Mitä ovat istunnon kaappaukset ja miten ne toimivat?

Verkkosivustoihin tai portaaleihin kirjautuminen on päivittäinen osa internetin käyttöä useimmille ihmisille. Aina kun kirjaudut verkkosivustolle, luodaan istunto. Istunto on yhteys kahden järjestelmän välillä. Se pysyy aktiiviisena, kunnes käyttäjä päättää lopettaa sen. Istunnon avaaminen on oleellista internet-yhteyksien kannalta, mutta ne myös avaavat riskin istuntojen kaappauksille. Lue lisää istuntojen kaappaamisesta ja siitä, miten se tapahtuu ja miten voit suojata itsesi siltä.

Mitä on istuntojen kaappaaminen?

Istuntojen kaappaaminen (toiselta nimeltään evästekaappaukset, evästepuolen kaappaukset tai TCP-istuntojen kaappaukset) tarkoittavat sitä, että hyökkääjä ottaa internet-istuntosi haltuunsa. Näin voi käydä, kun teet ostoksia verkossa, maksat laskua tai tarkistat pankkitilisi saldoa. Istuntojen kaappaajat yleensä kohdistavat iskunsa selaimeen tai verkkosovelluksiin, ja heidän tarkoituksensa on saada selausistunto hallintaansa, jotta voivat päästä käsiksi henkilökohtaisiin tietoihisi ja salasanoihisi.

Istunnon kaappaajat huijaavat verkkosivustot kuvittelemaan, että ovat yhteydessä sinuun. Tällaisilla hyökkäyksillä voi olla vakavia seuraamuksia turvallisuudelle, sillä niiden avulla hyökkääjät voivat saada luvattomasti pääsyn suojatuille tileille (ja niiden sisältämälle datalle) tekeytymällä oikeiksi käyttäjiksi.

Mikä on istunto?

Aina kun käyttäjä käyttää verkkosivustoa tai sovellusta HTTP-yhteyden kautta, palvelu todentaa käyttäjän (esimerkiksi käyttäjän ja salasanan avulla), ennen kuin se avaa viestintäyhteyden ja antaa pääsyn. HTTP-yhteydet itsessään ovat kuitenkin ”tilattomia”, mikä tarkoittaa, että kaikkia käyttäjän toimintoja käsitellään erillisinä. Tästä seuraa, että jos nojattaisiin vain HTTP-protokollaan, käyttäjien tulisi aina todentaa itsensä uudelleen, kun tekevät jonkin uuden toiminnon tai katselevat uutta sivua.

Tämä olisi epäkäytännöllistä, mutta onneksi istuntojen avulla asia voidaan ratkaista. Istunto luodaan sivustoa tai sovellusta isännöivällä palvelimella, kun käyttäjä kirjautuu sisään. Tämän jälkeen kyseinen istunto toimii viittauksena alkuperäiseen todennukseen. Käyttäjät voivat pysyä todennettuina niin pitkään kuin istunto pysyy avoimena palvelimella, ja he voivat lopettaa istunnon kirjautumalla ulos palvelimesta. Osa palveluista lopettaa istunnon, kun se on ollut käyttämättömänä jonkin aikaa.

Monet palvelut luovat istuntoja määrittämällä istunnon tunnuksen, joka on numeroita ja kirjaimia sisältävä merkkijono, mitä tallennetaan tilapäisissä istunnon evästeissä, URL-osoitteissa tai verkkosivuston piilotetuissa kentissä. Joissain tapauksissa (ei kaikissa), istunnon tunnukset salataan. Usein istunnon tunnukset perustuvat ennakoitavissa oleviin tietoihin, kuten käyttäjän IP-osoitteeseen.

Miten istuntojen kaappaus toimii?

Tässä on hypoteettinen esimerkki siitä, miten istunnon kaappaus saattaisi tapahtua:

Vaihe 1: Internet-käyttäjä kirjautuu tililleen normaaliin tapaan. 

Kyseessä voi olla verkkopankki tai luottokorttitili, verkkokauppa, sovellus tai portaali. Sovellus tai verkkosivusto asentaa tilapäisen istuntoevästeen käyttäjän selaimeen. Kyseinen eväste sisältää käyttäjästä tietoja, joiden avulla sivusto voi pitää käyttäjän todennettuna ja kirjautuneena ja seurata käyttäjän toimintaa istunnon aikana. Istunnon eväste säilyy selaimessa, kunnes käyttäjä kirjautuu ulos (tai on automaattisesti kirjattu ulos ennen tiettyä käyttämättömyysaikaa).

