Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – IV kvartal 2018

Alates 2018. aasta lõpust koostab Riigi Infosüsteemi Ameti küberturvalisuse teenistus kord kvartalis ülevaate küberruumi trendidest ja tähelepanekutest.

Varem kompromiteeritud meilivestlustesse vahelesegamine

Olukord

Oleme näinud petukirjade lainet, kus kurjategijad püüavad ettevõtetelt raha välja petta kasutades ära kompromiteeritud meilikontode ja meilivestluste sisu. Näiteks suvel kompromiteeriti ühe Eesti ettevõtte meilikontod. Esialgu teatati meile suure hulga õngitsuskirjade väljasaatmisest, kuid tegelikult salvestati samal ajal meilikontode kirjavahetused, mida üritati paar kuud hiljem ära kasutada uueks rünnakuks ettevõtte partnerite vastu: ühe pikema meilivestluse jätkukirjana paluti välismaa partneril hakata tulevikus arveid maksma uuele pangakontole. 

Sarnaseid kirju oleme näinud ka niipidi, kus Eesti ettevõte on meilivestluses teise riigi (nt Aasias asuva) koostööpartneriga. Pikema meilivestluse ühes etapis palub partner muuta pangakonto andmeid. Hiljem selgub, et partneri meilikontod on kompromiteeritud ja kurjategija püüab mõlema poolega eraldi vestelda ning raha välja petta. See tähendab aga, et ühe lühikese perioodi jooksul ei tea kumbki osapool, et meilivestlused on kaaperdatud.

Analüüs

Sellised rünnakud on palju keerukamad võrreldes tavapäraste petuskeemidega (kus näiteks ettevõtte juhina esinev kurjategija kirjutab finantsjuhile üherealise küsimuse „kas me saame saata 30t täna?“) ja nõuavad kurjategijalt rohkem ressursse. Eesmärgiks paistab olevat leida ohver, kellelt suuremaid summasid saaks välja petta. Selle eesmärgi nimel on kurjategija valmis pikemat aega meilivestlusi jälgima ja otsima õiget hetke, kus end meilivestlusesse vahele segada.

Tegemist on raskesti äratuntava petuskeemiga, sest näiliselt tulevad kirjad ikkagi koostööpartnerilt endalt. Oleme näinud, kuidas petturid loovad kirjade võltsimiseks uusi (aga ettevõtte nimega seotud) meiliaadresse, mis võivad pettuse reeta. Eeldades, et kurjategijatel on õngitsuskirjade abil kätte saadud mingi hulk ettevõtete kasutajakontosid, peaksid kõik ettevõtjad olema ettevaatlikud ja kontrollima üle olukorrad, kus partner soovib arvete tasumist mõnele senisest erinevale pangakontole.

Vähem eraisikuid, rohkem ettevõtteid ehk Office 365 rünnakud

Olukord

Eesti ettevõtted, kes kasutavad Microsoft Office 365 rakendusi, on teavitanud meid andmepüügist ja -vargustest. Ettevõtetele mõeldud Office 365 meilirakenduse kaudu on kurjategijad leidnud ka võimaluse meilivestlusi pikemalt jälgida ja endale kopeerida, et neid hilisemates petukirjades ära kasutada nagu eelpool kirjeldasime.

Sarnaseid juhtumeid on märganud ka Soome sideteenuste amet FICORA, kes teatas suvel mitmest Office 365 teenust kasutavast Soome ettevõttest, kes on langenud kalastamise ja seejärel niinimetatud tegevjuhi petuskeemi ohvriks. Office 365 kompromiteerimise trendile on tähelepanu pööranud ka mitmed küberturbefirmad oma ohuhinnangutes.

Analüüs

Arvestades keskmiste ja väiksemate ettevõtete hinnatundlikust ning Microsofti ülemaailmselt tugevat mainet, on Office 365 kasutamine ka Eestis üsna levinud. Kuna teenus võimaldab ettevõtte-üleseid aadressiraamatuid, on see tõenäoliselt ka edaspidi kurjategijatele atraktiivseks ründevektoriks. FICORA hoiatas, et kurjategijatel on Soomes õnnestunud mööda hiilida ka Office 365 mitmefaktorilisest autentimisest. (Sellest hoolimata tagab mitmefaktoriline autentimine kordades parema turvalisuse võrreldes lihtsalt paroolidega.)

Microsoft on samas investeerinud palju oma pilvetoodete turvalisuse parendamiseks, pöörates näiteks eraldi tähelepanu õngitsuskirjade takistamisele.
Olukord näitab, et ründajad sihivad järjest enam ettevõtete raha eest otsustajaid. Eraisikud (ja nende kontod) on samas esimeseks kohaks, kustkaudu kurjategijad meilikontodele ligi võivad pääseda.

