle - sitä kun ei koskaan kukaan oikea ammattilainen edes kysy. Koska tällainen hyökkäys voi kohdistua myös jossain yrityksessä työskentelevään henkilöön, kaikissa yrityksissä työntekijöille on tärkeää painottaa, ettei edes heidän oma pomonsa koskaan tarvitse heidän henkilökohtaisia salasanojaan - saati sitten joku ulkopuolinen taho.

Tietämättömyys ja auttamisenhalu: hyökkäys puhelimitse

Puhelimella toteutettavat social engineering -hyökkäykset ovat suosittuja [5] ja niitä on paljon erilaisia. Yleinen, ja ei vain yksityishenkilöitä uhkaava hyökkäys kohdistuu usein yrityksen erilaisiin neuvontapuhelimiin. Ne ovat alttiita tämäntyyppisille hyökkäyksille [10], koska siellä työskentelevien neuvojien työ on usein yksitoikkoista kysymyksiin vastaamista pienellä palkalla ja vähäisellä tietoturvakoulutuksella. Nämä seikat ovat hyvä alusta social engineer -hyökkääjälle, jonka tarvitsee vain tekeytyä apuatarvitsevaksi ja kalastella haluamansa tiedot.

Elävän elämän esimerkkitapaus tällaisesta onnistuneesta hyökkäyksestä tapahtui, kun AOL:n tekniseen tukeen soitettiin. Hyökkääjä jutteli uhrille puhelimessa pitkään mainiten jossain vaiheessa keskustelua hänen autonsa olevan halvalla myynnissä. Uhri kiinnostui tästä ja hyökkääjä sai luvan lähettää kuvan autostaan uhrille sähköpostiliitteenä. Liitehän tietenkin sisälsi kuvan sijasta takaportin suoraan yhteyteen AOL:n palomuurin lävitse. Näin hyökkääjä sai pääsyn yhtiön sisäiseen verkkoon ja pääsi aiheuttamaan siellä merkittäviä tuhoja. [5]

Estääkseen puhelimella neuvontaan tehtävät hyökkäykset yrityksen olisi kaikkein tärkeintä kouluttaa aivan kaikki työntekijänsä, myös osa-aikaiset ja pätkätyöläiset, tietoisiksi tietoturvasäännöistä, kuten sähköpostien liitteiden avaamisesta tai kriittisten tietojen antamisesta puhelimitse kenellekään ulkopuoliselle tai edes yrityksen omaksi henkilökunnaksi esittäytyvälle. Yrityksen olisikin suositeltavaa tehdä kokeilukalastelusoittoja omiin neuvontapuhelimiinsa, jotta työntekijöiden tietoturvaosaamisen heikkoudet saataisiin ajoissa selville.

Huolimattomuus ja sinisilmäisyys: shoulder surfing

Social engineering -hyökkäyksiin kuuluu myös niin kutsuttu shoulder surfing -hyökkäys, jonka voisi suomentaa yksinkertaisesti olan ylitse kurkkimiseksi. Se on yksi klassisista social engineering -hyökkäyksistä ja sillä voidaan urkkia esimerkiksi uhrin pankkikortin PIN-koodi, salasana tai muita vastaavia tietoja. Kuvassa 1 näkyykin tästä hyökkäyksestä erinomainen esimerkki, jossa hyökkääjä urkkii vanhusten maksukortin PIN-koodin, näiden näpytellessä sen automaattiin liian näkyvästi. Vanhukset, kuten muutkin kaikista hyvää uskovat ihmiset ovat tämänkaltaistenkin hyökkäysten riskiryhmää - he eivät yksinkertaisesti usko, että joku voisi haluta urkkia heidän tietonsa pahat mielessään ja huolettomasti vain näppäilevät PIN-koodinsa automaattiin katsomatta taakseen.

Klassinen shoulder surfing -hyökkäys

Kuva 1. Yksinkertainen shoulder surfing -hyökkäys [12]

Yrityksissä shoulder surfing -hyökkäys tapahtuu maksukortin PIN-koodin urkkimista useammin esimerkiksi seuraavanlaisesti: hyökkääjä on tarkkaillut yritystä jo jonkin aikaa aikeinaan päästä tunnistamattomana ja huomaamatta sisälle yrityksen aina lukittuina olevista ovista. Päämääränä hyökkääjällä on esimerkiksi päästä urkkimaan salaisia tietoja yrityksen arkistosta. Hän on pannut merkille, että yritykseen tulee joka ilta siivooja kello kahdeksalta ja tämä menee sisälle näppäilemällä takaoven koodilukkoa. Koska ovi on syrjäisessä paikassa yrityksen takapihalla ja siellä ei ole valvontakameroita kuten pääovilla, päättää hyökkääjä yöllä asentaa sinne omat kameransa, jotka zoomaavat sopivasti koodilukkoon. Tämä on turvallisempi keino kuin konkreettinen kurkistelu siivoojan olan takaa, mikä herättäisi varmasti epäilyksiä. Kameroiden nauhojen avulla hyökkääjä sitten saa tietoonsa koodin, jolla hän pääsee sisälle yritykseen anastamaan haluamansa tiedot.

Esimerkissä kuvatun kulkukoodin lisäksi yrityksistä voidaan tällä menetelmällä saada tietoon esimerkiksi salasanoja tai muita kriittisiä tietoja. Yleensä tällaisten tietojen paljastuminen johtaa mittaviinkin varkauksiin ja siksi henkilöstön tietoturvakoulutuksessa olisi todella tärkeää painottaa ihan kaikille rakennuksen tai tietokoneen salasanan omistaville henkilöille, että koodi/salasana on aina näppäiltävä huolellisesti sekä suojassa muiden katseilta tai vaikka selän taakse asennetulta kameralta. Ulkoistetuillekin työntekijöille esimerkiksi postinjakajille tai siivoojille, asia on hyvä kertoa ja opettaa kunnolla. Myös tietokoneiden ja koodilukkojen sijoitteluun kannattaa yrityksissä kiinnittää erityistä huomiota, ettei hyökkääjän ole liian helppoa lukea kriittistä tietoa niiden näppäimistöiltä tai ruudulta.

Päätelmät / yhteenveto

Kaiken kaikkiaan social engineering on hyvin yleinen, monimuotoinen ja ovela hyökkäystapa. Näistä hyökkäyksistä monet olisivat torjuttavissa yrityksien jokaisen hierarkiaportaan työntekijöitä koskevilla hyvillä tietoturvakoulutuksilla. Koulutuksen lisäksi pitäisi tietenkin myös varmistaa viestin perillemeno ja testata joskus työntekijöiden taitoa torjua näitä hyökkäyksiä: Esimerkiksi antavatko he kriittisiä salasanoja tuntemattomille tai saako oman yrityksen työntekijäksi tekeytyvä heidät lataamaan jotain epämääräistä yrityksen tietokoneelle? Ollaksesi askeleen edellä kaikkein taitavimpia hakkereita on social engineer -hyökkäyksien tunteminen ja niihin varautuminen ensiarvoisen tärkeää.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r10 < r9 < r8 < r7 | 
Topic revision: r10 - 10 Dec 2012 - 14:39:49 - KatariinaKannus
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback