• Etusivu
  • Tietoa KRP:stä »
    • Organisaatio
    • Henkilöstö
    • Rekrytointi
    • Arvot ja visio
    • Toiminnan suunnittelu ja seuranta
    • Rikosmuseo
    • Julkaisut ja raportit
    • Uhrintunnistus
    • Asiakirjahinnasto
    • Laskutustiedot
  • Rikostorjunta »
    • Järjestäytynyt rikollisuus
    • Talousrikokset
    • Tietotekniikkarikokset »
      • Tietotekniikkarikosten tunnusmerkistöjä
      • Nettivinkki
    • Huumausainerikollisuus
    • Huijaukset
    • Ihmiskauppa
    • Lapsipornografiasivuille pääsyn estäminen
  • Rikosilmiöitä »
    • Muuli-ilmiö
    • Maksukorttirikollisuus
    • Tietorikoksia
    • Ajoneuvorikollisuus 2012
    • Sähköpostihuijauksia
    • Nettiauervaara huijaa kukkasin
  • Rahanpesun torjunta »
    • Rahanpesun selvittelykeskus
    • Rahanpesuilmoituksen tekeminen »
      • Ilmoitusvelvolliset
      • XML-skeema
    • Kansainvälinen yhteistyö
    • Julkaisut »
      • Vuosikertomukset
    • Linkit
  • Kansainvälinen toiminta »
    • Oikeus- ja virka-apu
    • Kansainväliset yhteistyökanavat »
      • Infra-Red
    • Poliisin yhdyshenkilöt
  • Rikostekninen laboratorio
  • Yhteystiedot »
  • Yritysturvallisuus »
    • Toimintamalli
    • Kysymyssarja

Identiteettirikokset ja kohdistetut hyökkäykset tietorikosten nousevia ilmiöitä

Tietoverkoissa toimivilla ammattirikollisilla on sama tavoite kuin yleensäkin järjestäytyneellä rikollisuudella: saada toiminnasta mahdollisimman suuri taloudellinen hyöty. Kauppatavarana verkossa on tieto.

Taloudellista hyötyä tavoitteleviin rikoksiin kuuluu joukko erilaisia ilmiöitä, joissa sekä tekotavat että rikollinen ”liiketoimintamalli” eroavat suuresti. Yhteistä kaikille on kuitenkin tietty ammattimaisuus. Pelkkä tietomurron kaltainen ”nörttirikos” ei vielä riitä rikoshyödyn hankkimiseen, vaan vasta nörttirikoksella kaapatun tiedon myynti tai hyväksikäyttö tuottaa rikollisille tuloa. Rikosten tekemiseen tarvitaan siten monenlaista osaamista. Toisin kuin reaalimaailman rikollisryhmissä, verkossa järjestäytyneellä mallilla tehtyjä rikoksia toteutetaan löyhissä alihankintaverkostoissa. Ryhmillä ei ole selkeää hierarkiaa eivätkä alihankintaketjun eri toimijat välttämättä tunne toisiaan muutoin kuin verkkoidentiteetillä. 

Tietoverkko on nykyisellään toimiva alusta rikoshyödyn hankkimiseen. Hyöty on erityisen suuri suhteutettuna siihen, että kiinnijäämisriski on pieni ja myös rikoksen toteuttamiskustannukset ovat usein pienet verrattuna reaalimaailman rikoksiin.

Kiinnijäämisen riskin hallitsemiseksi rikokset tehdään murrettujen koneiden kautta. Tällöin vastatoimenpiteet kohdistuvat ensi vaiheessa murrettuun koneeseen ja sen haltijaan. Rikoksen tekijä saa häivytettyä jälkensä. Rikosten toteutuskustannuksia taas pienentää pitkälle viety automaatio. Tietorikoksissa ei välttämättä tarvita paljon kallista ihmistyötä, vaan tiedon oikeudettoman keruun voi pitkälti automatisoida.

Identiteettivarkaudet

Nouseva ilmiö ovat erilaiset identiteettivarkaudet, joissa automatisoidusti tunnistettavaa tietoa - kuten luottokorttidataa, verkon palveluiden tunnuksia salasanoineen tai sähköpostiosoitteita - kaapataan rikollisten haltuun massoittain.

Yleiskielessä identiteettivarkauksiksi kutsutut ilmiöt eivät itse asiassa ole varkauksia lainkaan. Identiteettiä ei oteta pois tekijän hallusta. Rikollinen ainoastaan kopioi identiteetin haltijuuden osoittavan tiedon myös omaan käyttöönsä.

Kaappaus tehdään tyypillisesti käyttäjän työasemassa toimivalla haittaohjelmalla, joka voi kirjata talteen käyttäjän näppäinpainalluksia tai käyttäjän itse www-lomakkeelle syöttämää tietoa. Tekotavan ”liiketoimintalogiikka” perustuu suuriin lukuihin. Vaikka yhdestä luottokorttinumerosta suojatekijöineen ei vielä paljoa maksetakaan, verkossa luottokorttidataa voidaan kerätä sadoin tuhansin kappalein.

