Tietomurroissa käytetään hyväksi ihmisten hyväuskoisuutta, huolimattomuutta ja avuliaisuutta. Selvitimme, miten sinuakin saatetaan huijata. Juttu on julkaistu maaliskuussa 2017.

Kiireisen oloinen mies puku päällä ja salkku kourassa saapuu toimistorakennuksen ovista sisään. Hän kävelee aulavahdin pakeille ja esittäytyy olevansa kansainvälisen yrityksen palveluksessa oleva konsultti, joka on myöhässä tapaamisesta.

Kulkukorttia ei ole, mutta konsultti mainitsee sopineensa tapaamisesta kahden työntekijän kanssa, jotka ovat rakennuksessa toimivan it-alan yrityksen palkkalistoilla. Pukumies painottaa olevansa jo pahasti myöhässä ja anelee aulavahdilta, voisiko tämä päästää hänet pikaisesti sisälle.

Aulavahti yrittää soittaa konsultin mainitsemille työntekijöille, mutta nämä eivät vastaa puhelimeen. Se olisikin ihme, sillä molemmat ovat toisella puolella maailmaa työmatkalla.

Konsultti vetoaa aulavahdin omatuntoon ja väittää, että vaarana on menettää isot summat rahaa, jos hän ei pääse tapaamiseen.

Tieto rahoista saa aulavahdin pelästymään ja hän päästää konsultin sisälle. Oikeasti pukumies ei kuitenkaan ole mikään konsultti. Hän on rikollista esittävä tietoturva-asiantuntija, joka pyrkii murtautumaan it-yrityksen tietojärjestelmiin lähes keinolla millä hyvänsä.

Kyseessä on niin kutsuttu Red team -koehyökkäys, jossa tietoturva-ammattilaiset testaavat asiakasyrityksiään käytännössä ja koettavat löytää heikkouksia niiden varautumisessa tietomurtoihin.

Vaikka yllä oleva esimerkki on kuvitteellinen, keinot ovat vastaavanlaisia myös todellisissa Red team -operaatioissa. Niissä koehyökkääjät voivat pyrkiä sisälle juuri valeasujen ja sepitettyjen tarinoiden avulla.

– Tähän mennessä olemme onnistuneet koehyökkäyksissämme sataprosenttisesti, F-Securen tietoturva-asiantuntija Janne Kauhanen paljastaa.

Salasanat saatetaan antaa puhelimessa

Tietoturva-ammattilaisten vanha viisaus kuuluu, että ihminen on tietoturvan heikoin lenkki. Tätä sanomaa on toitottanut myös maailman kuuluisimpiin krakkereihin lukeutuva yhdysvaltalainen Kevin Mitnick, joka murtautui aikoinaan muun muassa Nokian, IBM:n ja Motorolan tietoverkkoihin. Krakkereiksi kutsutaan niitä, jotka tekevät tietomurtoja ja muita laittomuuksia verkossa.

Varsinaisten tietokonetemppujen lisäksi Mitnick hyödynsi tietomurroissaan usein myös niin sanottua sosiaalista hakkerointia. Käytännössä se tarkoittaa ihmisten huijaamista esimerkiksi puhelimessa tai kasvotusten. Mitnick itse sai arkaluontoisia turvallisuustietoja valehtelemalla puhelimessa olevansa huijattavan yrityksen työntekijä.

F-Securen Janne Kauhanen vahvistaa, että tällainen ihmisten hyväuskoisuuden hyödyntäminen on tietomurtautujien yleisin ase. Tärkeintä on löytää huijattavasta oikea kohta, johon tähdätä.

Suomalaisiin toimii ahneuden ja kiireen lisäksi myös kateus.

– Uhrin lähestyminen puhelimitse on ihan normaalia. Meillä on tutkittavana niin sanottuja toimitusjohtajahuijauksia, joissa tällainen sosiaalinen hakkerointi on keskeinen toimintatapa, keskusrikospoliisin kyberrikostorjuntakeskuksen päällikkö Timo Piiroinen avaa.

Tyypillisessä huijauspuhelussa soittaja esiintyy it-osaston työntekijänä ja kertoo tutkivansa väärinkäytöstä. Jotta uhka voidaan poissulkea, it-ihmisen pitää kirjautua huijattavan koneelle, jolloin käyttäjätiedot joutuvat vääriin käsiin.