Vaihe 2: Rikollinen saa pääsyn internet-käyttäjän istuntoon. 

Kyberrikolliset käyttävät erilaisia keinoja istuntojen varastamiseen. Usein istuntojen varastamiseen liittyy käyttäjän istunnon evästeen varastaminen, istunnon tunnuksen löytäminen evästeen sisältä ja näiden tietojen käyttäminen istunnon kaappaamiseen. Istunnon tunnusta kutsutaan myös istunnon avaimeksi. Kun rikollinen saa istunnon tunnuksen tietoonsa, hän voi kaapata istunnon ilman, että sitä havaitaan.

Vaihe 3: Istunnon kaappaaja hyötyy istunnon varastamisesta.

Kun alkuperäinen internet-käyttäjä on jatkanut matkaansa verkossa, kaappaaja voi käyttää käynnissä olevaa istuntoa erilaisten haitallisten tekojen tekemiseen. Tähän voi sisältyä rahan varastaminen käyttäjän pankkitililtä, tuotteiden varastaminen, omien tietojen käyttäminen identiteettivarakuteen tai tärkeiden tietojen salaaminen ja lunnaiden vaatiminen niiden palauttamisesta.

Istuntojen kaappaushyökkäykset kohdistuvat useimmiten kiireisiin verkkoihin, joissa on paljon aktiivisia tietoliikenneyhteyksiä. Tämä tarjoaa hyökkääjälle lukuisia hyväksikäytettäviä istuntoja ja jopa suojaa hyökkääjää, sillä palvelimen aktiivisten istuntojen määrä vaikeuttaa hyökkäyksen havaitsemista.

Istunnon kaappaamisen tyypit

Sivustojen väliset komentosarjahyökkäykset
Sivustojen välinen komentosarjahyökkäys on hyökkäys, jossa kyberrikolliset yrittävät hyödyntää verkkopalvelimen tai sovelluksen suojauksessa olevia heikkoja kohtia. Sivustojen välisiin komentosarjahyökkäyksiin liittyy komentosarjojen sijoittaminen verkkosivuihin. Tämä voi saada aikaan sen, että verkkoselaimesi paljastaa istuntosi avaimen hyökkääjälle ja ottaa istunnon käyttöönsä.

Istuntopuolen kaappaaminen (tunnetaan myös istuntojen salakuunteluna)
Tällaisessa hyökkäyksessä rikollinen tarvitsee pääsyn käyttäjän verkkoliikenteeseen. Pääsy voidaan saada, kun käyttäjä käyttää suojaamatonta Wi-Fiä, tai tekemällä väliintulohyökkäys. Istuntopuolen kaappauksissa rikolliset valvovat Internet-käyttäjien verkkoliikennettä salakuuntelulla, jotta löytäisivät istuntoja. Näin hyökkääjä voi saada käyttöönsä istunnon evästeen ja käyttää sitä istunnon ottamisessa haltuun.

Istunnon tunnuksen varaaminen (ns. session fixation) 
Tällaisessa hyökkäyksessä rikollinen luo istunnon tunnuksen ja hämää käyttäjän aloittamaan istunnon sen avulla. Tämä voidaan tehdä lähettämällä käyttäjälle sähköposti, jossa on linkki kirjautumislomakkeeseen verkkosivustolla, jolle käyttäjä haluaa pääsyn. Käyttäjä kirjautuu sisään väärennetyllä istunnon tunnuksella ja tarjoaa näin hyökkääjälle pääsyn sivustolle.

Selaimen väliintulohyökkäys
(ns. Man-in-the browser) Tämä muistuttaa väliintulohyökkäystä, mutta hyökkääjän on ensin tartutettava uhrin tietokoneeseen troijalainen. Kun uhri on houkuteltu asentamaan haittaohjelma järjestelmään, haittaohjelma odottaa, että uhri käy kohdesivustolla. Tällainen selaimen väliintulohyökkäys voi näkymättömällä tavalla muokata tapahtumatietoja ja myös luoda lisätapahtumia käyttäjän tietämättä. Koska pyynnöt alkavat uhrien tietokoneista, verkkopalvelun on hankala havaita, että pyynnöt ovat virheellisiä.

Pääteltävissä olevat istuntojen token-tunnukset
Monet verkkopalvelimet käyttävät omaa algoritmia tai aiemmin määritettyä kaavaa istunnon tunnusten luomiseen. Mitä ennakoitavampi istunnon token on, sitä heikompi se on. Jos hyökkääjät voivat kaapata useita tunnuksia ja analysoida niiden muodostamiseen käytettävää kaavaa, he voivat ennakoida kelvollisen istunnon tunnuksen. (Tätä lähestymistapaa voi verrata väsytyshyökkäykseen.)

