Käyttäjän manipulointi

Käyttäjän manipuloinnin[1] tai sosiaalisen manipuloinnin (engl. social engineering) tavoitteena on vaikuttaa uhriin ja saada hänet tekemään asioita, jotka eivät ole hänen etunsa mukaisia.[2] Tällaisia tekoja voivat olla esimerkiksi rahan lähettäminen tai luottamuksellisten tietojen paljastaminen (kuten salasanan tai yrityssalaisuuden). Saatuja tietoja voidaan käyttää toisessa rikoksessa.[3] Sosiaalinen manipulaatio käyttää hyväksi inhimillisiä heikkouksia, kuten ahneutta, turhamaisuutta, empatiaa tai auttamisen halua.[4][5] Rikollinen voi esiintyä luotettavana tahona, kuten valtiollisena palveluna, pankkina tai yrityksen teknisenä tukena, saavuttaakseen tavoitteensa.

Manipuloinnissa uhri voi saada esimerkiksi puhelinsoiton, jossa pyydetään lähettämään tietokoneessa post-it lapulla oleva salasana, jonka soittaja "unohti". Rikollinen voi kertoa, että hänen pitäisi saada projekti valmiiksi huomiselle ja pyytää uhria auttamaan palveluksella. Auttamishaluinen uhri antaa tietämättään salasanan työkaverina esiintyneelle rikolliselle. Kuvituskuva: henkilö ei liity tapaukseen.

Manipuloinnilla voidaan pyrkiä saamaan joko henkilökohtaisia tai organisaatioon (kuten työpaikkaan) liittyviä tietoja. Käyttäjän manipulaatiossa uhria käytetään salatun tiedon lähteenä.[2] Kuuluisa tietomurtautuja Kevin Mitnick kertoo saaneensa paljon tärkeitä tietoja käyttämällä sosiaalista manipulointia.[6]

Huijauksen toimintatapa

Sosiaalinen manipulaatio perustuu ihmisten luontaiselle auttamisen halulle, ahneudelle, luottamukselle, velvollisuudentunnolle ja uteliaisuudelle.[2] Sosiaalinen manipulaatio käyttää psykologisen manipulaation tekniikoita.[5] Ihmisten kiireellisyys ja tietämättömyys asioista parantavat rikollisten mahdollisuuksia onnistua manipuloinnissa. Monesti myös ihmiset eivät ajattele hallussaan olevan tiedon olevan arvokasta.[2] Rikollinen voi myös painostaa uhria tai pelotella tekemään haluttuja asioita.[2][4] Uhrille voidaan myös uskotella, että jokin ainutlaatuinen tilaisuus lipuu ohi suun, mikäli hän ei auta.[2]

Käyttäjän manipulaatiossa uhria pyydetään tekemään palvelus tai tehtävä. Pyynnöt voivat liittyä salasanoihin, tietojen päivitykseen sekä pyyntöjä laskun kiireelliseen ja/tai luottamukselliseen maksamiseen.[2]

Sosiaalinen media on manipuloinnin yleisin tapahtumapaikka, mutta sosiaalista manipulaatiota tapahtuu myös puhelimitse[3], tekstiviestitse[2] ja kasvotusten.[3] Netin käyttäjiltä jää koko ajan jälkiä toiminnastaan sosiaaliseen mediaan, kuten tietoa henkilön tavoitteista ja kiinnostuksen kohteista. Tiedonkalasteluviestejä lähetetään myös massapostituksena, toivoen että joku lankeaisi ansaan. Viestejä voidaan kohdistaa tiettyyn organisaatioon, ja huijausyritystä voi edeltää muuta tiedonhankintaa.[2]