– Kiireellä hoputtaminen ja ihmisten ahneuteen vetoaminen ovat huijareiden yleisiä keinoja, koska ne toimivat. Sen vuoksi lähetetään paljon roskapostia, missä olet olevinaan voittanut jonkun palkinnon, joka sinun pitää äkkiä vain tajuta lunastaa. Niihin haksahtaa aina joku, Kauhanen sanoo.

Suomalaisiin toimii ahneuden ja kiireen lisäksi myös kateus. Kauhasen mukaan tietojen kalastelija voi lähettää esimerkiksi työntekijälle sähköpostin, jossa kerrotaan, että tältä on estetty pääsy työpaikan Linkedin-keskusteluryhmään.

Tällainen yllättävä esto voi aiheuttaa suuttumusta, minkä seurauksena työntekijä klikkaa sähköpostissa olevaa huijauslinkkiä. Se vie Linkedinin näköiselle sivustolle, johon työntekijä koittaa kirjautua. Näin huijari saa ongittua hänen salasanansa, Kauhanen kuvaa.

Mikäli rikolliset eivät saa haluamaansa puhelimen ja netin avulla, voivat sinnikkäimmät koettaa iskeä kohteisiin myös paikan päällä.

Torpatakseen tällaiset oikeat iskut firmat tilaavat tietoturvayritysten tekemän koehyökkäyksen. Niiden toteuttamisessa tietoturva-ammattilaiset päästävät mielikuvituksensa ja sisäiset salaiset agenttinsa valloilleen.

Koehyökkäyksessä Red team saattaa yrittää "varastaa" työpaikan tietoturvaroskiksen. Yle Uutisgrafiikka

Punainen joukkue esittää pahiksia

F-Securen Red teamin tarkoituksena on mallintaa, miten nettirikolliset, teollisuusvakoilijat ja krakkerit toimivat tosielämässä.

Red team eli vapaasti suomennettuna punainen joukkue on sodankäyntiin liittyvä termi, jota käytetään “vihollisyksikön” nimenä taisteluharjoituksissa. Termi on vakiintunut myös tietoturvan maailmassa.

Punaisen joukkueen tekemän koehyökkäyksen tilaajina ovat aina asiakasyritykset itse.

– Enemmän ja enemmän on alettu herätä siihen, että lukot ovissa ja vartijat aulassa eivät riitä. Halutaan myös tietää oma alttius tietomurtoihin, Kauhanen kertoo.

Enemmän ja enemmän on alettu herätä siihen, että lukot ovissa ja vartijat aulassa eivät riitä. Janne Kauhanen, tietoturva-asiantuntija, F-Secure

Iskun tavoitteista ja toimintatavoista sovitaan tarkasti etukäteen. Hyökkääjien tähtäimessä voi Kauhasen mukaan olla esimerkiksi yrityksen tietojärjestelmän pääkäyttäjän salasanan kalastaminen. Sen avulla voisi päästä käsiksi muun muassa firman laskutukseen ja kirjanpitoon.

Keinot tietojen hankkimiseksi voivat olla järeitä. Yhdysvalloissa Red team -hyökkäyksiin erikoistuneen tietoturvayrityksen tiimi esimerkiksi tiirikoi kenenkään häiritsemättä tiensä sähköyhtiön jakelukeskuksen portista (siirryt toiseen palveluun) ja hakkeroitui sen tietojärjestelmään. He olisivat voineet katkaista sähköt noin 50 000 ihmiseltä.

Myös Suomessa tietoturva-ammattilaisilta löytyy valmiutta lukkojen tiirikoimiseen ja ovien murtamiseen.

– Sovimme etukäteen, kuinka paljon saamme rikkoa paikkoja. Jos pääsemme esimerkiksi yrityksen palvelinkaapin viereen, niin voimme vääntää sen auki, Kauhanen paljastaa.

Vaikka lukkojen murtaminen kuuluu koehyökkääjien arsenaaliin, ei sille useimmiten ole mitään tarvetta. Ulkopuoliset pääsevät marssimaan yritysten tiloihin nimittäin keskellä kirkasta päivää useimmiten hyvin helposti.

