Siirry pääsisältöön
resources

Mitä klikkauksettomat haittaohjelmat oikein ovat ja kuinka klikkauksettomat hyökkäykset toimivat?

Viime vuosina klikkauksettomia hyökkäyksiä on päätynyt aika ajoin julkisuuteen. Kuten nimikin kertoo, klikkauksettoman hyökkäyksen onnistuminen ei vaadi uhrilta mitään toimia, joten kokeneinkin käyttäjä voi joutua vakavan kyberhakkeroinnin ja erilaisten vakoiluohjelmatyökalujen uhriksi.

Klikkauksettomat hyökkäykset ovat tyypillisesti erittäin tarkkaan kohdistettuja, ja niissä käytettävät taktiikat ovat varsin kehittyneitä. Seuraukset uhrille voivat olla erittäin tuhoisia, eikä hän edes välttämättä tiedä, että jotain epäilyttävää on meneillään. Termejä klikkaukseton hyökkäys, klikkaukseton hyväksikäyttö ja zero-click-haavoittuvuus käytetään usein samassa merkityksessä. Niitä kutsutaan myös vuorovaikutuksettomiksi tai täysin etänä tapahtuviksi hyökkäyksiksi.

Mitä ilman klikkauksia asentuvat haittaohjelmat eli zero-click-haittaohjelmat oikein ovat?

Vakoiluohjelmat perustuvat perinteisesti siihen, että kohteena oleva henkilö saadaan klikkaamaan vaarallista linkkiä tai tiedostoa, jolloin haittaohjelma pääsee asentumaan puhelimeen, tablettiin tai tietokoneeseen. Klikkauksettomassa hyökkäyksessä eli zero-click-hyökkäyksessä ohjelmisto voi asentua laitteeseen ilman, että käyttäjä klikkaa linkkiä. Tämän vuoksi klikkauksettomasti asentuva haittaohjelma on huomattavasti vaarallisempi.

Koska vuorovaikutusta on klikkauksettomissa hyökkäyksissä vähemmän, haitallisesta toiminnasta jää myös vähemmän jälkiä. Tällä tavalla hyödynnettävät haavoittuvuudet ovat myös verrattain harvinaisia, joten ne ovat kyberrikollisille erityisen arvokkaita.

Jo perustason klikkaukseton hyökkäys jättää hyvin vähän jälkiä, joten niiden havaitseminen on erittäin hankalaa. Juuri ne samat ominaisuudet, jotka tekevät ohjelmistosta turvallisempia, voivat usein tehdä klikkauksettomista hyökkäyksistä hankalampia havaita.  Klikkauksettomia hyökkäyksiä on tehty jo vuosia, mutta älypuhelinten ja niiden sisältämien valtavien henkilötietomäärien myötä ongelma on yleistynyt. Sekä yksityishenkilöt että organisaatiot ovat yhä riippuvaisempia mobiililaitteista, joten tarve pysyä klikkauksettomien hyökkäysten tasalla on akuutimpi kuin koskaan.

Miten klikkaukseton hyökkäys toimii?

Tyypillisesti mobiililaitteen saastuttaminen etäyhteyden välityksellä edellyttää jonkinlaista sosiaalista manipulointia, eli käyttäjän on klikattava haitallista linkkiä tai asennettava haitallinen ohjelmisto, joka mahdollistaa hyökkäyksen. Klikkauksettomissa hyökkäyksissä näin ei kuitenkaan ole, sillä sosiaalista manipulointia ei tarvita lainkaan.

Klikkauksettomassa hakkeroinnissa hyödynnetään laitteen puutteita, eli pääsy järjestelmään tapahtuu tiedon varmentamiseen liittyvän porsaanreiän kautta. Useimmissa ohjelmissa kybermurrot estetään tiedon varmennukseen liittyvien prosessien avulla. On kuitenkin olemassa sitkeitä nollapäivähaavoittuvuuksia, joita ei vielä ole korjattu, ja ne voivat toimia erittäin tuottoisina kohteina kyberrikollisille. Taitava hakkeri voi hyödyntää näitä nollapäivähaavoittuvuuksia sellaisten kyberhyökkäysten toteuttamiseen, joissa käyttäjän toimia ei tarvita lainkaan.

Klikkauksettomat hyökkäykset kohdistuvat usein sovelluksiin, joissa on viesti- tai äänipuheluominaisuuksia, koska tällaiset palvelut on suunniteltu vastaanottamaan ja tulkitsemaan epäluotettavista lähteistä peräisin olevaa dataa. Hyökkääjät ujuttavat yleensä laitteen vaarantavan koodin laitteeseen käyttämällä tietyllä tavalla muotoiltua dataa, kuten piilotekstiviestejä tai kuvatiedostoja.