Miten istuntojen kaappaukset poikkeavat istuntohuijauksista?

Istuntojen kaappaukset ja istuntohuijaukset muistuttavat toisiaan, mutta kyse ei ole samanlaisesta hyökkäyksestä. Suurin ero näiden kahden välillä on, että istuntojen kaappaukset tapahtuvat, kun käyttäjä on jo kirjautunut verkkosivustolle. Istuntohuijaukset puolestaan liittyvät siihen, kun hyökkääjät tekeytyvät käyttäjäksi aloittaakseen uuden verkkoistunnon (tämä tarkoittaa, että käyttäjän ei tarvitse olla kirjautuneena kyseisenä aikana).

Näiden ero on siinä, että käyttäjät kokevat hyökkäykset eri tavalla. Istuntojen kaappauksissa istunnon keskeyttävä hyökkääjä voi saada verkkosivuston tai sovelluksen toimimaan epätavallisella tavalla tai jopa kaatumaan. Koska käyttäjä ei ole aktiivisesti kirjautunut sisään istuntohuijauksessa, käyttäjä ei koe häiriöitä seuraavan istunnon aikana.

Istunnon kaappaushyökkäysten vaikutus

Istunnon kaappauksen torjumatta jättämiseen liittyy monia riskejä. Näihin uhkiin sisältyvät seuraavat:

Identiteettivarkaus 

Saamalla luvattoman pääsyn tilille tallennettuihin henkilökohtaisiin tietoihin, hyökkääjät voivat varastaa uhrien identiteetin myös muualla kuin kyseisellä hakkeroidulla verkkosivustolla tai sovelluksessa.

Taloudelliset rikokset

Istunnon kaappauksen avulla hyökkääjät voivat yrittää tehdä taloudellisia tapahtumia käyttäjän puolesta. Näihin voi sisältyä rahan siirtäminen pankkitililtä tai ostosten tekeminen tallennetuilla maksutiedoilla.

Haittaohjelman aiheuttama tartunta

Jos hakkeri saa varastettua käyttäjän istunnon tunnuksen, he voivat myös tartuttaa käyttäjän tietokoneeseen haittaohjelmia. Tämä sallii heidän ottaa haltuunsa kohdetietokoneen ja varastaa sen tiedot.

Palvelunestohyökkäykset

Käyttäjän istunnon haltuunsa saava hakkeri voi käynnistää palvelunestohyökkäyksen sitä verkkosivustoa tai palvelinta vastaan, johon on muodostanut yhteyden. Tämä voi häiritä palvelua tai aiheuttaa sivuston kaatumisen.

Muiden järjestelmien käyttäminen kertakirjautumisten avulla.

Kertakirjautumiset ovat käteviä, mutta niihin liittyy myös riskejä. Hyökkääjät voivat saada luvattoman pääsyn muihin järjestelmiin, jos kertakirjautuminen on käytössä. Tämä laajentaa istunnon kaappaushyökkäyksen potentiaalista riskiä. Tämä riski on erityisen oleellinen organisaatiossa, sillä monet organisaatiot ovat ottaneet kertakirjautumisen käyttöön työntekijöilleen. Tämä tarkoittaa pohjimmiltaan sitä, että jopa erittäin hyvin suojatut järjestelmät, joissa on käytetään vahvoja todennusprotokollia ja vähemmän ennakoitavissa olevia istuntoevästeitä (esim. talous- ja asiakastietoja sisältävät järjestelmät), saattavat olla vain niin hyvässä turvassa kuin mikä on koko järjestelmän suojauksen heikoin lenkki.

Esimerkkejä istunnon kaappaushyökkäyksistä

Zoom-pommitukset
Covid-19-pandemian aikana Zoomin kaltaisten videoneuvotteluohjelmien käyttö kasvoi valtavasti. Näistä sovelluksista tuli myös suosittuja kohteita istuntojen kaappaajille, mistä syystä hyökkäyksille keksittiin jopa lempinimi Zoom-pommitus. Uutisraporteissa kerrottiin, kuinka istuntojen kaappaajat olivat päässeet liittymään yksityisiin videoistuntoihin. Joissain tapauksissa kaappaajat olivat huutaneet hävyttömyyksiä, puhuneet vihamielisesti tai jakaneet pornografista materiaalia istunnoissa. Näiden hyökkäysten johdosta Zoom lisäsi yksityisyyden suojaa riskien pienentämiseksi.

