IP-huijaus: miten se toimii ja miten se voidaan estää

Huijaus on tietyntyyppinen kyberhyökkäys, jossa joku yrittää käyttää tietokonetta, laitetta tai verkkoa siten, että saisi huijattuja muut tietokoneverkot kuvittelemaan hyökkäysvälineen olevan aito laite tai verkko. Se on yksi monista työkaluista, joita hakkerit käyttävät päästäkseen tietokoneisiin louhiakseen niistä arkaluonteisia tietoja, tehdäkseen niistä zombikoneita (haitalliseen käyttöön otettuja tietokoneita) tai käynnistääkseen palvelunestohyökkäyksiä (DoS). Erilaisista huijaustavoista yleisin on IP-huijaus.

Mitä IP-huijaus on?

IP-huijaus eli IP-osoitteen huijaus viittaa Internet Protocol (IP) -pakettien luomiseen väärällä lähde-IP-osoitteella, jotta liikenteen voitaisiin osoittaa olevan peräisin toisesta tietokonejärjestelmästä. IP-huijauksen avulla kyberrikolliset voivat suorittaa haitallisia toimintoja ja usein tavalla, jota ei huomata. Tämä voi sisältää tietojesi varastamisen, laitteesi saastuttamisen haittaohjelmilla tai palvelimen kaatumisen aiheuttamisen.

Miten IP-huijaukset toimivat?

Ensin perusasiat: Internetissä lähetettävä data jaetaan ensin paketeiksi, jotka lähetetään erillisinä toisistaan ja kootaan lopuksi takaisin yhteen. Kullakin paketilla on IP (Internet Protocol) -otsikko, joka sisältää tietoja paketista, mukaan lukien sen lähde-IP-osoitteen ja kohde-IP-osoitteen.

IP-huijauksessa hakkeri muuttaa työkaluillaan paketin otsikossa olevaa lähdeosoitetta saadakseen vastaanottavan tietokonejärjestelmän luulemaan, että paketti on peräisin luotettavasta lähteestä, esim. toisesta oikeassa verkossa olevasta tietokoneesta, ja hyväksymään sen. Tämä tapahtuu verkkotasolla, joten ulkoisia peukaloinnin merkkejä ei ole.

Verkkoon kytkettyjen tietokoneiden luottamussuhteisiin perustuvissa järjestelmissä IP-huijauksella voi ohittaa IP-osoitteen todennuksen. Tätä voi ajatella ”muureihin perustuvaksi puolustukseksi”, jossa verkon ulkopuolella olevia pidetään ulkoisina uhkina ja sisäpuolella oleviin luotetaan. Kun hakkeri murtautuu verkkoon ”muurien sisälle”, hän voi helposti tutkia järjestelmää. Tämän haavoittuvuuden vuoksi pelkän todennuksen käyttö puolustusstrategiana korvataan yhä useammin vahvemmilla suojausmenetelmillä, kuten monivaiheisella todennuksella.

Vaikka kyberrikolliset käyttävät usein IP-huijausta tehdäkseen verkkopetoksia ja identiteettivarkauksia tai sulkeakseen yritysten verkkosivustoja ja palvelimia, tällä tekniikalla voi joskus olla myös laillisia käyttötarkoituksia. Organisaatiot voivat esimerkiksi käyttää IP-huijausta testatessaan verkkosivustoja ennen niiden julkaisemista. Näin voidaan luoda vaikutelma tuhansista virtuaalisista käyttäjistä testausta varten ja tutkia sitä, kestääkö sivusto suuria kirjautumismääriä. IP-huijaus ei ole laitonta, kun sitä käytetään tällä tavalla.

IP-huijauksen tyypit

IP-huijaushyökkäysten kolme yleisintä muotoa ovat:

Distributed Denial of Service (DDoS) -hyökkäykset

DDoS-hyökkäyksessä hakkerit käyttävät väärennettyjä IP-osoitteita ”hukuttaakseen” tietokonepalvelimet tietopakettien tulvaan. Näin he voivat hidastaa tai kaataa verkkosivustoja tai verkkoja, jolla on suuria määriä Internet-liikennettä, ja samalla salata henkilöllisyytensä.

Bottiverkkolaitteiden peittäminen

IP-huijausta voidaan käyttää tietokoneiden pääsyoikeuksien hankkimiseen bottiverkkojen käytön peittämällä. Bottiverkko on tietokoneverkko, jota hakkerit hallitsevat yhdestä lähteestä. Jokaisessa tietokoneessa on erillinen botti, joka suorittaa haitallista toimintaa hyökkääjän puolesta. IP-huijauksen avulla hyökkääjä voi estää bottiverkon havaitsemisen antamalla jokaiselle verkon robotille huijaus-IP-osoitteen, mikä tekee haitallisen toimijan jäljittämisestä haastavaa. Tämä voi pidentää hyökkäyksen kestoa ja tehdä siitä entistä hyödyllisemmän hyökkääjälle.