Klikkaukseton (zero-click) hyökkäys voi toimia esimerkiksi näin:

  • Kyberrikolliset havaitsevat haavoittuvuuden sähköposti- tai viestisovelluksessa.
  • He hyödyntävät haavoittuvuutta lähettämällä kohteelle tarkkaan laaditun viestin.
  • Haavoittuvuuden ansiosta haitalliset toimijat voivat etätartuttaa laitteen sähköposteilla, jotka kuluttavat huomattavan määrän muistia.
  • Hakkerin sähköpostiosoite, viesti tai puhelu ei välttämättä jää laitteelle.
  • Hyökkäyksen seurauksena kyberrikolliset voivat lukea, muokata, vuotaa tai poistaa viestejä.

Hakkeroinnissa voidaan käyttää verkkopaketteja, todennuspyyntöjä, tekstiviestejä, MMS-viestejä, ääniviestejä, videoneuvotteluistuntoja tai puheluita taikka esimerkiksi Skypen, Telegramin tai WhatsAppin välityksellä lähetettäviä viestejä. Ne kaikki voivat hyödyntää haavoittuvuutta sellaisessa sovelluksen koodissa, jonka tehtävä on käsitellä tietoja.

Koska viestisovelluksissa ihmiset voidaan tunnistaa helposti paikannettavien puhelinnumeroiden perusteella, tämä tekee niistä ilmeisiä kohteita niin poliittisille tahoille kuin kaupallisille hakkerointitoimillekin.

Klikkauksettomien hyökkäysten yksityiskohdat vaihtelevat sen mukaan, mitä haavoittuvuutta hyödynnetään. Klikkauksettomien hakkerointien keskeinen piirre on se, että jälkiä ei juuri jää, ja siksi niitä on vaikea havaita. Se tarkoittaa, että tekijän ja tarkoituksen selvittäminen ei myöskään ole helppoa. Raporttien mukaan tiedustelupalvelut eri puolilla maailmaa käyttävät niitä epäiltyjen rikollisten ja terroristien viestien sieppaamiseen ja valvontaan.

Klikkaukseton hyökkäys voi alkaa harmittoman oloisesta viestistä tai vastaamattomasta puhelusta.

Esimerkkejä klikkauksettomasti asentuvista haittaohjelmista

Klikkaukseton haavoittuvuus voi vaikuttaa useisiin eri laitteisiin Applesta Androidiin. Julkisuudessa olleita esimerkkejä klikkauksettomista hyökkäyksistä:

Applen laitteisiin kohdistettu klikkaukseton hyökkäys, 2021:

Vuonna 2021 bahrainilaisen ihmisoikeusaktivistin iPhone hakkeroitiin kansallisvaltioille myydyn tehokkaan vakoiluohjelman avulla. Hakkeroinnin havaitsivat Citizen Labin tutkijat, jotka olivat onnistuneet murtamaan Applen asettamat piilevien vaarantumisten varalle asettamat tietoturvasuojaukset.

Citizen Lab on Toronton yliopistossa toimiva verkon toimintaa valvova tietoturvalaboratorio. Citizen Lab analysoi aktivistin iPhone 12 Pro -puhelimen ja havaitsi, että se oli hakkeroitu klikkauksettoman hyökkäyksen avulla. Klikkauksettomassa hyökkäyksessä hyödynnettiin aiemmin tuntematonta tietoturvahaavoittuvuutta Applen iMessage-ohjelmassa, jonka kautta israelilaisen NGO Groupin kehittämä Pegasus-vakoiluohjelma voitiin ujuttaa aktivistin puhelimeen.

Tapaus sai paljon medianäkyvyyttä pääosin siksi, että hakkerointi kohdistui iPhonen uusimpiin ohjelmistoversioihin, jotka olivat iOS 14.4 ja sittemmin Applen toukokuussa 2021 julkaisema iOS 14.6. Hakkerointioperaatiossa onnistuttiin ohittamaan iOS 14 -käyttöjärjestelmän kaikkiin versioihin sisäänrakennettu BlastDoor-tietoturvaominaisuus, jonka tarkoituksena on estää tällaiset laitehakkeroinnit suodattamalla haitalliset tiedot iMessagen kautta lähetettävistä viesteistä. Koska hakkerointi onnistui ohittamaan BlastDoor-ominaisuuden, se sai nimen ForcedEntry. Apple reagoi tilanteeseen päivittämällä suojausominaisuudet iOS 15 -version myötä.

