Mitä on käyttäjän manipulointi?

Social engineering ‑termille ei ole yhtä vakiintunutta suomennosta, mutta siitä käytetään usein ilmaisuja henkilön tai käyttäjän manipulointi, sosiaalinen manipulointi, vaikuttaminen ja hämääminen. Sillä viitataan erilaisiin tekniikoihin, joilla hyökkäyksen uhreja pyritään huijaamaan heidän rahojensa, henkilö­kohtaisen tiedon, käyttäjä­tunnusten ja muun arvokkaan omaisuuden varastamiseksi.

Social engineering ‑huijaukset perustuvat ihmisten hyvän­tahtoisuuden sekä inhimillisten erehdysten hyödyntämiseen. Tästä syystä onnistuneen hyökkäyksen edellytyksenä on käyttäytymisen ja psykologian ymmärtäminen. Kohteiden huijaaminen tapahtuu yleensä yhteyden­pidolla ja viestittelyllä heidän kanssaan, esi­merkiksi sähkö­postitse tai puhelimella.

Sekä yksityis­henkilöt että kokonaiset organisaatiot ovat houkuttelevia huijausten kohteita. Huijarit ottavat usein kohteekseen suurten yritysten työn­tekijöitä. Tällöin tavoitteena on saada kohde antamaan pääsy yrityksen tietoihin, tieto­kone­järjestelmiin sekä muuhun yrityksen omaisuuteen. Yksittäisten työn­tekijöiden valistaminen ja kouluttaminen tieto­turvasta auttaa suojaamaan koko organisaatiota hyökkäyksiltä, sillä yksikin virhe voi vaarantaa koko yrityksen.

Miten social engineering ‑hyökkäys tapahtuu?

Useimmat käyttäjän manipulointiin perustuvat hyökkäykset noudattavat seuraavan­laista kaavaa:

1. Kohteen tunnistaminen ja tiedon­keruu.
2. Lähestyminen kohdetta väärennetyn henkilöllisyyden ja keksityn tarinan turvin.
3. Uhrin luottamuksen saavuttaminen ja hyökkäyksen toteuttaminen.
4. Hyökkäyksen lopettaminen ja jälkien siivoaminen.

Käyttäjän manipuloinnilla pyritään pääsemään käsiksi henkilö­kohtaisiin tietoihin sekä saamaan hyökkäyksen kohde lataamaan virus, lähettämään hyökkääjälle rahaa tai ohjaamaan uhri haitta­sivustolle. Huijari väittää usein olevansa joku, johon hyökkäyksen kohde luottaa, kuten työn­antaja, jokin valtiollinen toimija tai muu kohteelle tuttu henkilö. Näin hänet saadaan tekemään juuri niin kuin huijari tahtoo. Joissain hyökkäyksissä tavoitteena voi olla päästä käsiksi fyysiseen laitteeseen tai huijauksen kohteeksi valikoituneen organisaation tiloihin.

Huijareilla on tapana vedota kiireeseen, jotta heidän kohteensa eivät ehdi ajattelemaan tekojensa seurauksia. Myös uhkailu ja kiristäminen ovat tapoja saada uhri toimimaan rikollisen tahdon mukaan. Social engineering on etu­käteen tarkkaan suunniteltua rikollista toimintaa. Hyökkääjä voi joko kerätä tietoa uhristaan ennen yhteyden­ottoa tai kohdentaa hyökkäyksensä useisiin kohteisiin saman­aikaisesti.

Koska kaikki käyttäjän manipulointiin käytetyt keinot perustuvat ihmisten tapaan toimia tietyllä tavalla, social engineering ‑hyökkäykset ovat ikään kuin ihmisten hakkerointia. Moni uskoo, että ei ikinä päätyisi verkko­rikollisten vedättämäksi — kunnes joutuu itse huijauksen uhriksi.

Näin estät joutumasta huijatuksi

Social engineering hyödyntää uhrien taipumusta inhimillisiin virheisiin, joten pelkkä ohjelmistojen vikojen korjaaminen ei riitä torjumaan sitä. Onneksi yksittäiset käyttäjät ja organisaatiot voivat varautua huijauksia vastaan myös muilla tavoin.

• Käytä moni­vaiheista tunnistautumista suojataksesi laitteesi.
• Älä klikkaa epäilyttäviä linkkejä tai lataa tiedostoja, joiden turvallisuudesta et ole varma.
• Varmista muiden henkilöllisyys ennen kuin luovutat heille henkilö­kohtaisia tietojasi.
• Älä luovuta muille kirjautumis­tietojasi, kuten tunnustesi sala­sanoja tai vahvistus­koodeja.
• Älä yhdistä tuntemattomia fyysisiä laitteita, kuten kova­levyjä tai muisti­tikkuja, omaan laitteeseesi.
• Ole varovainen odottamattomien tarjousten kanssa, jos ne vaikuttavat liian hyviltä ollakseen totta.
• Jos taloudessasi on lapsia ja jaat laitteita heidän kanssaan, opeta heille, miten käyttää internetiä turvallisesti.
• Harkitse tarkkaan, mitä jaat sosiaalisessa mediassa. Some­tilejäsi voidaan hyödyntää keräämällä niistä tietoa, jota voidaan käyttää manipulointiin.
• Suojaa laitteesi luotettavalla tieto­turva­ohjelmalla.
• Käytä VPN-ohjelmaa, kun yhdistät laitteesi julkiseen Wi‑Fiin.
• Rajoita laitteiden käyttö­oikeuksia sen perusteella, kuka voi tehdä muutoksia verkko­asetuksiin tai ladata uusia sovelluksia laitteelle. Näin voit estää käyttäjiä asentamasta haitallisia ohjelmistoja laitteille sekä kotona että suuremmissa organisaatiossa, kuten työ­paikallasi.