Väliintulohyökkäys

Toinen haitallinen IP-huijausmenetelmä on ”väliintulohyökkäys”, joka pyrkii katkaisemaan kahden tietokoneen välisen viestinnän, muuttamaan paketteja ja lähettämään niitä alkuperäisen lähettäjän tai vastaanottajan tietämättä. Jos hyökkääjät huijaavat IP-osoitetta ja saavat pääsyn henkilökohtaisiin viestintätileihin, he voivat seurata mitä tahansa tämän viestinnän osa-aluetta. Näin on mahdollista varastaa tietoja, ohjata käyttäjiä väärennetyille verkkosivustoille ja tehdä paljon muuta haitallista. Ajan myötä hakkerit keräävät runsaasti luottamuksellisia tietoja, joita he voivat käyttää tai myydä – mikä tarkoittaa, että väliintulohyökkäykset voivat olla tuottoisampia kuin muut.

Esimerkkejä IP-huijauksista

Yksi kuuluisimmista IP-huijaushyökkäyksistä on GitHubin DDoS-hyökkäys vuonna 2018. GitHub on koodin isännöintialusta, johon iskettiin helmikuussa 2018 kaikkien aikojen suurimmalla DDoS-hyökkäyksellä. Hyökkääjät huijasivat GitHubin IP-osoitetta koordinoidussa hyökkäyksessä, joka oli niin suuri, että katkaisi palvelun lähes 20 minuutiksi. GitHub sai hallinnan takaisin reitittämällä liikenteen uudelleen välittäjäkumppanin kautta ja poistamalla tietoja, jotta haitalliset osapuolet saatiin estettyä.

Aikaisempi esimerkki on vuodelta 2015, kun Europol puuttui koko Euroopan laajuiseen väliintulohyökkäykseen. Hyökkäys koski yritysten ja asiakkaiden välisten maksupyyntöjen kaappauksia. Rikolliset käyttivät IP-huijausta saadakseen pääsyn organisaatioiden yrityssähköpostitileihin. Tämän jälkeen he nuuskivat viestintää ja nappasivat maksupyyntöjä asiakkailta, jotta saisivat nämä asiakkaat lähettämään maksuja hallitsemilleen pankkitileille.

IP-huijaus ei ole ainoa verkkohuijauksen muoto – on muitakin tyyppejä, mukaan lukien sähköpostihuijaus, verkkosivustohuijaus, ARP-huijaus, tekstiviestihuijaus ja monia muita. Voit lukea Kasperskyn täydellisen oppaan erilaisista huijaustyypeistä täältä.

IP-huijausten tunnistaminen

Loppukäyttäjien on vaikea havaita IP-huijausta, mikä tekee siitä niin vaarallisen. Tämä johtuu siitä, että IP-huijaushyökkäykset suoritetaan verkkokerroksilla – eli Open System Interconnection -viestintämallin tasolla 3. Tämä ei jätä ulkoisia merkkejä peukaloinnista, ja usein väärennetyt yhteyspyynnöt voivat näyttää asianmukaisilta ulkoisesti tarkasteltuina.

Organisaatiot voivat kuitenkin käyttää verkon valvontatyökaluja päätepisteiden liikenteen analysointiin. Pakettisuodatus on yleisin tapa tehdä tämä. Pakettisuodatusjärjestelmät – joita usein sisältyy reitittimiin ja palomuureihin – havaitsevat epäjohdonmukaisuuksia pakettien IP-osoitteiden ja pääsynhallintaluetteloissa (ACL) ilmoitettujen IP-osoitteiden välillä. Ne havaitsevat myös vilpilliset paketit.

Kaksi tärkeintä pakettisuodatustapaa ovat sisääntulo- ja lähtösuodatus.

• Sisääntulosuodatuksessa tarkastellaan saapuvia paketteja ja arvioidaan, vastaako lähteen IP-otsikko sallittua lähdeosoitetta. Kaikki epäilyttävältä näyttävät paketit hylätään.
• Lähtösuodatuksessa puolestaan tarkastellaan lähteviä paketteja ja tarkistetaan, löytyykö lähde-IP-osoitteita, jotka eivät vastaa organisaation verkossa olevia IP-osoitteita. Tämän tarkoitus on estää verkon sisäpuolelta käynnistyvät IP-huijaushyökkäykset.

Kuinka IP-huijauksilta voi suojautua?

IP-huijaushyökkäykset on suunniteltu salaamaan hyökkääjien todellinen henkilöllisyys, mikä tekee niistä vaikeasti havaittavia. Joitakin toimia voi kutenkin tehdä riskien minimoimiseksi. Loppukäyttäjät eivät voi estää IP-huijauksia itse, mutta palvelinpuolen tiimien tehtävänä on torjua niitä parhaalla mahdollisella tavalla.