Slack
Vuonna 2019 ohjelmistovirheiden selvityssivustolla toimivat tutkijat tunnistivat Slack-ohjelmiston haavoittuvuuden, joka salli hyökkääjien pakottaa käyttäjät käyttämään väärennettyjä istuntojen uudelleenohjauksia istuntoevästeiden varastamiseen. Näin hyökkääjät saivat käyttöönsä Slackissa jaetun datan (mikä on hyvin tärkeää ja arvokasta useissa organisaatioissa). Slack reagoi nopeasti tähän paikkaamalla haavoittuvuuden 24 tunnin kuluessa sen löytymisestä.

GitLab

Vuonan 2017 tietoturvatutkija tunnisti GitLabissa haavoittuvuuden, jonka kautta käyttäjien istuntojen tokenit olivat käytettävissä suoraan URL-osoitteen kautta. Jatkotutkimuksissa havaittiin GitLabin myös käyttäneen pysyviä istunto-tokeneita, jotka eivät koskaan vanhentuneet. Tämän seurauksena istunnon tokenin kerran käyttöönsä saanut hyökkääjä saattoi jatkaa sen käyttöä ilman, että se olisi vanhentunut myöhemmin. Tällainen avoimuuden ja pysyvien tokenien yhdistelmä oli merkittävä turvallisuusriski, joka altisti käyttäjät useille vakaville väsytyshyökkäyksiä hyödyntäville istuntojen kaappausyrityksille. GitLab korjasi haavoittuvuuden muuttamalla tapaa, jolla tokeneita käytetään ja tallennetaan.

Miten istuntojen kaappaukset voidaan estää?

Näitä vihjeitä noudattamalla voit estää istuntojen kaappaukset ja parantaa verkon suojaustasi:

Vältä julkisia Wi-Fi-verkkoja
Vältä tärkeiden tapahtumien, kuten pankkitoimintojen tai verkko-ostosten tekemistä tai sähköposti- tai some-tileillesi kirjautumista julkisissa Wi-Fi-verkoissa. Lähistöllä voi olla kyberrikollinen, joka yrittää salakuuntelemalla löytää istuntojen evästeitä ja muita tietoja.

Käytä VPN:ää
If Jos sinun on käytettävä julkaista Wi-Fi-verkkoa, käytä VPN-verkkoa turvallisuuden maksimoimiseen ja istuntojen kaappaajien pitämiseen loitolla. VPN piilottaa IP-osoitteesi ja pitää verkkotoimintasi yksityisenä luomalla yksityisen tunnelin, jonka kautta verkon käyttösi tapahtuu. VPN salaa lähettämäsi ja vastaanottamasi tiedot.

Ole varuillasi tietojenkalastelun ja muiden verkkohuijausten varalta
Vältä klikkaamasta sähköpostien linkkejä, ellet tiedä niiden olevan peräisin luotettavilta lähettäjiltä. Istunnon kaappaajat voivat lähettää sinulle sähköpostin, joka sisältää klikattavan linkin. Linkki voi asentaa haittaohjelman laitteeseesi tai siirtää sinut kirjautumissivulle, jolla voit kirjautua sivustolle käyttämällä hyökkääjän valmistelemaa istunnon tunnusta.

Tarkkaile sivustojen suojausta
Hyvämaineisilla pankeilla, sähköpostipalveluiden tarjoajilla, verkkokauppiailla ja some-sivustoilla on tapoja toimia istuntojen kaappauksia vastaan. Tutki, että verkkosivustojen URL-osoitteen alussa on HTTPS. Kirjain ”s” tarkoittaa suojattua (secure). Jos käytät suojaamattomia verkkokauppoja tai muita tarjoajia, joilla ei ole tehokasta suojausta, saatat jättää itsesi istunnon kaappaushyökkäyksen armoille.

Käytä virustorjuntaohjelmistoa 
Asenna tunnettu virustorjuntaohjelmisto, joka voi helposti havaita virukset ja suojata sinut haittaohjelmilta (mukaan lukien haittaohjelmat, joilla hyökkääjät yrittävät kaapata istuntojasi). Pidä järjestelmäsi ajan tasalla määrittämällä automaattiset päivitykset käyttöön kaikissa laitteissa.

Aiheeseen liittyvät tuotteet:

• Kaspersky Premium
• Kaspersky Password Manager
• Kaspersky Secure Connection

Lisäluettavaa:

• SQL-koodi-injektiot ja niiden estäminen
• VPN vai välityspalveli: kumpaa tulisi käyttää?
• Kyberhyökkäysten estäminen