Suomalaisten ujoutta käytetään hyväksi

Koehyökkäyksen valmistelu alkaa aina tiedustelusta. Jo pelkästään nettisurffailulla saadaan kohdeyrityksestä paljon irti: kenties tietoa toimiston sisäänkäynneistä, työntekijöiden yhteystietoja, nimiä ja kasvokuvia.

Nettitiedustelun jälkeen koehyökkääjät jalkautuvat kohdeyrityksen toimiston läheisyyteen. Ensimmäisenä tarkistetaan, miten firman langattomat verkot toimivat toimistorakennuksen ulkopuolella. Onnistuneeseen tietomurtoon saattaa riittää jo se, että yrityksen wi-fin kantama yltää parkkipaikalle.

– Saatamme jopa lennättää talon katolle drone-lennokin, jossa on reititin sisällä ja koettaa sen avulla kirjautua wlan-verkkoon sisälle, Kauhanen toteaa.

Jos langattoman verkon kautta murtautuminen ei tuota tulosta, aloitetaan vakoilu.

Jos joku ulkopuolinen tai tuntematon ihminen pyörii toimiston käytävillä, niin monelle on aika iso kynnys mennä kysymään tältä yhtään mitään. Janne Kauhanen, tietoturva-asiantuntija, F-Secure

Erityisesti tarkkaillaan kohteen työntekijöitä ja heidän tapojaan verkossa ja elävässä elämässä. Kuinka he pukeutuvat, mihin aikaan töihin yleensä tullaan ja sieltä lähdetään, käydäänkö pihalla tupakalla, käykö rakennuksessa paljon ulkopuolisia vieraita ja niin edelleen.

Rutiinien tarkkailu voi kestää useita päiviä tai jopa viikkoja.

Tiedustelutiedot työntekijöistä ovat oleellisia, sillä hyökkääjät eivät rakennukseen sisälle mennessään halua herättää mitään ylimääräistä huomiota. Kauhasen mielestä Suomessa soluttautuminen ison yrityksen henkilökunnan joukkoon onnistuu yleensä melko helposti.

– Täällä ollaan ujompia. Jos joku ulkopuolinen tai tuntematon ihminen pyörii toimiston käytävillä, niin monelle on aika iso kynnys mennä kysymään tältä yhtään mitään.

Tosin kysymisestä ei välttämättä olisi mitään hyötyä, jos hyökkääjillä on peitetarina valmiina ja yrityksen kulkukortti kopioituna. Juttelu yrityksen oikeiden työntekijöiden kanssa voi jopa hyödyttää iskun tekemisessä. Silloin voidaan kysyä ihmisiltä suoraan vaikkapa tärkeän laitekaapin sijaintia, Kauhanen kertoo.

Kun hyökkääjät ovat päässeet firman tiloihin ja sopivat tietomurtokohteet on löydetty, alkaa varsinainen hakkerointi.

Tietoturva-ammattilaisilla on valmiutta tiirikoida myös kohdeyrityksen lukkoja, jos näin sovitaan ennakkoon. Yle Uutisgrafiikka

Salasanoja pöytälaatikossa

Tietokoneen ei tarvitse olla edes päällä, jotta se on haavoittuva. Toimistolla hiippaileva tietomurtautuja voi esimerkiksi sujauttaa koneen takana olevaan usb-porttiin pienen keylogger-muistitikun, jolloin siinä oleva haittaohjelma alkaa seurata käyttäjän jokaista näppäimistön painallusta.

– Harva ihminen tarkistaa konettaan ulkoisesti töihin palatessaan. Jos haluamme olla testissämme ilkeitä, saatamme piilottaa vakoilulaitteita myös suoraan koneiden rakenteisiin, Kauhanen sanoo.

Kauhasen mukaan ei ole tavatonta, että koneita jätetään työpäivän päätteeksi kokonaan auki ja lukitsematta, jolloin niitä voi päästä käyttämään kuka tahansa. Lukitun tietokoneen salasanat saattavat myös löytyä näppäimistön alle liimatulta post it -lapulta tai kirjekuoresta työpöydän laatikosta.

Kaikki luottamukselliset vanhat paperit ja materiaalit voidaan työpaikalla myös kerätä samaan lukittuun roskapönttöön. Tällaisesta tietoturvaroskiksesta voi löytyä muun muassa kirjeitä, joissa on tarkkoja tietoja työpaikan henkilökunnasta ja vaikka vanhoja sopimuksia.

