Tietoturva Nyt!
Kyberturvallisuuskeskus järjesti Vappuvisan kalastelusivujen tunnistamisesta huhti–toukokuun vaihteessa. Lupasimme kertoa visan tuloksista, ja käymme niitä tässä Tietoturva Nyt! -artikkelissa läpi. Vastauksia tuli yhteensä lähes 3700 kappaletta. Kalastelusivun tunnistaminen pelkän ulkoasun perusteella on vaikeaa, ja tämä näkyi saamissamme vastauksissa.
Tunnusten kalastelu ja siihen suoraan liittyvät tapaukset ovat Kyberturvallisuuskeskuksen käsittelemissä tapauksissa selkeästi suurin yksittäinen asiakokonaisuus. Kalastelu on teknisessä mielessä helppo toteuttaa suurelle kohdejoukolle verrattaen edullisesti. Sitä tehdäänkin monessa eri tarkoituksessa: sekä yksityisten ihmisten sosiaalisen median tunnukset että organisaatioiden johdon käyttäjätunnukset kelpaavat rikollisille. Kalastelu on usein myös laajamittaista. Esimerkiksi Office 365 ‑tietomurtotapauksissa uhrien tileiltä lähetetään yleensä vähintään useita satoja kalasteluviestejä uusien uhrien käyttäjätunnusten saamiseksi.
Muistin virkistykseksi lyhyet ohjeet kalastelusivun tunnistamiseksi:
- Selaimen osoiterivi – millä sivulla olet
- Epäilyttävät kysymykset ja sisältö – pyytääkö sivu "liikaa" asioita samassa
- https-virheet – varmenne ei ole voimassa tai ei täsmää kyseiseen sivuun
- Teknisen kontrollin (palomuuri, antivirusohjelma, selain) varoitus sivustosta
- Käy katsomassa tarkemmat ohjeet kalastelusivun tunnistamiseen täältä (Ulkoinen linkki)
Visan kaikki kuvat olivat Kyberturvallisuuskeskuksen omaa ilmoitussivua lukuun ottamatta kalastelusivuja. Kuvakaappaukset sivuilta on kerätty huhtikuun 2020 aikana Kyberturvallisuuskeskuksen käsittelemistä tapauksista. Mukaan valittiin 11 kuvaa eri perustein:
- Yleinen tai muutoin tunnettu palvelu
- Toistuvasti tapauksissa näkyvä kalastelusivupohja
- Todennetusti onnistuneissa tietomurroissa käytetty malli
Visassa oli tarkoituksella mukana kuvia vain kalastelusivuista, koska pelkästä ulkoasusta kalastelun tai huijauksen tunnistaminen on erittäin vaikeaa, ellei jopa mahdotonta. Osa kalasteluista on tehty todella laadukkaasti, eikä sivun sisällön tai ulkoasun perusteella ole mahdollista erottaa aitoa sivua väärennöksestä.
Tulokset
Kyselyyn vastasi yhteensä lähes 3700 kävijää. Yksikään kuvista ei ollut selkeästi vastaajien mielestä huijausta tai aito, vaan vastauksissa aina yli 10 prosenttia oli päinvastaisella kannalla. Emme käy eritellysti kaikkia kuvia ja niiden vastauksia läpi, mutta myöhemmin artikkelissa käymme kolme kuvaa ja niiden vastaukset tarkemmin läpi.
Kyselyn kaikki kuvat voi käydä katsoa alta avautuvasta haitarivalikosta.
Tuurilla mennään YOLO – vai mennäänkö?
Kyselyn viimeisessä osiossa oli mahdollista valita valmiiksi annetusta vaihtoehdoista keinoja tunnistaa kalastelusivusto. Kaikki vaihtoehdot ovat päteviä vastauksia. Saatujen vastausten perusteella sivun osoite antaa parhaimman vastauksen sivun aitoudesta. Tässä vastaajat osuvat oikeaan, sillä selaimen osoiterivillä näkyvä osoite kertoo tarkasti, millä sivulla olet. Tämä on tunnistuskeinoista yksiselitteisin ja varmin.
