Kolmen viime vuoden aikana yksi suosituimmista haittaohjelmien ja muun haitallisen koodin hyökkäysvektoreista on ollut sähköpostiliite. Tarkemmin sanottuna HTML-koodatuista liitteistä on tullut entistä suositumpi tapa suorittaa monia erilaisia (ja monimutkaisia) kyberrikoksia, kuten identiteettipetoksia, etäkäyttöisten troijalaisten, kiristysohjelmahyökkäysten ja tietojenkalasteluhuijausten kautta. Huolestuttavinta on, että kyseessä ei ole mikään erillinen tapahtuma tai yhden uhkatoimijan suurhyökkäys. Vuoden 2023 tietojen perusteella haitalliset HTML-liitteet näyttävät nykyään olevan monen yksittäisen hakkerin suosikkivalinta.
Joissain monimutkaisemmissa tapauksissa, joissa haittakuorma on itse HTML-liitteessä, tekniikasta käytetään nimeä HTML-kuljetushyökkäys. Tekniikka on tunnettu pitkään, ja monet kyberrikolliset ovat käyttäneet sitä vuosien mittaan, mutta se nousi etualalle huomattavan uhkatoimijan NOBELIUMin kohdennetussa tietojenkalastelukampanjassa. Viime vuosina sitä on käytetty toimittamaan monia huomattavia haittaohjelmia, kuten Mekotio (surullisenkuuluisa pankkitroijalainen), Trickbot ja AsyncRAT/NJRAT. Kun tämän tyyppiset kyberrikokset ovat kasvussa ja kun yksi kolmesta yhdysvaltalaisesta kotitaloudesta saa jonkinlaisen haittaohjelmatartunnan, on tärkeää tietää, kuinka haitallisten HTML-liitteiden hyökkäykset (ja HTML-kuljetushyökkäykset) toimivat, ja kuinka niiltä voi suojautua. Loimme tämän HTML-liitteitä ja HTML-kuljetushyökkäyksiä koskevan oppaan, jotta voit käyttää sähköpostia rauhallisin mielin missä tahansa.
Mitä haitalliset HTML-liitteet ovat?
Haitalliset HTML-liitteet ovat haittaohjelmien alalaji. Niitä löytyy yleensä sähköpostiviestien liitteinä. Ne aktivoidaan ensisijaisesti silloin, kun käyttäjä napsauttaa tartunnan saanutta HTML-liitetiedostoa. Kun tiedosto avataan, ulkoisesti isännöidyt JavaScript-kirjastot ohjaavat käyttäjän hakkerin tietojenkalastelusivustolle tai muuhun hyökkääjän hallitsemaan haitalliseen sisältöön, kuten kirjautumissivulle. Tunnetuin muoto tällaisesta HTML-tietojenkalastelusta näyttää usein Microsoftin ponnahdusikkunalta. Ikkuna pyytää käyttäjältä henkilökohtaisia tunnistautumis- tai kirjautumistietoja, mikä mahdollistaa hakkerin viestissä vastaanotetun HTML-liitetiedoston lataamisen. Kun tiedot on annettu, ne lähetetään hakkerille käytettäväsi muun muassa rahojen varastamiseen, identiteettipetokseen tai kiristykseen kiristysohjelman kautta.
Mitä HTML-kuljetushyökkäys on?
HTML-kuljetushyökkäyksissä, tai teknisemmin HTML-liitetiedoston haittaohjelmahyökkäyksissä, hakkerit käyttävät HTML 5:ttä ja JavaScriptiä salakuljettamaan haitallista koodia uhrin tietokoneelle räätälöidyn komentosarjan avulla, joka on osa HTML-liitetiedostoa. Kun hyökkäyksen kohde avaa haitallisen HTML-liitteen selaimessaan, selain purkaa upotetun komentosarjan koodin, mikä kokoaa haittakuorman uhrin laitteeseen. Täten hakkeri voi koota haittaohjelman paikallisesti uhrin palomuurin sisäpuolella.
Näissä hyökkäyksissä hyödynnetään sitä, että HTML ja JavaScript kuuluvat yleisimpiin ja tärkeimpiin osiin luotettavaa päivittäistä tietokoneen käyttöä niin yritys- kuin kotikäytössäkin. Tämän johdosta tekniikka voi ohittaa tavalliset tietoturvaohjelmat, kuten välityspalvelimet ja sähköpostiyhdyskäytävät, jotka tarkistavat vain liikenteeseen perustuvia allekirjoituksia tai tavallisesti epäiltyjä tiedostotyyppejä, kuten .EXE, .ZIP ja .DOCX. Koska haitalliset tiedostot luodaan sen jälkeen, kun uhrin koneen selain on ladannut tiedoston, tavalliset tietoturvaratkaisut näkevät vain harmitonta HTML- ja JavaScript-liikennettä. Lisäksi hämäämisen kaltaiset edistyneemmät kyberrikostekniikat mahdollistavat hakkereille haitallisten komentosarjojen piilottamisen monipuolisemmilta tietoturvaohjelmistoilta.