Sosiaalisen manipuloinnin tyypit

Käyttäjän manipulointiin on useita keinoja, jotka vaihtelevat hyökkääjän kohteen ja tavoitteiden mukaan. Tunnistamalla erilaisten huijausten tunnus­merkit, voit ehkäistä niiden uhriksi joutumista.

Tietojen­kalastelu

Yksi yleisimmistä käyttäjän manipulointiin perustuvista huijauksista on tietojen­kalastelu eli phishing. Tietojen­kalastelun tavoitteena on huijata uhri paljastamaan henkilö- tai pankki­tietoja, joita verkko­rikollinen voi käyttää hyväkseen. Hyökkäyksen tavoitteena voi olla saada kohde lataamaan haitta­ohjelmilla tartutettu tiedosto tai ohjelmisto laitteelleen. Tietojen­kalastelu tehdään usein sähkö­postitse, mutta on muitakin tapoja urkkia uhrin tietoja.

• Huijaus­puhelut: Huijaus­puheluista käytetään termiä vishing, joka tulee englannin kielen sanoista voice ja phishing. Vishing-hyökkäyksissä uhrin huijaaminen ja hänen tietojensa varastaminen tapahtuu tavallisen puhelun avulla. Myös Suomessa uutisoidaan usein niin sanotuista romanssi- tai rakkaus­huijauksista, joita voidaan toteuttaa sähkö­postin ja viestien lisäksi puhelimitse. Kun huijari on kerännyt tarpeeksi tietoa kohteestaan, hän voi pyrkiä viettelemään uhrin puhelimessa. Todellisuudessa huijaria kiinnostaa uhriaan enemmän tämän rahat, jotka huijauksen kohde lähettää oletetulle rakastetulleen.
• Teksti­viesti­huijaukset: Teksti­viesteillä ja pika­viesti­palveluilla tehtäviin huijauksiin viitataan sanalla smishing (yhdistelmä sanoista SMS ja phishing). Nykyään suurin osa ihmisistä käyttää äly­puhelinta, jossa on internet­yhteys. Näin ollen rikolliset voivat lähettää teksti­viestejä, jotka sisältävät haitta­sivustoille ohjaavia linkkejä.
• Kohdennettu tietojen­kalastelu: Kohdennettu tietojen­kalastelu eli spear phishing eroaa tavallisista massoittain toteutettavista kyber­hyökkäyksistä. Rikolliset voivat tehdä huijauksestaan uskottavamman räätälöimällä sen tarkkaan valikoidun kohteen huijaamiseksi. Kohdennettujen hyökkäysten uhreille lähetetyt viestit on suunniteltu varta vasten kohteen hämäämiseksi, ja ovat siksi vaikeammin havaittavissa kuin tavalliset massa­hyökkäykset. Esi­merkkinä kohdennetusta tietojen­kalastelusta käyvät toimitus­johtaja­huijaukset. Niissä hyökkääjä esiintyy yrityksen toimitus­johtajana huijatakseen sen työn­tekijöitä. Koska kyseessä on auktoriteetti, johon uhrit luottavat, heidän on helpompi tulla huijatuksi.

Uskottava tarina

Usein hyökkääjä keksii jonkin uskottavan tarinan, jonka turvin hän huijaa kohdettaan. Tällaiset huijaukset edellyttävät, että uhri luulee olevansa tekemisissä jonkun luotettavan henkilön, kuten työ­kaverin tai auktoriteetin kanssa. Näin hyökkääjällä on paremmat mahdollisuudet saada uhri luovuttamaan tietoja, klikkaamaan linkkiä tai lähettämään rahaa. Tällaisista hyökkäyksistä käytetään englannin­kielistä termiä pre­texting.

Houkuttelu

Baiting eli houkuttelu on tapa saada huijauksen uhri liittämään laitteeseensa haitta­ohjelmalla tartutettu laite tai esine, kuten muisti­tikku tai CD-levy. Huijari jättää syötin julkiselle paikalle tai kohteena olevan yrityksen tiloihin, mistä joku utelias henkilö löytää sen. Kohteiden uteliaisuutta voi herätellä entisestään lisäämällä syöttiin houkutteleva logo tai merkintä.