Enam kui 30. aasta jooksul on mul olnud privileeg aidata inimesi vabaneda viirustest ja muust pahavarast. Nende aastate jooksul on sageli esitatud küsimusi arvuti turvalisusega seotud.. Mõned küsimused on lihtsad ja kergesti vastatavad; teised on keerulised ja nõuavad hoolikat selgitust ja lisauuringuid. Antud rubriigis käsitlen mulle esitatud küsimusi ja võimalikke tulevasi küsimusi, mis ei kuulu käsiraamatutes või KnowledgeBases’is käsitletavatesse kategooriatesse. Olenemata sellest, kas olete ESETi klient, küsige julgelt ja ma üritan anda endast parima vastuse andmisel.
2018. aasta juulis hakkas Põhja-Ameerika ESET saama päringuid inimestelt (Fred, Bunny M., and others), kes olid saanud e-kirju, milles väideti, et nende arvutid on häkitud ja ründajal on videod arvutiomanikust vaatamas “täiskasanutele mõeldud sisu”. Need on ehedad näited nn sextortion-juhtumitest; kirjutasime sellest 2018. aasta juuli postituses „I saw what you did…or did I?“
Viimastel päevadel oleme taas hakkanud saama sarnaseid päringuid, kuid väljapressimiskatsed on märgatavalt erinevad; olen tõepoolest saanud mitu kirja ka enda isiklikku postkasti (Ha! Hästi proovitud). Seega on aeg antud teema uuesti üle vaadata; tänud Barry G., Tim R. ja teistele juhtimast minu tähelepanu sellele.
Kui kirjutasime antud kelmuse kohta varem, oli see “‘suuname teid ära tundma konkreetset petmismeetodit ning olete selle konkreetse rünnaku eest kaitstud”; täna ja ka mõnes järgnevas postituses räägin ma teile kõikidest veebikelmuse võimalustest, et oleksite kaitstud sarnaste rünnakute eest. [Ei, tehniliselt ei ole need veebikelmuse rünnakud, ent nad püüavad oma ohvrilt siiski raha välja pressida, nii et “piisavalt sarnased”. Ehk teeme tulevastes postitustes tegelike petmistaktikate äratundmise seeria.]
Kuna petturid on alati välja töötamas uusi lõkse ohvrite püüdmiseks, vajab see protsess korrapärast ajakohastamist; tõepoolest, selleks, et katta kõiki olulisi teemasid ja mitte koostada selle tulemusena uut “Sõda ja rahu“, jagan ma antud arutelu mitmeks osaks. See võib olla Voxi käimasolev projekt, seega alustame.
Kõigepealt vaatleme väljapressimist üldiselt – küberruumis toimuv väljapressimine on põhimõtteliselt sama, mis ka päris elus. Väljapressimisel on mitu põhielementi: (a) midagi, mida kavandatav ohver tahab salajas hoida, (b) tõendeid, et väljapressijal on “infot”, (c) ähvardus ja (d) väljapressija poolt pakutav viis “vältida” info lekkimist – tavaliselt raha, ent on ka muid võimalusi.
Seda silmas pidades, toon näite ühest hiljutisest sextortion e-mailist:
Joonis 1: Uus sextortion-pettus, märts 2019
Saladus
Siin on saladuseks see, et kavandatavat ohvrit süüdistatakse täiskasvanutele mõeldud materjali vaatamises, mis on parimal juhul piinlik, kui seda peaksid nägema pereliikmed, kaastöötajad jne. Üleval toodud näites on meil:
Joonis 2: Saladus
Niisiis: kas saladus on päriselt olemas? Noh, kui sa ei ole kunagi külastanud pornolehekülge (tahtlikult) või keegi, kes pole, nagu väidab ründaja „paari kuu eest“ sellist lehekülge külastanud, siis TEATE, et tegemist on pettusega ja võite seda ignoreerida.
Aga kui siiski vaatate täiskasvanutele mõeldud sisu, vähemalt mõnikord? Siis, vastavalt “Net statistics”, “Welcome to the club.” ja “What if”, nagu teavitas ka the Wall Street Journal’s Twitter oma Twitteris 2013. aastal, üks “40. miljonist ameeriklasest, kes külastab regulaarselt pornolehekülgi – sealhulgas 70% 18.-34. aastastest”? Ka siis on oht tühine. Siin on ka põhjus: ainuüksi asjaolu, et nii paljud inimesed vaatavad täiskasvanutele mõeldud materjali ja et seda peetakse tabuks paljudes ringkondades, teeb selle saladuse potentsiaalsele ohvrile ohtlikuks ja seega ka väljapressijale atraktiivseks sihtmärgiks: ründaja võib esitada väite, mis ei pruugi põhineda faktidel, ent kõlab veenvalt ja paljudel potentsiaalsetel ohvritel on põhjust uskuda ründajat. Nii saab ründaja lihtsalt “levitada ja palvetada”, et mõned potentsiaalsed ohvrid langeksid õnge. Ent selleks, et testida, kas ründaja ka tegelikult teab saladust, peame kaevama sügavamalt.
