Tietojen kalastelu verkossa eli phishing
13.12.2005 13:54 (Päivitetty: 29.12. 23:02)


Tietoturvallisuuden suurin ja vaikeimmin suojattava yksittäinen riski on tietoa käsittelevä ihminen. Järjestelmien ja fyysisten tilojen suojaaminen on verrattain helppoa, verrattuna siihen kuinka vaikea ihminen on saada pitämään tiedot omana tietonaan ja jakamaan niitä vain silloin kun se todella on tarpeellista. Silloinkin vain siltä osin kuin se on välttämätöntä.

"Nigerialaiskirje" on vanha tuttu huijaus, jolla kirjeen vastaanottajalle uskotellaan että juuri hänen apunsa on korvaamaton jonkin rahaerän siirtämiseksi kirjeenlähettäjälle ja tämän ympärille on muodostettu tarina, jolla pyritään huijaamaan kirjeen vastaanottajalta rahaa. Tuoreimpana ilmiönä tästä huijausmuodosta on rahanpesu, jossa kirjeen vastaanottajalta ei enää pyritä huijaamaan rahaa, vaan hänet valjastetaan mukaan laittomasti hankitun rahan pesuun, josta hänelle luvataan myös korvaus. On myös varsin normaalia, joskaan ei hyväksyttävää, että yksittäisten ihmisten tietokoneita käytetään luvattomasti laittomiin käyttötarkoituksiin, joilla pyritään ansaitsemaan rahaa.

Miten huijarit keräävät tietoja

Fyysisessä maailmassa ihmisiltä huijataan rahaa "kerjäämällä" ja myymällä heille arvottomia tavaroita. Heidän pankkikorttien ja pankkiautomaattikorttien tunnuslukuja pyritään näkemään olan yli, jotta voidaan varastaa kortti ja nostaa sillä rahat automaatista. Kun nälkä kasvaa syödessä, pyritään kortit kopioimaan asentamalla automaatteihin ylimääräisiä osia, jotka kopioivat kortit ja ottavat tunnusluvut muistiin.

Kun nälkä kasvaa edelleen ja tarvitaan tehokkaampia välineitä suurempien ihmismassojen huijaukseen, tulee netti avuksi. Aloitetaan tietojen kalastelu eli phishing, jonka kohteeksi otetaan suuret massat ja sellaiset palvelut, joissa kerättyjen tietojen avulla voidaan automatisoidusti saada suuri taloudellinen hyöty.

Kohteena Nordean asiakkaat

Tuoreessa muistissa ovat kaksi Nordean asiakkaisiin kohdistunutta phishing-hyökkäystä eli tietojen kalasteluyritystä. Näissä pyrittiin saamaan Nordean asiakkaalta verkkopankin käyttämättömiä kertakäyttötunnuksia, sekä vahvistustunnuksia. Tietojen kalastelijan näkökulmasta ongelmallista oli se, että kalasteltavan tiedon määrä oli kummassakin tapauksessa merkittävän suuri, eikä kalastelijan kielitaito riittänyt huijauksen toteuttamiseksi suomenkielisenä. Tulos oli nolla, eivätkä asiakkaat menneet halpaan. Toteutuksessa ontui myös se, että huijaus lähetettiin sähköpostitse umpimähkään valituille vastaanottajille ja sen saivat myös sellaiset henkilöt, jotka eivät olleet Nordean asiakkaita.

Suuremmat massat huojauksen kohteena

Tyypillisesti tehokkaampi tapa on esimerkiksi tuore Amazon-phishing, jossa kohderyhmä on valtava ja englanninkielisen palvelun käyttäjinä myös englanninkielinen. Huijaus on hyvin tyypillinen phishing-tapaus, jossa pyritään saamaan verkkopalvelun käyttäjän luottokorttitiedot, tavoitteena ostaa näiden tietojen avulla jotain rahaksi muutettavaa. Uutta tässä tapauksessa on myös luotto-/pankkikortin PIN-koodin kysyminen, ilmeisenä tarkoituksena valmistaa tietojen avulla kortin "kopio", jolla voidaan nostaa rahaa automaatista.

Merkittävä phishing-tapausten yhteydessä toimiva ansaitalogiikka on käytetyn tavaran huutokaupat ja "kirpputorit", joita löytyy mainitun Amazonin yhteydesta, mutta erityisesti siihen erikoistuneista palveluista kuten eBaystä. Näissä varastettuja tietoja voidaan käyttää suoraan maksujen suorittamiseksi esim. PayPal-tilille ja PayPal-palvelussa maksuja voidaan siirrellä tileiltä toiselle hyvin nopeasti ja realisoida sieltä edelleen pankkitileille ympäri maailman sijaitseviin pankkeihin.

Kalastelun torjunta

Tietoturvapalveluiden osalta phishing eli kalastelu on vaikea torjuttava kun se tyypillisesti tapahtuu sellaisilla tavoilla, jotka eivät saavuta asiakkaan tietokonetta siinä muodossa, että ne voitaisiin torjua. Toki poikkeuksiakin on ja moni tietoturvaohjelmisto osaa suodattaa esimerkiksi sähköpostiviesteinä tulevia phishing-hyökkäyksiä.

Yksin ohjelmallisen tai palveluna ostetun suojauksen varaan ei voi kuitenkaan jättäytyä. Jokaisen Internetin käyttäjän tulee myös itse muistaa, että Internet-palvelun tarjoaja ei koskaan pyydä käyttäjätunnusta ja salasanaa sähköpostitse, kuten ei pankkikaan pyydä tunnuslukuja sähköpostitse. Pankkikortin PIN-koodi on nimensä mukaisesti henkilökohtainen tunnistusnumero (Personal Identification Number), eikä sitä tarvitse kukaan muu kuin kortin haltija itse automaateilla asioidessasi.

Luottokortin tietoja tarvitaan silloin kun ostetaan jotain, mutta palveluiden ei tarvitse säilöä sitä ja erityisesti palvelut eivät pyydä sitä sähköpostitse. Vaikka turvallisuusominaisuuksia parannettaisiinkin, niin mitään tietoja ei kysellä sähköpostiviesteillä, vaan lisätiedot annetaan kun palvelua seuraavan kerran käytetään.

Janne K Edelman