Phishing on ollut olemassa jo pitkään, ja tuoreimmat indeksiluvut osoittavat, että hyökkääjät käyttävät sitä innokkaasti.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- Lyhyt historia geneerisistä huipputason verkkotunnuksista
- Maakoodinimelliset aluetunnukset
- Tiesitkö? 54 maata on päättänyt sallia ccTLD-tunnustensa käytön kaupallisiin tarkoituksiin. Esimerkiksi Kolumbian ccTLD-tunnusta .co voidaan käyttää .com-tunnuksen sijasta. Se on erittäin suosittu, koska .com-verkkotunnus on yleistymässä, ja antaa yrityksille vaihtoehtoisia tapoja muodostaa verkkosivujen nimiä. Oletko nähnyt URL-osoitteen http://o.co? Se on Overstock.com, joka tarjoaa vaihtoehtoisen tavan päästä yritykseen selaimesi kautta. Olet ehkä nähnyt youtu.be:n. Se on laillinen URL-osoite, jonka Google on rekisteröinyt käyttämällä Belgian ccTLD-aluetunnusta .be. Viihdeteollisuus käyttää suurelta osin Tavalun ccTLD-aluetunnusta .TV. Se on saarivaltiolle hyvä tapa ansaita rahaa. Kun yrität selvittää, onko sivusto laillinen, muista, että monia ccTLD-tunnuksia käytetään myös kaupallisiin tarkoituksiin. Epäilyttävältä vaikuttava sivusto voi itse asiassa olla laillinen. ccTLD-tunnuksia voidaan kuitenkin käyttää myös phishing-sivustojen nimien muodostamiseen, joten kun olet epävarma, älä klikkaa!
- Kuinka linkit/URL:t muodostetaan
- Esimerkkilinkit/URL:t
- Tiesitkö? Kävelet verkkosivustolla ja näet URL-osoitteessa ”www1” tai ”www2” (tai muun numeron). Mitä tämä tarkoittaa? Jotkin verkkosivut voivat olla hyvin suosittuja, ja siksi niillä on useita palvelimia, jotka työskentelevät kuorman tasapainottamiskokoonpanossa tarjotakseen sisältöä pyydettäessä. Jotkut yritykset haluavat numeroida palvelimensa. Jos siis näet www1:n tai www2:n (tai muun www-numeron), näet vain, mikä palvelin # useista palvelimista tarjoaa sisältöä. Phishingin osalta www1:n, www2:n jne. näkeminen ei sinänsä ole osoitus phishing-sivustosta.
- Johtopäätös
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Verkon loppukäyttäjät ovat etulinjan puolustajina kriittinen osa organisaation tietoturvaohjelmaa. Viime vuosina verkon loppukäyttäjille suunnattuun tietoisuuteen ja koulutukseen on kuulunut muun muassa tietojenkalastelu, mikä johtuu sekä sen yleistymisestä että yhä kehittyneemmistä menetelmistä, joita tietojenkalastajat käyttävät uhrien houkuttelemiseen. Kun konsulttimme arvioivat organisaation riskejä ja keskustelevat heidän kanssaan phishing-tietoisuudesta ja -koulutuksesta, saatamme nähdä ohjeita, kuten ”älä napsauta epäilyttäviä linkkejä” ja ”vie hiiren osoitin sähköpostin linkkien päälle tarkistaaksesi, onko se laillinen”. Miten kuitenkin arvioidaan, johtaako linkki ja siihen liittyvä URL-osoite (Uniform Resource Locator) lailliselle sivustolle vai ei?
Linkkien ja URL-osoitteiden arvioimiseksi henkilön on ymmärrettävä yleiset aluetunnukset (gTLD), maatunnukselliset aluetunnukset (ccTLD) ja muut Internet-aluetyypit. Tätä varten tässä artikkelissa annetaan joitakin korkean tason tietoja linkkien/URL:ien lukemisesta ja tulkinnasta.
Lyhyt historia geneerisistä huipputason verkkotunnuksista
Me kaikki olemme tottuneet näkemään gTLD-tunnuksia. Käytämme gTLD-tunnuksia lähes päivittäin, mukaan lukien meille tutuimmat, kuten .com, .gov ja .edu. Ne ovat keskeinen osa Internetin rakennetta. Myös huijarit, jotka manipuloivat URL-osoitteita petolliseen käyttöön, tuntevat ne hyvin. Jotta sähköposteissa olevia linkkejä ja selaimissa olevia URL-osoitteita voidaan parhaiten arvioida, on hyvä tietää, miten eri verkkotunnukset ovat kehittyneet ja miten ne toimivat.