HTML-kuljetushyökkäyksissä käytetään ankkuritunnisteen download-attribuuttia ja JavaScriptin Blob-objekteja kokoamaan haittakuorma uhrin laitteella. Kun download-attribuuttia on napsautettu, se sallii HTML-tiedoston ladata automaattisesi href-tunnisteessa viitatun haitallisen tiedoston. JavaScriptiä käytettäessä suoritetaan saman kaltainen prosessi: JavaScriptin Blob-objektit tallentavat haitallisen tiedoston koodatun datan, ja koodaus puretaan, kun data siirretään URL-osoitetta odottavalle JavaScript-rajapinnalle. Tämä tarkoittaa, että haitallinen tiedosto ladataan automaattisesti ja kootaan paikallisesti uhrin laitteella JavaScript-koodeja käyttäen.
Muun tyyppiset haitalliset sähköpostiliitteet
Vaikka HTML on yksi suosituimmista haittaohjelmia käyttäjän järjestelmään salakuljettavista liitetiedostotyypeistä, on tärkeä muistaa, että muutkin suositut tiedostotyypit voivat olla yhtä vaarallisia:
.EXE-tiedostot
Kuten mainittua, .EXE-tiedostot, Windows-käyttöjärjestelmän suoritettavat tiedostot, ovat suosittu ja hyvin tunnettu hyökkäysvektori, jota on syytä pitää silmällä. Jos saat sellaisen sähköpostissa (luotetulta tai muunlaiselta lähettäjältä), vältä sen lataamista tai suorittamista.
.ISO-tiedostot
ISO-tiedostoja käytetään yleensä tallentamaan ja siirtämään kopio koko tietokoneen kiintolevystä sekä Applen ja Windowsin kaltaisten järjestelmien jakelemiseen. Koska Windows voi nykyään asentaa nämä tiedostot ilman erillistä ohjelmistoa, tämän tyyppisten haittaohjelmien suosio on ollut kasvussa viime vuosina. Jos saat tällaisen tiedoston omaan tai työpaikan sähköpostiin, etkä ole pyytänyt kokonaista järjestelmää tai et ole osioimassa tietokonettasi käyttääksesi useita käyttöjärjestelmiä, et tarvitse tällaista tiedostoa. Lähes missään tapauksessa sinun ei kannata ladata sitä, vaan se on poistettava, sillä se on lähes varmasti haittaohjelma.
Microsoft Office -tiedostot
Koska Microsoft Office -tiedostot (kuten .DOCX, .XLSX, tai .PPTX) ovat erittäin yleisiä lähes kaikkien käyttämiä tiedostomuotoja, ne ovat ihanteellinen tapa toimittaa kaikenlaisia haittaohjelmia yrityksille. Niiltä on myös erittäin vaikea puolustautua, ja uhrit usein houkutellaan avaamaan tiedostot väittämällä, että ne ovat kiireellisiä laskuja tai karhukirjeitä.
Miten suojautua haitallisilta HTML-liitteiltä?
Onneksi haitallisten HTML-liitteiden uhkaa voi vähentää ja siltä voi suojautua monin tavoin.
Sähköpostin tarkistus- ja suojausjärjestelmä
Erikoistunut sähköpostin tarkistus- ja suojausjärjestelmä on ensimmäinen puolustusrintama haitallisia sähköpostiliitteitä ja upotettuja komentosarjoja vastaan. Kuten edellä mainittiin, tavalliset tietosuojajärjestelmät eivät kuitenkaan riitä hallitsemaan nykypäivän kyberrikollisten muodostamaa kehittyvää uhkaa. Nykyään kyberturva-asiantuntijat suosittelevat virustorjuntaratkaisua, jossa hyödynnetään koneoppimista ja koodin staattista analyysia sekä arvioidaan sähköpostin varsinaista sisältöä pelkän liitetiedoston sijaan. Jos etsit edistyksellistä kyberturvaratkaisua, suosituksemme on Kaspersky Premium. Tämä palkittu järjestelmä on tarkoitettu sekä yritys- että kotikäyttäjille, ja premium-tilauspaketteihimme kuuluu etätuki ja 24/7-tukipalvelu.