“Tõendid“
Meie näites on oletatav tõend kolmekordne:
- on “fakt”, et e-mail pärineb ohvri enda e-posti kontolt (ja järeldusest, nagu kontrolliks ründaja kontot),
- et ründaja on väidetavalt teie arvutisse häkkinud ja
- küberkurjategija salvestas “teie tegevust”.
Meie näites on meil esiteks “fakt:
Joonis 3: E-mail Saaja: ja Saatja:
Sellisel juhul on klassikaline ebaõnnestumine – ründaja või tõenäolisemalt sextortion-komplekt, mille ründaja soetas Dark Web’ist, ei saatnud e-maili isegi ohvri kontolt. Tõepoolest, ei Saaja: aadressi nimi ega domeen vasta väljale Saatja:. Ent teistel näidetel, mida ma olen näinud, on väljad, mis sobivad Saaja: ja Saatja: väljadega.
Niisiis: juhtumite puhul, mis ei ole ilmselgelt võltsid: on need reaalsed?
Ei ole tõenäoline – e-posti väli Saatja: on triviaalne; vaatleme seda Voxi tuleviku postituses üksikasjalikumalt. Väita, et kellegi e-maili konto on häkkitud ainult välja Saatja: põhjal, on eksitav. Kuigi potentsiaalsed ohvrid ei pruugi seda teada, peaks isegi kõige vähem pädev ründaja seda teadma, nii et ründaja peaks olema valmis andma paremaid või vähemalt rohkem tõendeid selle kohta, et konto on tegelikult häkkitud. Nii et ignoreerige neid nn tõendeid – ent oma e-maili konto salasõna vahetamine on siiski hea mõte, midagi unikaalset ja raskesti äraarvatavat. Unikaalsus on võti ja me tuleme selle juurde tagasi natuke hiljem. Te võite alati võtta ühendust oma e-posti teenusepakkujaga ja uurida, kas viimasel ajal on olnud märke kahtlasest tegevusest. Pange tähele, et kui teil on võimalik muuta oma salasõna, ei ole arvatavasti rünnakut toimunud: kui mina oleksin küberründaja ning omaksin teie e-postile ligipääsu, muudaksin ma arvatavasti ka salasõna ära, et TEIE ei saaks seda muuta ning seeläbi mind oma e-postist välja tõrjuda.
Järgnevalt väidetatakse, et ründaja häkkis teie arvutisse:
Joonis 4: Väide ohvri arvuti häkkimise kohta:
Pange tähele, et see erineb teie e-posti häkkimisest, kuna neil on unikaalsed (ja seega ka erinevad), raskesti äraarvatavad salasõnad, eks? Vaatamata sellele väidab ründaja, et on häkkinud nii teie arvutisse kui ka e-posti kontosse, mille kohta saab teha kaks järeldust:
- Kui ründaja suutis tõepoolest rünnata teie e-posti kontot, ei ole tal võimalik selle järgi tuvastada otsest viidet teiega seotud arvuti kohta. Just seetõttu saate saata ja vastu võtta Gmaili kontolt e-kirju, kasutades nii kodust arvutit, telefoni, tööarvutit ning raamatukogus olevat arvutit. Seega, kuidas sai ründaja teha kindlaks teie arvuti, häkkides sisse teie e-posti kontole? Vastus: ei saanudki
- Kui ründaja suutis kõigepealt häkkida teie arvutisse, siis on muidugi tõenäolisem, et tal õnnestus häkkida ka teie e-posti. Ent selleks, et häkkida teie arvutisse (või seadmetesse), peab ründaja saama jagu arvuti turvatarkvarast. Arvuti turvatarkvara peamiseks otstarbeks (kõikide poolt installitud pahavaravastane programm – ja teil on ju on kõrgekvaliteediline, ajakohane, uuendatud turvatarkvara, eks?? Kui loete WeLiveSecurity’it, siis kindlasti on…)… kus olin mina? Ah jah: sellise tarkvara peamine eesmärk ei ole kaitsta inimeste rünnakute eest, vaid pigem arvuti ohustamise automatiseeritud rünnakute vastu, ent see kaitseb ka teatud võimaluste vastu, mida ründaja võib kasutada teie seadme peal. Seega, kui ründaja ei kasutanud just null-päeva rünnakut teie vastu, on väga tõenäoline, et häkkimise katse ebaõnnestus. Ja kui teie ründajal ei ole just G7 eelarvet ja te ei ole väga huvitav, ei raisataks null-päeva ainuüksi sextortion’i katsetamiseks. Nii et taas: kuidas häkkis küberkurjategija teie arvutisse? Märgid viitavad, et ei häkkinudki.