WhatsApp-tietomurto, 2019:

Tämä pahamaineinen tietomurto käynnistyi vastaamattomasta puhelusta, joka hyödynsi WhatsAppin lähdekoodikehyksessä ollutta virhettä. Tämä nollapäivähyökkäys – eli aiemmin tuntematon ja korjaamaton kyberhaavoittuvuus – mahdollisti sen, että hyökkääjä saattoi lisätä vakoiluohjelman laiteiden väliseen tiedonvaihtoon vastaamattoman puhelun seurauksena. Kun vakoiluohjelma oli ladattu, se otti itsensä käyttöön taustaresurssina syvällä laitteen ohjelmistokehyksessä.

Jeff Bezos, 2018:

Saudi-Arabian kruununprinssi Muhammad bin Salmanin väitetään lähettäneen vuonna 2018 Amazonin toimitusjohtaja Jeff Bezosille WhatsApp-viestin, jossa mainostettiin Saudi-Arabian televiestintämarkkinoita. Tietojen mukaan videotiedostoon oli upotettu koodia, jonka avulla lähettäjä saattoi louhia tietoa Bezosin iPhone-puhelimesta usean kuukauden ajan. Näin siepattiin teksti-, pika- sekä sähköpostiviestejä ja mahdollisesti jopa kuunneltiin puhelimen mikrofonilla tehtyjä tallenteita.

Raven-projekti, 2016:

Raven-projektilla tarkoitetaan Arabiemiirikuntien kybervakoiluyksikköä, joka koostuu Arabiemiirikuntien tietoturvaviranomaisista ja nykyään urakoitsijoina toimivista entisistä Yhdysvaltain tiedustelupalveluhenkilöistä. Heidän väitetään käyttäneen Karma-nimistä työkalua iMessagessa olevan virheen hyödyntämiseen. Aktivistien, diplomaattien ja muunmielisten vieraan vallan johtajien iPhone-puhelimia hakkeroitiin Karman avulla tarkoitukseen erityisesti laadituilla tekstiviesteillä. Tavoitteena oli saada haltuun valokuvia, sähköpostiviestejä, tekstiviestejä ja paikkatietoja.

Suojautuminen klikkauksettomilta hyökkäyksiltä

Koska klikkauksettomassa hyökkäyksessä uhri ei vaikuta hyökkäykseen suoraan omilla toimillaan, myös suojautuminen on hankalaa. Ajatus voi olla ahdistava, mutta kannattaa kuitenkin muistaa, että tällaiset hyökkäykset kohdistuvat tavallisesti tarkkaan valikoituihin henkilöihin esimerkiksi vakoilutarkoituksessa tai taloudellisen hyödyn saamiseksi.

Pitämällä huolta perustason kyberhygieniasta voit kuitenkaan pitää itsesi mahdollisimman hyvässä suojassa verkossa. Voit tehdä esimerkiksi seuraavat varotoimet:

  • Pidä käyttöjärjestelmät, laiteohjelmat ja kaikkien laitteidesi sovellukset aina ajan tasalla.
  • Lataa sovelluksia vain virallisista kaupoista.
  • Poista kaikki sovellukset, joita et enää käytä.
  • Älä roottaa puhelintasi, sillä tällöin Applen ja Googlen suojaukset poistetaan.
  • Käytä laitteen salasanasuojausta.
  • Käytä tilien avaamiseen vahvaa todennusta, erityisesti kriittisissä verkoissa.
  • Käytä vahvoja salasanoja, esimerkiksi pitkiä ja yksilöllisiä salasanoja.
  • Varmuuskopioi järjestelmät säännöllisesti. Tämä mahdollistaa järjestelmien palauttamisen kiristyshaittaohjelmatartuntojen yhteydessä, ja ajantasainen varmuuskopio kaikesta datasta nopeuttaa palauttamista.
  • Ota ponnahdusikkunoiden esto käyttöön tai estä ponnahdusikkunoita näkymästä muokkaamalla selaimen asetuksia. Huijarit levittävät haittaohjelmia tyypillisesti ponnahdusikkunoiden avulla.

Kun käytät kattavaa virustentorjuntaa, pysyt myös paremmin turvassa verkossa. Kaspersky Total Security antaa 24/7-turvan hakkereita, viruksia ja haittaohjelmia vastaan. Mukana on myös maksusuojaus- ja yksityisyystyökalut, jotka suojaavat sinua joka kantilta. Kaspersky Internet Security for Android suojaa myös Android-laitettasi.

Aiheeseen liittyvät artikkelit:

Mitä klikkauksettomat haittaohjelmat oikein ovat ja kuinka klikkauksettomat hyökkäykset toimivat?

Klikkauksettomia vakoiluohjelmia käytettäessä vahingontekoon ei tarvita käyttäjän vuorovaikutusta. Ilman klikkauksia hyödynnettävät haavoittuvuudet, kuinka klikkaukseton hyökkäys toimii ja kuinka voit suojautua.
Kaspersky Logo