Vuonna 1984 Request for Comments (RFC) 920:n avulla määriteltiin alkuperäiset ”yleiskäyttöiset verkkotunnukset” – .com, .gov, .mil, .edu ja .org. Toinen verkkotunnus, .net, lisättiin vuoden 1985 alussa, ja sitä pidetään myös yhtenä ”alkuperäisistä” verkkotunnuksista. Vuonna 1988 lisättiin .int (kansainvälinen) verkkotunnus Pohjois-Atlantin liiton pyynnöstä. Vuosien mittaan lisättiin muitakin verkkotunnuksia, kuten .biz ja .info (2001). Vuoden 2011 alkuun mennessä oli perustettu 22 gTLD-tunnusta. Kesäkuussa 2011 ICANN (Internet Corporation for Assigned Names and Numbers) äänesti monien gTLD-hakemuksia ja -toteutusta koskevien rajoitusten poistamisesta, mikä käytännössä avasi oven lähes minkä tahansa gTLD:n käytölle. Uusien sääntöjen mukaisesti toukokuuhun 2015 mennessä yli 600 gTLD-tunnusta, mukaan lukien uudet gTLD-tunnukset, kuten .auto, .computer, .network, .social, .pizza ja .organic, oli rekisteröity ja hyväksytty käytettäväksi Internetissä. Joidenkin tietoturva-asiantuntijoiden mukaan tätä gTLD-tunnusten kehitystä pidetään lahjana phishereille, koska se antaa heille mahdollisuuden muodostaa lukuisia uusia phishing-sivustoja. Täydellinen luettelo laajennetuista gTLD-tunnuksista on Internet Assigned Numbers Authority (IANA) Root Zone Database -tietokannassa (https://www.iana.org/domains/root/db).
Maakoodinimelliset aluetunnukset
Maakoodinimelliset aluetunnukset ovat myös osa monia URL-osoitteita, ja siksi niitä voi odottaa näkevänsä silloin tällöin linkeissä. Maiden aluetunnukset auttavat erottamaan, missä maassa sivusto on rekisteröity tai mistä maasta se on peräisin. Esimerkiksi osavaltioiden ja paikallishallinnot käyttävät usein Yhdysvaltojen ccTLD-tunnusta .us. Muita esimerkkejä ccTLD-aluetunnuksista ovat Australia, .au, Japani, .jp, ja Yhdistynyt kuningaskunta, .uk. Kun luet linkkiä tai URL-osoitetta, ota huomioon, että ccTLD:n sijainti URL-osoitteessa voi muuttua (URL-osoitteen lopussa, kuten http://www.gov.uk, tai URL-osoitteen alussa, kuten https ://uk.news.yahoo.com).
Tiesitkö?
54 maata on päättänyt sallia ccTLD-tunnustensa käytön kaupallisiin tarkoituksiin. Esimerkiksi Kolumbian ccTLD-tunnusta .co voidaan käyttää .com-tunnuksen sijasta. Se on erittäin suosittu, koska .com-verkkotunnus on yleistymässä, ja antaa yrityksille vaihtoehtoisia tapoja muodostaa verkkosivujen nimiä.
Oletko nähnyt URL-osoitteen http://o.co? Se on Overstock.com, joka tarjoaa vaihtoehtoisen tavan päästä yritykseen selaimesi kautta.
Olet ehkä nähnyt youtu.be:n. Se on laillinen URL-osoite, jonka Google on rekisteröinyt käyttämällä Belgian ccTLD-aluetunnusta .be.
Viihdeteollisuus käyttää suurelta osin Tavalun ccTLD-aluetunnusta .TV. Se on saarivaltiolle hyvä tapa ansaita rahaa.
Kun yrität selvittää, onko sivusto laillinen, muista, että monia ccTLD-tunnuksia käytetään myös kaupallisiin tarkoituksiin. Epäilyttävältä vaikuttava sivusto voi itse asiassa olla laillinen. ccTLD-tunnuksia voidaan kuitenkin käyttää myös phishing-sivustojen nimien muodostamiseen, joten kun olet epävarma, älä klikkaa!