Erilaisia huijaustapoja

Tekeytyminen toiseksi ihmiseksi

Rikollinen tekeytyy toiseksi ihmiseksi, kuten ystäväksi, sukulaiseksi tai valta-asemassa olevaksi ihmiseksi. Huijari esittää ottavansa yhteyttä uhria koskettavalla oikealla asialla, esimerkiksi huijari esittää soittavansa pankista ja toivoo että uhri uskoo häntä. Yhteyttä voidaan ottaa myös sosiaalisessa mediassa.[3]

Kasvotusten tapahtuvassa huijauksessa henkilö voi tekeytyä esimerkiksi työntekijäksi. Eräässä tapauksessa huijari pukeutui pukuun, piti kuuloketta korvallaan ja kantoi käsissään kansiota. Muut luulivat henkilön olevan töissä vartijana, eivätkä pysäyttäneet huijaria, kun hän kulki henkilökunnalle tarkoitetuissa tiloissa. Toisessa tapauksessa huijari pukeutui tapahtumassa kokiksi ja kuljetti kallista ruokalajia ja pääsi näin kulkemaan tiloissa ilman ongelmia.[7]

Arkisessa yritysmaailmassa huijari voi tekeytyä esimerkiksi tuholaistorjujaksi. Eräässä tapauksessa huijari oli lähettänyt edellisellä viikolla sähköpostia tekeytyen tuholaistorjujaksi, ja hänet päästettiin näiden sosiaalisen manipulaation tekniikoiden avulla henkilökunnan tiloihin.[7] Huijari voi tekeytyä tärkeäksi johtajaksi ja hyödyntää ihmisten kuuliaisuutta johtajia kohtaan. Näin voi tehdä esimerkiksi silloin, kun kaikki työntekijät eivät tunne toisiaan.[8]

Tietojenkalastelu (phishing)

Pääartikkeli: Tietojenkalastelu

Tekniikassa huijari lähettää uhrille aidolta näyttäviä viestejä, asiakirjoja tai ohjaa aidolta näyttävälle verkkosivulle. Huijattu käyttäjä luovuttaa henkilötietojaan tai maksaa rahaa huijarille, uskoen että hän tai verkkosivu on aito.[3] Tietojenkalastelussa huijataan olevan esimerkiksi pankki tai posti.

Tietomurto ja saatujen tietojen hyväksikäyttö

Rikollinen murtautuu sähköpostiin tai yrityksen tietojärjestelmään saadakseen yritystä koskevaa tietoa. Huijari tällöin ottaa yhteyttä ja käyttää hyväksi hankittuja tietoja ja manipuloi uhrin luovuttamaan lisää tietoa tai siirtämään rahaa.[3]

Romanssihuijaus

Pääartikkeli: Romanssihuijaus

Huijauksessa rikollinen tekeytyy uhrista kiinnostuneeksi kumppaniksi. Huijari rakentaa ihmissuhdetta uhrin kanssa ja manipuloi tätä lähettämään rahaa.[3]

Kuvamateriaalilla kiristys

Sextortion–kiristyksessä puoleensa vetävä henkilö houkuttelee uhrin alastomiin videopuheluihin, jonka sisällön hän nauhoittaa. Myöhemmin puoleensa vetävä henkilö kiristää uhria nauhoitetun alastonmateriaalin levittämisellä. Yleensä uhri on mies.[3]

Joissain tapauksissa rikollinen voi myös kaapata uhrin tietokoneen kameran ja nauhottaa uhria seksuaalisissa toimissa kiristystarkoitukseen. Kiristyksessä voi olla, ettei videomateriaalia ole koskaan ollutkaan, mutta huijari haluaa tekijän uskovan näin ja maksavan rikolliselle paljastumisen pelosta tai häpeästä.

Tekosyy

Tekosyy on keksitty perustelu, jonka verukkeella yritetään saada kohde paljastamaan haluttuja tietoja. Todellisessa tilanteessa, jossa hyökkääjä on suorassa yhteydessä uhriin, tekniikan toimivuus riippuu pitkälti hyökkääjän uskottavuudesta. Hyökkääjältä vaaditaan hyviä näyttelijän lahjoja, jos huijaus tapahtuu kasvokkain. Vastaava luottamuksen taso saavutetaan puhelinsoitolla, joka ei myöskään altista hyökkääjän identiteettiä paljastumiselle. Luottamukselle kerätään pohjaa etsimällä uhrista tietoja etukäteen.