Tiukka oikeuksien hallinta
Vaikka tietomurto tai kirjautumistietojen menetys tapahtuisi, käyttöoikeuksien rajoittaminen vain olennaisille työntekijöille on hyvä tapa pienentää vahinkoja, joita kyberrikolliset voivat aiheuttaa. On myös syytä varmistaa, että käyttäjät, jotka pääsevät elintärkeisiin järjestelmiin, käyttävät monivaiheista todennusta (MFA, kahden tekijän tunnistautuminen, 2FA), jotta voidaan rajoittaa uhille altistumista yhdellä kyberturvallisuusstrategian lisäkerroksella. Toinen tärkeä tapa suojata elintärkeitä resursseja työntekijöiden pääsyvirheiltä (etenkin, jos he työskentelevät etänä) on käyttää VPN:ää, virtuaalista yksityisverkkoa. Kasperskyn VPN sallii käyttäjien muodostaa etäyhteyden yrityksen palvelimille salatun digitaalisen tunnelin kautta. Tunneli suojaa järjestelmää julkisen Wi-Fi-verkon ja suojaamattoman internet-yhteyden mahdollisilta vaaroilta riippumatta siitä, missä käyttäjät ovat.
Kyberturvakoulutus ja parhaat käytännöt
Yksi helpoimmista tavoista suojata arvokkaita resursseja HTML-liitehyökkäyksiltä on kouluttaa henkilöstöä (ja itseäsi) noudattamaan kyberturvan parhaita käytäntöjä ja tunnistamaan epäilyttävät sähköpostiviestit, tiedostot ja liitteet. Tämä sisältää sen, että salasanoja tai muita yrityksen kirjautumistietoja ei kerrota kollegoille, samoja salasanoja ei käytetä monissa ohjelmissa tai monilla tileillä (suosittelemme salasanojen hallintaohjelman tai salasanasäilön käyttämistä) ja että salasanat tai -lauseet ovat aina vahvoja (10–12 merkkiä pitkiä, erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia).
Usein kysyttyä HTML-liitteistä
Mitä HTML-liitteet ovat?
HTML-liitteet ovat sähköposteihin liitettyjä tiedostoja, jotka on koodattu HTML-kielellä. Viime vuosina haitallisista HTML-liitteistä (jotka sisältävät upotetun haittaohjelman tai JavaScript-pohjaisia linkkejä tietojenkalastelusivustoille) on tullut suosittu hyökkäysvektori kyberrikollisille, jotka pyrkivät ohittamaan sähköpostien palomuurit ja suojausjärjestelmät.
Voiko HTML-tiedostoissa olla viruksia?
Kyllä, HTML-tiedostoissa voi olla viruksia ja muita haittaohjelmia, kuten tietojenkalasteluhuijauksia ja kiristysohjelmia. Tämän tyyppiset kyberhyökkäykset tunnetaan haitallisina HTML-liitteinä tai HTML-kuljetushyökkäyksinä. Niiden osana käytetään JavaScript-linkkejä näyttämään väärennettyjä kirjautumisikkunoita tai upotettua haittaohjelmaa hyödyntämään käyttäjän kirjautumistietoja ja henkilökohtaisia tiedostoja.
Voivatko HTML-tiedostot olla vaarallisia?
Kyllä, HTML-tiedostot (myös sähköpostin liitteinä) voivat olla erittäin vaarallisia järjestelmille. Viime vuosina kyberturva-asiantuntijat ovat havainneet kasvua kyberhyökkäyksissä, joissa käytetään haitallisia HTML-liitteitä henkilötietojen varastamiseen. Tämän tyyppisiä hyökkäyksiä kutsutaan usein HTML-kuljetushyökkäyksiksi.
Mitä HTML-kuljetushyökkäykset ovat?
HTML-hyökkäysten suosio kyberhyökkäyksen tyyppinä on kasvussa. Siinä käytetään HTML:ää (tavallisesti HTML 5:ttä) ja JavaScriptiä salakuljettamaan erilaisia haittaohjelmia käyttäjän järjestelmään. Ne voivat ohittaa perinteiset sähköpostien suojausprotokollat ja sallia hakkerin koota haittaohjelman paikallisesti käyttäjän palomuurin sisällä.
Aiheeseen liittyviä artikkeleita:
- Mitä salasanojen hallintaohjelmat ovat ja ovatko ne turvallisia?
- Mikä on kiristysohjelma?
- Mitä troijalaiset ovat ja minkä tyyppisiä troijalaisia on olemassa?
Suositellut tuotteet:
