Tänapäeval ei rünnata enam ainult nõrku paroole ja oskamatuid kasutajaid. Küberkurjategijad kasutavad järjest nutikamalt ära nüüdisaegseid tehnoloogiaid, mida me oleme harjunud usaldama – sealhulgas Google’i ja Microsofti sisselogimise teenuseid. Kui lisada siia tehisintellekt, siis saavad ründajad luua vägagi veenvaid pettuseid.
Artiklis selgitan, kuidas ründajad kasutavad ära usaldusväärseid tehnoloogiaid – nagu OAuth ja DKIM – ja miks peab olema eriti tähelepanelik, kui meilisõnum või rakendus küsib õigusi sinu kontole ligipääsuks.
Tehnoloogiad, mida ära kasutatakse
- Tehisintellekt (AI): ründajad kasutavad AI-d, et luua keeleliselt korrektseid ja visuaalselt usutavaid e-kirju, sõnumeid ning dokumente.
- OAuth (Open Authorization): standard, mis võimaldab kasutajatel anda rakendustele õigusi oma andmetele ligipääsuks ilma paroole jagamata. Selle abil saad näiteks oma Google’i või Microsofti kontoga teistesse teenustesse sisse logida.
- DKIM (DomainKeys Identified Mail): e-posti automaatne autentimismeetod, mis saatja kirja digitaalselt allkirjastab. See allkiri lisatakse e-kirja päisesse ja vastuvõtja server kontrollib, kas kiri on pärit väidetavalt saatjalt ja kas seda pole teel olles muudetud. Kuid ründaja suudab varem allkirjastatud ja kehtiva DKIM allkirjaga e-kirja (nt teavituse või uudiskirja) saata uuesti paljudele adressaatidele (DKIM replay).
Kuidas neid tehnoloogiaid on ründamiseks ära kasutatud?
- Google OAuth ja DKIM replay rünnak.
Ründajad kasutasid ära DKIM-i allkirjastamise loogikat ja Google’i OAuth autentimismehhanismi, et levitada usutava välimusega andmepüügikirju. Nad taaskasutasid varem Google’i nimel allkirjastatud e-kirju: rünnakutes kasutati saatja aadressina näiteks no-reply@google.com, kuigi tegelik saatja oli hoopis muu domeen. Kiri läbis DKIM-kontrolli, sest allkirjastatud päised jäid muutmata, mis jättis mulje, et kiri pärineb tõepoolest Google’ilt. Sisu oli aga muudetud – lisatud olid pahatahtlikud lingid, mis suunasid kasutajaid petulehtedele, kus koguti Google'i konto sisselogimisandmeid (BleepingComputer – DKIM Replay & OAuth spoofing).
- Microsoft 365 OAuth rünnak.
Ründajad kasutasid ära Microsofti OAuth 2.0 autentimisprotsessi, et kaaperdada Microsoft 365 kontosid (BleepingComputer – Hackers abuse OAuth 2.0 workflows to hijack Microsoft 365 accounts). Rünnak algas sõnumiga, mis saadeti ohvrile WhatsAppi või Signali kaudu, sageli kompromiteeritud Ukraina valitsuskonto nimel. Sõnumis esines ründaja Euroopa ametniku või Ukraina diplomaadina ja kutsus ohvrit osalema privaatsetel videokohtumistel Ukraina teemadel. Seejärel saadeti ohvrile link, mis suunas OAuth 2.0 autoriseerimislehele, kus paluti anda luba rakendusele, mis väidetavalt oli vajalik kohtumisel osalemiseks.
Kui ohver andis loa, suunati ta näiliselt login.microsoftonline.com lehele, kuid lingis oli tegelikult ümbersuunamine ründaja loodud lehele. See leht oli seadistatud vastu võtma Microsoft 365 sisselogimisparameetreid, sealhulgas OAuthi autoriseerimiskoode. Need koodid võimaldasid ründajatel saada juurdepääsu ohvri Microsoft 365 kontole, sealhulgas e-postile, kalendrile ja muudele teenustele, ilma et oleks vaja sisestada parooli (Volexity – Phishing for Codes: Russian Threat Actors Target Microsoft 365 OAuth Workflows).
Kuidas end kaitsta?
OAuthi ja DKIM-i kuritarvitused näitavad, et ründajad ei vaja enam otsest ligipääsu salasõnadele. Piisab, kui kasutaja ise annab õigused pahatahtlikule rakendusele või klõpsab usutavale, kuid võltsitud e-kirjale ja annab sellega ründajale ligipääsu oma kontole. Just seetõttu peaks infoturbe ohtude ennetamisel pöörama tähelepanu mitte ainult tehnilistele kaitsemeetmetele, vaid eelkõige töötajate teadlikkusele.