IP-huijauksilta suojautumiskeinoja IT-asiantuntijoille:

IT-asiantuntijoiden on itse kehitettävä ja otettava käyttöön suuri osa IP-huijauksen välttämiseen käytettävistä strategioista. Vaihtoehtoja suojautua IP-huijaukselta ovat seuraavat:

• Verkkojen valvonta epätyypillisen toiminnan varalta.
• Pakettisuodatuksen käyttöönotto epäjohdonmukaisuuksien havaitsemiseksi (esim. lähtevät paketit, joiden lähde-IP-osoitteet eivät vastaa organisaation verkossa olevia IP-osoitteita).
• Vahvojen todennusmenetelmien käyttäminen (jopa verkkoon kytkettyjen tietokoneiden keskuudessa).
• Kaikkien IP-osoitteiden todentaminen ja verkkohyökkäysten estotoimintojen käyttö.
• Joidenkin laskentaresurssien sijoittaminen palomuurin taakse. Palomuuri auttaa suojaamaan verkkoasi suodattamalla liikennettä väärennetyillä IP-osoitteilla, tarkistamalla liikenteen ja estämällä luvattomien ulkopuolisten pääsyn.

Web-suunnittelijoita rohkaistaan siirtämään sivustot käyttämään IPv6-protokollaa eli uusinta protokollaversiota. Se tekee IP-huijauksesta vaikeampaa sisällyttämällä salaus- ja todennusvaiheet. Suuri osa maailman Internet-liikenteestä käyttää edelleen aiempaa IPv4-protokollaa.

IP-huijauksilta suojautumiskeinoja loppukäyttäjille:

Loppukäyttäjät eivät voi estää IP-huijauksia. Pitämällä kuitenkin huolta perustason ”kyberhygieniasta” voit varmistaa mahdollisimman hyvän suojauksen verkossa. Järkeviä varotoimenpiteitä ovat:

Varmista, että kotiverkkosi on määritetty turvallisesti

Tämä tarkoittaa kotireitittimen ja kaikkien liitettyjen laitteiden oletuskäyttäjätunnusten ja -salasanojen vaihtamista ja sen varmistamista, että käytössä olevat salasanat ovat vahvoja. Vahva salasana ei ole helposti arvattavissa ja sisältää vähintään 12 merkkiä sekä isoja ja pieniä kirjaimia, numeroita ja symboleja. Voit myös lukea täältä Kasperskyn oppaan turvallisen kotiverkon määrittämiseen.

Ole varovainen käyttäessäsi julkisia Wi-Fi-verkkoja

Vältä tekemästä tärkeitä asioita, kuten ostoksia tai pankkiasioita, suojaamattoman julkisen Wi-Fi-yhteyden kautta. Jos joudut käyttämään julkisia Wi-Fi-verkkoja, varmista turvallisuutesi käyttämällä virtuaalista yksityistä verkkoa eli VPN:ää. VPN salaa Internet-yhteytesi ja suojaa lähettämäsi ja vastaanottamasi yksityiset tiedot.

Varmista, että vierailemasi verkkosivustot käyttävät HTTPS-protokollaa

Kaikki sivustot eivät salaa tietoja. Jos niissä ei ole ajan tasalla olevaa SSL-varmennetta, ne ovat alttiimpia hyökkäyksille. Verkkosivustot, joiden URL-osoitteen alussa on HTTP eikä HTTPS, eivät ole turvallisia. Tämä on riski käyttäjille, jotka jakavat arkaluonteisia tietoja kyseisen sivuston kanssa. Varmista, että käytät HTTPS-sivustoja, ja tarkista, että URL-osoitepalkissa näkyy lukkokuvake.

Ole valppaana tietojenkalasteluyritysten suhteen

Varo tietojenkalasteluviestejä hyökkääjiltä, jotka pyytävät sinua päivittämään salasanasi tai muut kirjautumistiedot tai maksukorttitiedot. Tietojenkalasteluviestit on suunniteltu näyttämään siltä kuin ne olisivat peräisin hyvämaineisista organisaatioista, mutta todellisuudessa ne ovat huijareiden lähettämiä. Vältä tietojenkalasteluviestien linkkien napsauttamista tai liitteiden avaamista.

Käytä luotettavaa virustentorjuntaratkaisua

Paras tapa pysyä turvassa verkossa on käyttää korkealaatuista virustorjuntaa, joka suojaa sinua hakkereilta, viruksilta, haittaohjelmilta ja uusimmilta verkkouhkilta. On myös tärkeää pitää ohjelmistosi ajan tasalla, jotta siinä on uusimmat suojausominaisuudet.

Suositellut tuotteet

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Lisätietoja

• IP-osoitteen piilottaminen
• Mitä IP-osoitehuijaus tarkoittaa ja miten sen voi estää?
• Mikä on puhelinnumeron huijaus?
• Mitä on tietosuoja?