54 maata on päättänyt sallia ccTLD-tunnustensa käytön kaupallisiin tarkoituksiin. Esimerkiksi Kolumbian ccTLD-tunnusta .co voidaan käyttää .com-tunnuksen sijasta. Se on erittäin suosittu, koska .com-verkkotunnus on yleistymässä, ja antaa yrityksille vaihtoehtoisia tapoja muodostaa verkkosivujen nimiä.
Oletko nähnyt URL-osoitteen http://o.co? Se on Overstock.com, joka tarjoaa vaihtoehtoisen tavan päästä yritykseen selaimesi kautta.
Olet ehkä nähnyt youtu.be:n. Se on laillinen URL-osoite, jonka Google on rekisteröinyt käyttämällä Belgian ccTLD-aluetunnusta .be.
Viihdeteollisuus käyttää suurelta osin Tavalun ccTLD-aluetunnusta .TV. Se on saarivaltiolle hyvä tapa ansaita rahaa.
Kun yrität selvittää, onko sivusto laillinen, muista, että monia ccTLD-tunnuksia käytetään myös kaupallisiin tarkoituksiin. Epäilyttävältä vaikuttava sivusto voi itse asiassa olla laillinen. ccTLD-tunnuksia voidaan kuitenkin käyttää myös phishing-sivustojen nimien muodostamiseen, joten kun olet epävarma, älä klikkaa!
Kuinka linkit/URL:t muodostetaan
Mikä on siis linkkien URL-osoitteiden lukemisen avain? Perusvastaus on, että linkin sisällä tärkeät asiat sijaitsevat kaksinkertaisen etuviivaviivan ”//” ja ensimmäisen yksittäisen viivan välissä, pääasiassa alla esitetyllä korostetulla alueella. Tulkitaksesi URL-osoitteen siirry ensimmäiseen yksittäiseen vinoviivaan ja palaa siitä ylöspäin. Ensimmäisen kauttaviivan jälkeen luetellaan esimerkiksi hakemistot, alihakemistot, tiedostonimet ja tiedostotyypit.
Huomautus: Yllä oleva runko on URL:n perusjako. Tilalle http:// tai https:// voi tulla ftp://, gopher:// tai news://. Nämä ovat erityyppisiä siirtoprotokollia. Vaikka www esiintyy monissa URL-osoitteissa, se ei ole välttämätön osa. Voit nähdä lisäkenttiä ennen gTLD:tä ja toissijaista verkkotunnusta/palvelimen nimeä. Ensimmäisen kauttaviivan jälkeen saatat nähdä kenttiä, jotka osoittavat päivämääriä tai muita tietoja, joita käytetään resurssin tunnistamiseen.
Esimerkkilinkit/URL:t
Nyt kun olemme varustautuneet taustatiedoilla, katsotaanpa muutamia esimerkkejä.
-
Olemme melko tottuneet näkemään ja käyttämään kaupallisia sivustoja, kuten esim: http://www.amazon.com
Tämä on tunnettu sivusto, eikä URL-osoite sisällä mitään epäilyttäviä muutoksia.
Arviointi: -
URL:t voidaan muodostaa lähes miten tahansa. Tämän ansiosta sivustojen omistajien on helppo muodostaa ainutlaatuisia sivustojen nimiä. Se tekee myös huijareille helpoksi tehdä samoin, eli he voivat rakentaa sivustojen nimiä, jotka muistuttavat läheisesti laillisia sivustojen nimiä. Katso esimerkiksi, mitä pelkkä piste voi tehdä sivuston nimelle: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Jos henkilö klikkaisi yllä olevaa linkkiä, sen sijaan, että hän menisi osoitteeseen amazon.com, hänet ohjattaisiin sivustolle zon.com, joka voi olla phishereiden rekisteröimä sivusto.
Arvio: SUSPECT! -
Entä tämä linkki? http://This Sähköpostiosoite on suojattu spamboteilta. You need JavaScript enabled to view it./catalog
Tässä tapauksessa henkilö ohjattaisiin IP-osoitteeseen 66.161.153.155, ei amazon.com. Jos näet linkin/URL:n, jossa on ”@”-merkki, ole erityisen varovainen. Huijarit käyttävät tätä URL-osoitteen manipulointitaktiikkaa rutiininomaisesti.
Arvio: -
Entä jos näet tämän URL-osoitteen linkissä? http://209.131.36.158/amazon.com/index.jsp
Tämä URL on toiminnaltaan jokseenkin samanlainen kuin edellä kohdassa 3 mainittu URL. Henkilö ohjataan IP-osoitteeseen, ei amazon.com:iin, joka on lueteltu ensimmäisen yksittäisen kauttaviivan jälkeen.