Luottokorttijärjestelmä suojaa yksittäistä kortinhaltijaa vahingolta hyvin, mutta henkilötiedon väärinkäytöltä suojautuminen on vielä yksittäisen rikosuhrin kannalta hankalaa. Euroopan tasolla on kuitenkin käynnissä useita hankkeita, jotka tulevat parantamaan rikosuhrin asemaa.

Suomessa ilmiön torjuntaa hankaloittaa se, ettei tiedon kaappaamista asioinnin yhteydessä ole säädetty kategorisesti rangaistavaksi. Viestintäsalaisuuden loukkauksen tunnusmerkistö on laadittu aikana, jolloin tekotavat olivat toisenlaisia. Sekä tietojärjestelmään tallennettu tieto että avoimessa tietoverkossa kuljetettuna oleva tieto saavat lain suojan, mutta tunnusmerkistöä ei voida soveltaa nykyisin tekotapoihin, jossa tieto kaapataan koneen sisäisestä prosessoinnista.

Kohdistetut hyökkäykset

Siinä missä identiteettivarkauksissa rikollisille kelpaa mikä tahansa helposti kaapattava tieto, kohdistetuissa hyökkäyksissä rikoshyödyn välineenä on jokin tietty huolella suojattu tieto. Tällaisen yksittäisen tiedon arvo on suuri ja sen hankkimiseksi tarvittava työ olennaisesti kalliimpaa kuin identiteettivarkauksien toteuttaminen.

Suurin osa (havaituista!) tietokaappausyrityksistä on tehty tietoa keräävän haittaohjelman avulla. Haittaohjelma voi tallettaa näppäinpainalluksia, ottaa kaappauksia käyttäjän ruutunäkymistä sekä kerätä talteen käyttäjän toimistodokumentit kaikilta niiltä levyiltä, jonne käyttäjä pääsee ilman eri tunnistautumista. Mitä laajemmin haavoittuvalta työasemalta pääsee käyttäjän oikeuksin organisaation keskeiseen tietoon käsiksi, sitä laajemmin hyökkäyksen tekijäkin saa tietoa haltuunsa.

Haittaohjelmien toimittamisessa organisaation sisäverkkoon nousee esille kaksi pääasiallista tekotapaa, sähköposti sekä USB-muistiväline.

Sähköpostissa sinänsä ei ole mitään sellaista suunnitteluvirhettä, joka tekisi siitä erityisen houkuttelevan välineen tiedonkaappauksiin. Rikolliset käyttävät sähköpostia, koska jokainen organisaatio ottaa postia vastaan, mutta vain harva organisaatio on aidosti erotellut sähköpostin käsittely-ympäristön muun tietopääoman käsittelystä.

Erityisesti on syytä korostaa, että vastaanottaja, joka avaa haitallisen liitteen, ei syyllisty laiminlyöntiin saati toimi harkitsemattomasti, sillä haittaohjelman sisältävät viestit laaditaan hyvin huolellisesti. Varsinainen vika on nykyisessä tietoturvamallissa, joka ei juurikaan suojaa kohdistetuilta tietokaappauksilta. Nykymalli mahdollistaa lähinnä tökerösti ja huomiota herättävästi toteutettujen mutta jokseenkin harmittomien hyökkäysten havaitsemisen ja torjumisen. 

Nykytilanteen korjaamiseksi on tehtävissä paljon. Tällä hetkellä tietorikokset tekee erityisen kannattaviksi puutteellinen tietojenkäsittely-ympäristön hallinta. Toimisto-ohjelmista, www-selaimista sekä niiden apuohjelmista käytetään monissa organisaatioissa tunnetusti haavoittuvia versioita, joiden kautta on kohtalaisen helppoa päästä kohdeorganisaation toimistoverkkoon. Jos organisaatio suojautuu ulkomaailman uhilta vain verkon reunalla, sisäverkossa toimiva tietokeräin pystyy varsin vapaasti kokoamaan kaiken haluamansa tiedon. Mitä paremmin keskeinen tieto on suojattu, sitä hankalampaa ja kalliimpaa sen kaappaaminen on.

Oman tietopääomansa organisaatio voi luonnollisesti tuntea vain itse. Sen sijaan suojausten parantamiseen on saatavilla tietoturvateollisuuden, muun tietoturvayhteisön sekä myös viranomaisen tuottamaa tietoa. Viestintäviraston tietoturvayksikkö CERT-FI tunnistaa ohjelmistohaavoittuvuuksia ja julkistaa korjaustietoa, joka auttaa organisaatioita oman ympäristön suojaamisessa.