Lõpuks (selle näite juurde) on kinnitus, et teie veebikaamerat kasutati teie ja teie toimingute salvestamiseks. Kui teil, nagu ka minul, on kaamera külge pandud kahepoolne must teip, siis jällegi: pettus on avalikustatud. Samuti pakuvad ka mitmed arvuti turvastandardid, sealhulgas ESET, veebikaamera kaitset. Nii et hankige endale mõni veebikaamera kate (kaubanduslikud on saadaval ja odavamad, kui sulle ei meeldi näiteks elektrilindi idee) ja mõelge ka turvalisuse tarkvara kasutamisele, mis sisaldab antud kaitset ja kui teil seda veel ei ole.
Aga kui need näpunäited ei kehti teie puhul? Siis liigume järgmise etapi juurde:
Ähvardus
Meie näites ähvardab väljapressija makse mitte laekumisel “saata video teist kõikidele teie kontaktidele, sealhulgas sugulastele, kolleegidele jne”. Kui te arvate ikka, et antud e-mail võib olla tõeline (kuigi antud näites võime tõestada, et see pole nii), siis küsige endalt: “Kas see häbistaks mind?” Väidevalt muutub täiskasvanutele mõeldud materjal üha enam sotsiaalselt vastuvõetavamaks, nii et kui te olete ka üks osa kasvavast trendist, keda ei huvita teiste teadmine teie tegevuse kohta, siis taas: isegi kui ründajal on tava arusaamade kohaselt kompromiteerivat informatsiooni, võib ohver seda eirata.
Teisest küljest, kui selline paljastamine oleks piinlik, siis vaadake neid põhipunkte: Kas nõude maksmiseks on antud lühike aeg? Kas e-kiri on ebamäärane? Kas e-kirjas kirjeldatakse “arvuti mumbo-jumbot”? Kui jah, siis on tõenäoline, et oht ei ole reaalne. Sellisel juhul: kuigi allolevatel sõnadel on teatud tähendus, on need rohkem mõeldud hirmutamiseks kui veenmiseks.
Joonis 5: Mõttetu jama
Samuti väärib märkimist, et nõuetekohaselt konfigureeritud arvutiturbe tarkvara on väga tõhus klahvilogija tarkvara tuvastamisel, seega on üsna ebatõenäoline, et ründaja saaks selle teie süsteemi turvatarkvarasse lisada märkamatult. Veel üks löök küberkurjategija suunas.
Tasumine
Antud juhul on maksmise nõue edastatud bitcoinides – küberkurjategijad kasutavad sageli virtuaalseid valuutasid. Siinkohal tasuks vaadelda nõutavat summat: kui keegi oleks tõepoolest teie arvutisse häkkinud, oleks ründajal arvatavasti mingigi arusaam teie majanduslikust olukorrast. Kas nõutav summa vastab teie majanduslikule olukorrale? Arvatavasti mitte. Ent ründaja tahab saada tasu – kui tal on tõelised tõendid, võib ründaja proovida kiirustada teid takka, ent tõenäoliselt tähtaega ei määrata. Või püüaks ta vähemalt teiega uuesti ühendust saada, kui te ei ole reageerinud ning pakkuda erinevaid tingimusi. Ründajad teavad, et inimesed käivad puhkamas ja on e-postist “kriitilisel perioodil” eemal ning nende nõudmised võivad jääda tähelepanuta, seega püüaksid nad uuesti ja sellisel juhul kasutaksid ka veenvamaid tõendeid. Näiteks lunavara puhul – tõeline oht tõepoolest – panevad ründajad lunaraha nõuded üle terve arvuti (Desktop, Documents kaust jne), nii et seda mitte märgata, on raske. Kui ründaja oleks tõepoolest ohvri arvutisse häkkinud, oleks kindlasti kasutatud sarnast mudelit.
Ja pange tähele, et väljapressijad ei lepi kunagi “ühekordse” tegevusega. Kui te maksate neile ühe korra, jäävadki nad teid “külastama”. Nii et isegi kui ähvardused oleksid tõelised, oleks maksmine tõeline rumalus – ja võltsitud ähvarduste puhul veendutakse, et reageerinud ohvrid oleksid nimekirjas nendest, kes alluvad säärastele rünnakutele.
Mis edasi?
Kui midagi ülaltoodust “ei veena” teid, et antud kiri (või mistahes muu e-kiri) on pettus, siis on ka teisi tehnikaid, mida saame kasutada. Vaatleme neid meie järgmises Vox postituses – mõned neid on kindlasti lihtsamad, kui siin esitatud.
Voxist
Kas teil on küsimus arvuti turvalisuse kohta ning see ei ole tootepõhine? Jäta meile kommentaar või kasuta meie AskESETi vormi Kontaktide lehel.