Arviointi: -
Mitä jos näet alla olevan kaltaisen URL-osoitteen, tai kun katsot verkkosivun latautumista, näet URL-palkissa jotain tämän kaltaista? http://www.google.com/url?q=http://www.badsite.com
Tässä esimerkissä näkyy URL-osoite, joka ohjaisi henkilön yhdeltä sivustolta (tässä tapauksessa google.com) toiselle sivustolle, badsite.com (huomaa ”=http://”-nimikkeistö, joka mahdollistaa tämän). Viittaukset eivät sinänsä ole pahasta, mutta viittaus voi johtaa phishing-sivustolle. Tässä tapauksessa badsite.com ei näytä olevan laillinen.
Arviointi:
Tiesitkö?
Kävelet verkkosivustolla ja näet URL-osoitteessa ”www1” tai ”www2” (tai muun numeron). Mitä tämä tarkoittaa? Jotkin verkkosivut voivat olla hyvin suosittuja, ja siksi niillä on useita palvelimia, jotka työskentelevät kuorman tasapainottamiskokoonpanossa tarjotakseen sisältöä pyydettäessä. Jotkut yritykset haluavat numeroida palvelimensa. Jos siis näet www1:n tai www2:n (tai muun www-numeron), näet vain, mikä palvelin # useista palvelimista tarjoaa sisältöä. Phishingin osalta www1:n, www2:n jne. näkeminen ei sinänsä ole osoitus phishing-sivustosta.
Kävelet verkkosivustolla ja näet URL-osoitteessa ”www1” tai ”www2” (tai muun numeron). Mitä tämä tarkoittaa? Jotkin verkkosivut voivat olla hyvin suosittuja, ja siksi niillä on useita palvelimia, jotka työskentelevät kuorman tasapainottamiskokoonpanossa tarjotakseen sisältöä pyydettäessä. Jotkut yritykset haluavat numeroida palvelimensa. Jos siis näet www1:n tai www2:n (tai muun www-numeron), näet vain, mikä palvelin # useista palvelimista tarjoaa sisältöä. Phishingin osalta www1:n, www2:n jne. näkeminen ei sinänsä ole osoitus phishing-sivustosta.
Voidakseen auttaa käyttäjiä määrittämään nopeasti URL-osoitteen sisältämät ylimmän tason ja toissijaiset verkkotunnukset jotkin yritykset ja organisaatiot ovat ryhtyneet käyttämään ”verkkotunnuksen korostusta”. Kun käyttäjä vierailee sivustolla, osa URL-osoitteesta himmenee muutaman sekunnin kuluttua, jolloin ylätason ja toissijaiset verkkotunnukset jäävät pimeiksi. Esimerkiksi:
On aina hyvä etsiä merkkejä laillisesta, turvallisesta sivustosta: suljettu riippulukko, https:// ja yrityksen nimi korostettuna vihreällä URL-osoitteessa (kuten yllä olevassa PayPal-esimerkissä). Jos sivuston varmenne on vanhentunut tai muuten virheellinen, jotkin selaimet, kuten Internet Explorer ja Firefox, tai tietoturvapalvelut varoittavat käyttäjiä. Henkilö saattaa miettiä, onko turvallista jatkaa varoituksen läpi. Käytä tässä tapauksessa muita käytettävissä olevia indikaattoreita (tarkista URL-osoite uudelleen), jotta voit määrittää, onko sivusto laillinen. Jos olet epävarma, älä jatka.
Johtopäätös
Phishing on edelleen maailmanlaajuinen ongelma, jota pahentavat käyttäjät, jotka eivät ole tietoisia phishing-taktiikoista, yhä kehittyneemmät phishing-menetelmät ja nyt yhä useammat yleiset huipputason verkkotunnukset. Vaikka sähköpostiviesteissä olevat linkit eivät ole ainoa tapa, jota huijaajat käyttävät, se on hyvin yleinen. Phishingin aiheuttamien riskien vähentämiseksi on välttämätöntä osata tulkita linkkejä ja niihin liittyviä URL-osoitteita.
Jos olet kiinnostunut oppimaan lisää sosiaalisesta manipuloinnista, tietoisuudesta ja koulutuksesta sekä riskinarviointipalveluista, ota meihin yhteyttä jo tänään.