Merkillepantavaa on, että annetuista vastauksista vain 58% luottaa itse kirjoittamaansa osoitteeseen merkkinä aidosta sivusta. Kyselystä ei käy ilmi, mistä tämä epäluottamus itseensä tulee – onko kyse kirjoitusvirheiden peloista vai tarkkojen kirjautumisosoitteiden tietämyksen puutteesta? Ensiolettamus visan tekijöillä oli, että vastausprosentti olisi ollut tälle vaihtoehdolle korkeampi.
Kyselyyn oli valmiiden vaihtoehtojen lisäksi mahdollista antaa avoimia vastauksia liittyen kalastelusivuston tunnistamiseen. Avoimia vastauksia tuli runsaat sata kappaletta. Vastaukset jaoteltiin muutamaan kategoriaan, joihin vastauksia pystyi luokittelemaan:
- Intuitio (15 %): Kun avaamme sivuston, meille tulee siitä jonkinlainen tunne. Jos sivu on tuttu, saatamme pistää merkille, jos siellä on muutoksia. Uuden sivun kohdalla yleinen ulkoasu saattaa kiinnittää huomiota – eivät siis pelkästään sivulla olevat kirjoitusvirheet, vaan sivujen asettelu, kuvien laatu ja miten eri alisivut on sivulle luotu. Yksin tämäkään ei vielä riitä, mutta saattaa herätellä epäilyksiä sivun aitoudesta.
- Kieliasu (41 %): Moni nosti sivun oikeinkirjoituksen, hyvän kielen ylipäänsä sekä käännökset, joista sivun voi tunnistaa.
- Muu (17 %): Kategoria kätkee sisälleen hyviä vinkkejä, joita ei kuitenkaan voi niputtaa muihin kategorioihin suoraan. Vastaajat nostivat esille esimerkiksi sen, että yksittäinen tieto ei aina auta tunnistamaan kalastelusivustoa vaan tunnistamiseen kaivataan useita tekijöitä. Mikäli sivusto on uusi, voi tietoa hakea myös eri hakupalveluista ja etsiä tietoa sivun luotettavuudesta.
- Tekninen kontrolli (1 %): Muutamat vastaajat nostivat esille sen, että tietoturvaohjelma voi antaa varoituksen sivulle mentäessä. Osassa selaimista on myös vastaavia toimintoja olemassa, jotka varoittavat epäilyttävästä sivustosta.
- Tekniset tunnisteet (16 %): Kategoriassa on kovia teknisiä tunnisteita: esimerkiksi sivun lähdekoodi oli sellainen, joka vastauksissa nostettiin esille. Tämä olisi yksi keino tunnistaa mahdollinen kalastelusivusto. Tässä kohdassa on myös monen esille tuoma lukkosymboli selaimen osoiterivillä, joka kertoo varmenteen läsnäolosta. Edistyneemmissä vastauksissa osattiin arvioida, että onko sivun varmenne luotettavasta lähteestä peräisin ja siten todennäköisesti merkki aidosta sivusta.
- Tiedot (10 %): Moni vastaaja nosti esille, että on hyvä kiinnittää huomiota siihen, mitä tietoja sivulla pyydetään kertomaan. Pyydetäänkö esimerkiksi aikaisempaa enemmän tietoja tai sellaisia tietoja, joita ei pitäisi lainkaan kysyä.
Kolme nostoa
Nostamme kolme kuvaa erilliseen pureskeluun: uskottavimman, epävarmimman ja "huonoimman" kalastelusivun. Tekniseltä kannalta katsottuna sivut ovat kaikki tehty eri tavoin.