Teadaolevate nõrkuste ärakasutamine „unustatud“ seadmete kaudu

Olukord

2018. aastal on avalikustatud mitu turvaviga eraisikutele ja väike-ettevõtetele mõeldud ruuterites, mis võimaldavad kurjategijatel näiteks võrguliiklust jälgida või krüptoraha kaevandada. Ka meie saatsime juulis välja teate Mikrotiki poolt toodetud ruuterite turvanõrkuse kohta ja palusime seadmete tarkvara uuendada. Sellest hoolimata jõuab CERT-EE-ni pidevalt teavitusi selle kohta, et uuendamata tarkvaraga ruuterid on jätkuvalt võrkudesse ühendatud nii avalikus sektoris kui ka eraettevõtete poolt.

Analüüs

Kuigi näiteks eelpoolmainitud ruuterite tarkvara saab uuendada, loodavad kurjategijad üsna tihti, et äsja avaldatud turvanõrkust ei pane kasutajaid tähele, ei näe uuendamiseks vajadust või ei mäleta, et nende võrku oleks mõni taoline seade ühendatud.

Avalikke teavitusi seadmete nõrkustest jälgivad nii küberturbe eksperdid, aga ka kurjategijad. Niipea, kui värske haavatavuse detailid avaldatakse, püütakse selle nõrkuse peale ehitada uus eksploit. Kuna kiirus on oluline, suudavad kurjategijad kiiresti kasutada uuendamata seadmeid oma pahavara levitamiseks (kusjuures spämmimises võib süüdi jääda haavatava seadme omanik, kes võib seetõttu sattuda mõnesse musta nimekirja) või mõnel muul viisil seadme ära kasutamiseks.

Mida enam kasvab internetti ühendatud seadmete hulk – näiteks asjade interneti ehk IoT üha laiemal levikul – seda enam võime eeldada, et taoliste unustatud seadmete turvanõrkusi püütakse edaspidigi ära kasutada. Kui seadmed end ise automaatselt ei uuenda ning need ei ole enam ekspertkasutajate vaid tavakasutajate käsutuses, võib oodata, et veelgi väiksem osakaal kompromiteeritud seadmetest saavad kas kohe pärast nõrkuse avaldamist või mõistliku aja jooksul uuendatud.

Sihitumad ja rohkem tööd nõudvad lunavararünnakud

Olukord

Käesoleval aastal ja just viimaste kuude jooksul oleme näinud Eesti edukate lunavararünnakute puhul trendi, kus kurjategijad kasutavad kaugtöölaua (Remote Desktop Protocol ehk RDP) jaoks lahti jäetud võrguühendusi selleks, et pääseda sisse ettevõtete ja asutuste sisevõrkudesse. Selliseid kogu internetile avatuks jäetud kaugtöölaua teenuseid on võimalik leida automatiseeritult. Pärast teenuse leidmist püütakse jõuründega ära arvata kasutajatunnuseid ja paroole ning mõnikord see ka õnnestub, kuna kasutatakse lihtsalt nõrku paroole. Seejärel paigaldatakse (enamasti käsitsi) sisevõrku lunavara ja käivitatakse see.

Analüüs

Hoolimata lunavararünnakute ulatuslikust mõjust ettevõtetele ja asutustele paistab jätkuvalt, et ettevaatusabinõud võetakse kasutusele alles pärast edukat lunavaraintsidenti. Kuigi RDP potentsiaal ründevektorina oli küberturvalisuse kogukonnale teada juba 2016. aasta teisest poolest, paistab, et ka kaks aastat hiljem tuleb süstemaatiliselt teavitustööd teha. USA föderaalne juurdlusbüroo pidas 2018. aasta septembri lõpus vajalikuks sel teemal eraldi teavituse teha, et kodanikud ja ettevõtted vaataks üle, millist ligipääsu väljastpoolt nende süsteemidesse vaja läheb ja kui tõenäoline oleks selle haavatavuse ärakasutamine.

Mõistame, et pelgalt teavitamine ei pruugi IT-võrkude eest vastutavate inimeste käitumist kohe mõjutada, kuid kavatseme edaspidigi koolitustel ja kogukonna koosviibimistel sellele ründevektorile tähelepanu pöörata. Eeldame, et lähiajal näeme jätkuvalt sellist meetodit kasutavaid edukaid lunavararünnakuid keskmistele- ja väikestele ettevõtetele ja asutustele, kellel pole ehk niivõrd palju ressursse end teadlikult kaitsta. See omakorda kinnitab trendi, kus kurjategijad on sihikule võtnud tavakasutajate asemel pigem organisatsioonid, kellelt on võimalik rohkem raha nõuda.

 

NÕUANNE

Mida teha, kui sinu ettevõtte meilikontodele pääseti ligi?

Arvestades meilikontode ärakasutamise trende soovitab RIA ettevõtetel ja asutustel väga tõsiselt pöörata tähelepanu kõikidele juhtumitele, kus töötajate meilikontodele on juurde pääsetud.