- Töötajate koolitamine. Soovita töötajatel mitte klõpsata veidigi kahtlasena tunduvates kirjades toodud linkidel, vaid kontrollida info ehtsust enda teenusepakkuja kontol.
- Õpeta ära tundma kahtlaseid sõnumeid, eriti kui need paluvad sisselogimist või kontole ligipääsu andmist.
- Kui mõni rakendus küsib ligipääsu sinu kontole, vaata hoolikalt, millele ligipääsu soovitakse. Kui näiteks küsitakse juurdepääsu e-postile, kontaktidele ja failidele, on see ohumärk.
- Loe alati õiguste akna sisu, mitte ära klõpsa kohe „Nõustu“.
- Kasuta simuleeritud andmepüügi kampaaniaid, et testida ja tugevdada valvsust.
- Tehnilised meetmed. Sõltuvalt kasutatavatest lahendustest ja riskidest on soovitatav rakendada järgmisi tehnilisi meetmeid.
- Sea DMARC-i poliitika rangemaks (nt p = quarantine või p = reject), taga SPF-i ja DKIM-i korrektne seadistus ning kooskõla DMARC-iga.
- Kontrolli regulaarselt, millised rakendused on ühendatud kasutajakontodega (nt Google Workspace Admin või Microsoft Azure/Entra keskkonnas).
- Keela vaikimisi uute rakenduste OAuth ühendused, kuni need on auditeeritud.
- Kasuta lahendusi, mis tuvastab ebatavalised päringud (secure email ja OAuth gateway lahendused).
- Rakenda tingimuslikku ligipääsu (Conditional Access), mis seab täiendavad tingimused isegi pärast sisselogimist (nt lubatud IP, geograafiline asukoht, seadme seisund).
- Luba ligipääs ainult hallatud seadmetest (Intune/Endpoint Manager, Google Security Center).
- Määra tokenitele lühike eluaeg ja kasuta refresh token rotation mehhanismi.
- Lülita sisse anomaalia tuvastus, et avastada kahtlane käitumine pärast autoriseerimist (nt Microsoft Defender for Cloud Apps või Google Security Center).
Mida iga kasutaja ise saab teha?
- Kasuta paroole mõistlikult.
- Väldi korduvkasutust eri teenustes.
- Kasuta paroolihaldurit, mis aitab luua ja säilitada tugevaid paroole.
- Ära kasuta isikuandmetest või tööandjast tuletatud paroole.
- Aktiveeri mitmeastmeline autentimine (MFA).
- Isegi kui ründaja saab parooli, vähendab MFA konto oluliselt ülevõtmise tõenäosust.
- Kontrolli regulaarselt oma kontoga seotud seadmeid ja rakendusi.
- Google: https://myaccount.google.com/security → „Teie seadmed“ ja „Teie ühendused kolmandate osapoolte rakenduste ja teenustega“.
- Microsoft: https://myaccount.microsoft.com/ → „My Apps“ ja „Devices“.
- Eemalda kõik rakendused ja seadmed, mida sa ei tunne või mida sa enam ei kasuta.
- Ole e-kirjadega ettevaatlik – isegi kui need näivad tulevat Google’i või Microsofti aadressilt.
- Kontrolli sisu loogikat ja konteksti: kas kiri palub ootamatult tegevust, ligipääsu või autoriseerimist? Kas see on seotud mõne hiljutise tegevusega, mida ise algatasid?
- Kui kiri palub midagi olulist (nt ülioluline teade, kontole ligipääs, salasõna muutus, link failile), siis:
- ava teenus otse veebibrauseris (nt mine otse vastava ameti või teenusepakkuja lehele, mitte lingi kaudu);
- ära klõpsa linkidel enne, kui oled veendunud, et kiri on usaldusväärne;
- vajadusel otsi info käsitsi ametlikult kodulehelt.
- Hoia tarkvara ja seadmed ajakohasena.
- Paigalda turvauuendused kohe, kui need on saadaval. Paljud rünnakud kasutavad teadaolevaid haavatavusi.
- Loe alati, mida sa kinnitad.
- Kui rakendus küsib õigusi, siis loe hoolikalt, millele ta ligipääsu tahab. Kui rakendus küsib rohkem õigusi kui vaja (nt e-kirjad, kontaktid, kalendrid), katkesta kohe.
Infoturbe ohud muutuvad pidevalt ja tehnoloogiate arenguga kaasnevad ka uued haavatavused. Peame kõik olema teadlikud ja valvsad, et ennetavalt kaitsta oma andmeid ja süsteeme.
Kui soovid infot mõne konkreetse teema kohta või vajad tuge turvameetmete rakendamisel, võta palun meiega ühendust.