Selvin kalastelu
Parhaiten tunnistettiin kalasteluksi Säästöpankin nimissä tehty sivusto (Kuva 10) – 86% vastaajista äänesti sivua petokselliseksi. Tämä on hyvä asia, koska tätä kalastelusivupohjaa käytetään toistuvasti Säästöpankin nimissä tehtävissä kalasteluissa. Aito kirjautumissivusto löytyy osoitteesta https://www4.saastopankki.fi/pankki/kirjautuminen?0
Sivun graafinen ulkoasu muistuttaa Säästöpankin varsinaista kirjautumissivua melko paljon. Ajankohtaista-osiossa olevat linkit vievät Säästöpankin omille sivuille (hiiren hover-on näyttää tämän). Kyseisellä lähdekoodilla olevaa kalastelua levitetään aktiivisesti murrettujen verkkosivujen päälle asennettuna. Tämän johdosta esimerkiksi luotettavasta lähteestä oleva varmenne on usein voimassa (lukon kuva selaimessa). Koska sivustot ovat pääsääntöisesti neutraaleja yleissivuja, eivät tekniset torjuntakeinot suoraan osaa varoittaa sivusta tuoreeltaan – ajan kanssa sivut yleensä raportoidaan haitallisiksi, ja tämän jälkeen tilanne muuttuu.
Sivuston sisältö on kuitenkin erittäin epäilyttävää: hyökkääjän tekemässä, vasemmalla olevassa osiossa kysytään suoraan useita eri tietoja, kieliasu ontuu ja pankki ei lähtökohtaisesti kysy kuvaa tunnuslukutaulukosta (jota konekäännettynä kutsutaan avainkortiksi).
Uskottavin sivu
Hankalin pähkinä purtavaksi oli Oikotien asuntopalvelun etusivu. 74 % vastaajista uskoi sivun olevan aito. Oikea sivu löytyy osoitteesta https://oikotie.fi/
Sivuston URL on tehty käyttäen verkkotunnusten alirakennetta hyväkseen (subdomain): ketjussa on Oikotien oikea osoite mukana, mutta verkkotunnuspääte on .online. Tämä itsessään kertoo jo suoraan kyseessä olevan huijaussivu. Tätä taktiikkaa käytetään kuitenkin hämäämään vain nopeasti osoitetta silmäileviä, koska rakenne muistuttaa erehdyttävästi aitoa osoitetta. Sivustolla oli myös voimassa oleva varmenne.
Sivuston sisältö oli täysin identtinen alkuperäisen sivun kanssa. Tekniseltä kannalta kalastelusivu kopioi lennosta sivua avatessa sen hetkisen sisällön oikotie.fi:n oikealta sivulta (proxy), joten mistään visuaalisesta seikasta ei pysty erottamaan kyseistä sivua aidosta.
Tämä on esimerkeistämme ehkä paras näyte muistuttamaan osoiterivin merkityksestä valesivun tunnistamisessa. Varmenteen tiedoista huijauksen olisi myös pystynyt havaitsemaan, mutta tämä vaatii teknistä ymmärrystä varmenneketjuista ja valistunutta arviota tai tietoa oikotie.fi:n oikeasta varmenteesta.
Epäselvin tapaus
Kinkkisin kuva oli Microsoftin Office 365 ‑palvelun kirjautumissivua kopioinut sivusto. Jakauma vastauksissa meni lähes täysin puoliksi, prosenttien ollessa pyöristettyinä 50-50. Oikea kirjautumissivu löytyy osoitteesta https://login.microsoftonline.com/
Huomioitavaa on, että Microsoft on muuttanut kirjautumissivunsa oletustaustakuvaa muutaman viikon sisällä. Huijaussivulla oleva taustakuva on kopio aidon sivun taustasta, mutta sitä on manipuloitu tummemmaksi. Oletamme tämän olevan automaattisten skannerien huijausta varten. Kalastelusivu on perustettu murretulle sivustolle (sama toimintamalli kuin Säästöpankki-tapauksessa), ja sivun kansiorakenteessa kopioidaan Microsoftin aitoa kansiorakennetta (lähes sama malli kuin oikotie.fi:ssä). Kokonaisuutena sivulla ei ole mitään poikkeavaa tai selvästi virheellistä oikeaan kirjautumissivuun verrattuna, joten tässäkin tapauksessa sivun osoite ja varmenteen tiedot ovat parhaat tavat havaita huijaus. Tätä huijaussivua ei kuitenkaan ole pystytetty proxy-tekniikalla, joten sisältö ei muutu dynaamisesti aidon sivun muuttumisen mukana. Alareunassa olevien linkkien kohteet ovat Microsoftin oikeiden ohjeiden osoitteita – näiden osoite on siis eri kuin auki olevan sivun.