Teavita oma koostööpartnereid

Kurjategijad võivad oodata mitu kuud, enne kui nad hakkavad uuesti sinu asutuse nime ära kasutades sinu partneritelt raha välja petma. Kui sinu asutuse töötaja meilikonto kompromiteeritakse, anna oma koostööpartneritele märku, et oled langenud kuriteo ohvriks, mis võib partnereid hiljem mõjutama hakata. Näiteks hoiata neid, et kui teie poolt hakkab keegi rääkima pangakonto detailide muutmisest, siis selline põhimõtteline muutus tuleks kindlasti mitme kanali kaudu üle kinnitada. Nii näitad sa ka oma partneritele, et pöörad turvalisusele tähelepanu.

Hoolitse oma nime eest

Isegi kui SPF poliitika, DKIM tempel ja DMARC protokoll tunduvad liiga tehniliste kontseptsioonidena, on need ekspertide jaoks lihtsad ja odavad viisid, kuidas vähendada võimalust, et kurikaelad just sinu nime kasutades püüavad õngitsuskirju või pahavara laiali saata. Tee kurjategijatel elu oluliselt keerulisemaks.

Otsi võimalusi rakendada mitmefaktorilist autentimist

Mõtle läbi, kuidas oleks sinu ettevõttes võimalik kasutada mitmefaktorilist autentimist, nii et võõrast arvutist meilidele ligi pääsemine oleks võimalikult keeruline. Suurte pakkujate kõrval on ka mitmed Eesti teenusepakkujad teinud kaheastmelise autentimise võimalikuks.

 

Läheb paremaks

Perearstid saavad rohkem tähelepanu

Võrreldes suuremate tervishoiuteenuste pakkujatega on meile muret teinud väiksemate perearstikeskuste küberturvalisuse võimekus. Samas oleme neile hakanud süstemaatiliselt tähelepanu pöörama ning vaikselt paistab edusamme. Oleme valmis saanud perearstide poolt kasutatavate infosüsteemide küberturvalisuse analüüsi, mille alusel saame tervise ja heaolu infosüsteemide keskusele teha ettepanekuid süsteemide arendamiseks.

Lisaks saavad perearstid nüüd sarnaselt avaliku sektori töötajatele teha küberhügieeni digitesti, mis oskuste kaardistamise kõrval aitab neil ka küberhügieeni kohta õppida. Lisaks kutsusid perearstikeskused Tallinnast ja Harjumaalt, Viljandimaalt ja Tartumaalt oktoobrikuus toimunud kübertalgutel endale eksperte külla koolitusi tegema.

Ei lähe kuidagi paremaks

Eesti ettevõtete ja asutuste e-kirju saab jätkuvalt võltsida

Paljud küberintsidendid saavad jätkuvalt alguse e-kirjadest, mille saatja aadressi ja kirjastiili on võimalik lihtsasti võltsida, jättes niimoodi mulje, et kiri tuli tuttavalt. Selle riski vähendamine on võimalik, kasutades tasuta lahendusi (näiteks SPF, DKIM, DMARC – küsi lisaks nõu cert@cert.ee), mis aitavad kontrollida, kas kiri tuli õigest kohast ja õigelt saatjalt.

Kuigi mõnel juhul võib nende konfiguratsioon tunduda keeruline, soovitame siiski ettevõtetel ja asutustel tungivalt sellised tehnoloogiad kasutusele võtta, et vähendada pahavara jagavaid ja kasutajaandmeid õngitsevaid kirju. See ei ole sajaprotsendiline kaitse, aga teeb ründajatel elu palju keerulisemaks. 
Kui sa oled saanud kirja, kus sul palutakse vahetada pangakonto andmeid või saata tundmatusse kohta raha, tasub kiri veel mitu korda üle vaadata ja võimalusel mõnd muud kanalit kasutades see soov üle kinnitada.

Trendid ja tähelepanekud küberruumis, IV kvartal 2018 failina (878.65 KB, PDF)

Veel uudiseid samal teemal

Facebooki teavitamine libateavitusest
27.11.2018

CERT-EE: Facebookis levivad õngitsuslehed on toonud kahju mitmele Eesti kasutajale!

27.11.2018 – Alates eelmisest nädalast liiguvad Facebookis õngitsuskirjad. Facebooki kasutajatele saabuvad teated näiliselt Facebooki turvameeskonnalt, kus hoiatatakse, et kasutaja konto blokeeritakse juhul, kui ta ei kinnita oma kontot.

16.11.2018

Küberkurjategijad on sihikule võtnud ettevõtted

16.11.2018 – 2018. aasta viimase kvartali suundumused näitavad, et tavakasutajate asemel sihivad küberkurjategijad järjest enam ettevõtete raha eest otsustajaid. Raha püütakse välja petta keerukate ja aeganõudvate petuskeemidega ning eriti ettevaatlik tuleks olla siis, kui koostööpartner palub muuta pangakonto numbrit.