Ihmisten pettäminen on vanha laji ja se on edelleen hyvin tehokas tapa rikollisille. Timo Piiroinen, päällikkö, KRP:n kyberrikostorjuntakeskus

F-Securen tietoon on tullut merkkejä, että rikolliset ovat saaneet yritysten sisäisiä tietoja haltuunsa juuri roskapönttöjä varastamalla.

– En sano, että tietoturvaroskis olisi huono idea, mutta niistä pitäisi vaan huolehtia paremmin ja tyhjentää säännöllisemmin, Kauhanen neuvoo.

On vaikeaa arvioida, tehdäänkö vastaavia rikoksia Suomessa paljon. Keskusrikospoliisista kerrotaan, että tietoturvaan liittyvistä rikoksista valtaosa jää nimittäin kokonaan ilmoittamatta poliisille.

– Viime vuonna tehtiin noin tuhat ilmoitusta kyberrikoksista. Se on kuitenkin murto-osa todellisista luvuista. Veikkaan, että yli 90 prosentissa tapauksista ilmoitusta ei tehdä, kyberrikostorjuntakeskuksen päällikkö Timo Piiroinen arvioi.

KRP:n tilastoihin lasketaan kaikki verkossa tapahtuvat rikokset eli mukana on monenlaisia nimikkeitä aina kunnianloukkauksesta palvelunestohyökkäyksiin. Piiroinen uskoo, että kyberrikosilmoitusten määrä on kasvamassa.

– Ihmisten pettäminen on vanha laji ja se on edelleen hyvin tehokas tapa rikollisille. Eikä se tule muuttumaan, Piiroinen linjaa.

Maassa lojuvat muistitikut saattavat sisältää rikollisten haittaohjelmia. Yle Uutisgrafiikka

Terve epäluulo auttaa

Vaikka tapoja joutua huijatuksi on verkon ja sosiaalisen hakkeroinnin vuoksi tullut yhä lisää, voidaan uusiin uhkiin myös varautua. Suomalaisen tietoturvayrityksen Nixun johtavan tietoturvakonsultin Antti Nuopposen mielestä tietoisuuden lisääminen ja hyvät ohjeistukset ovat avainasemassa riskienhallinnassa.

– Pankit ohjeistavat jo asiakkaitaan netissä siitä, etteivät ne koskaan tiedustele käyttäjätunnuksia ja salasanoja puhelimitse, Nuopponen toteaa.

Selkeät linjaukset säännöissä ja ohjeissa estävät myös kasvotusten tapahtuvia huijauksia. Yrityksen aulavahdille voitaisiin esimerkiksi laatia tarkat käytännöt, ettei ulkopuolisia päästetä sisälle ilman kulkukorttia. Samalla jos poikkeusten tekemistä tästä ei sallita, niin huijareiden keinot käyvät vähiin.

– Huijauksen läpimeno on vaikeaa, jos ihminen tietää, miten tulee toimia ja hän voi luottaa, ettei ohjeiden noudattaminen aiheuta hänelle ongelmia.

Mikäli ohjeistuksista on kuitenkin epätietoisuutta, ihmisillä on taipumus olla toisilleen avuliaita, Nuopponen kertoo. Tietoturva-ammattilaisten mukaan ihmiset ovat tietoturvan näkökulmasta liian sinisilmäisiä.

Kaikki eivät välttämättä tule ajatelleeksi, että julkisesta tilasta löydetty muistikortti saattaa sisältää haittaohjelmia, eikä sellaista missään nimessä pidä laittaa omaan tietokoneeseen kiinni. Asiantuntijat kannustavatkin tietoturva-asioissa ylläpitämään tervettä epäluuloa.

– Päätä ei kannata painaa hiekkaan. Oma työkone pitää aina lähtiessä lukita. Suosittelen hyödyntämään myös salasanatyökaluja, sillä itse keksityt salasanat ovat usein heikkoja. Itsestään ei kannata tehdä kaikkein helpointa kohdetta, sillä niitä rikolliset juuri etsivät, Kauhanen summaa.

Juttua muokattu 6.3.2017 klo 8.21. Korjattu Antti Nuopposen nimi.