Huijaus

Sähköpostin otsikkotietoja muokkaamalla voi vaihtaa lähettäjäksi luotetun tahon. Tekemällä viestistä virallisen näköisen voi saada uhrin uskomaan, että viesti on luotettavasta lähteestä. Viesteissä on myös käytetty sähköpostiohjelmien tietoturva-aukkoja hyväksi, jolloin on saatu linkki naamioitua niin, että todellinen osoite ei paljastu käyttäjälle.

Uhrille voidaan myös ujuttaa haitallinen ohjelma naamioimalla siitä houkutteleva. Ajattelematon tai tietämätön uhri voi asentaa itselleen troijalaisen luullen sitä eroottiseksi näytönsäästäjäksi tai tärkeäksi tietoturvapäivitykseksi.

Kohdennettu huijausyritys

Esimerkki on yhdistelmä sekä huijaus- että tekosyymenetelmiä. Kohteena on keskisuuri yritys, jonka toimintaan liittyy myynti ja asiakaspalvelu. Hyökkäys aloitetaan ottamalla selvää etukäteen kaikki mahdollinen mitä kohteesta on tiedossa. Liikevaihdosta aina suurimpiin asiakkaisiin. Pelkästään yrityksen kotisivuihin tutustumalla voi saada tarpeeksi informaatiota.

Hyökkääjä esiintyy laskutus- ja reskontraohjelman ylläpitäjänä. Lähestyminen aloitetaan puhelinsoitolla jonka tarkoituksena on kysellä ohjelman toimivuutta ja käyttökokemuksia eri toiminnoista. Hyökkäystä alustetaan useamalla luottamusta keräävällä yhteydenotolla, jotka tehdään sopivin aikavälein kuitenkaan kuormittamatta kohdetta. Hyökkääjä voi kalastella lisää tärkeitä tietoja ottamalla yhteyttä edustamaansa ohjelmistotaloon. Tässä niin kutsutussa mies välissä-hyökkäyksessä kaikki viestintä kulkee hyökkääjän kautta.

Luottamuksen synnyttyä hyökkääjä voi yrittää kalastella kohteelta käyttäjätunnus-salasanapareja eri verukkein. Sopivin verukkein voi hyökkääjä huijata kohdeyritystä antamaan pääsy yrityksen sisäverkkoon. Toinen mahdollinen vaihtoehto on lähettää laskutusohjelman päivitys postissa cd-levyllä. Hyökkäyksen onnistuminen on kiinni pienistä yksityiskohdista varsinkin jos käytetään muitakin kuin sähköisiä kommunikaatiovälineitä.

Suojautuminen toiminnalta

Parempi tietoisuus toiminnan luonteesta auttaa suojautumaan huijausyritykseltä.[2]

Huijauksista tiedottavan CYBEREDI-hankkeen mukaan tärkeitä seikkoja ovat:[2]

  • Muistaa, ettei palveluntarjoat pyydä sähköpostilinkkien kautta käyttäjänimiä, salasanoja tai luottamuksellisia tietoja.
  • Muutokset tulee tehdä aina palvelun omilla sivuilla, vahvan kirjautumisen jälkeen. Ei viestien välityksellä.
  • Epäilyttävien yhteydenottojen lähettäjä ja sisältö on syytä tarkistaa.
  • Jos tuttava kehottaa yllättävään rahansiirtoon, on syytä varmistaa asia puhelimitse.
  • Normaaleista käytännöistä poikkeavat pyynnöt ja kehotukset on aina hyvä tutkia ja tarkistaa.
  • On syytä arvioida, mitä tietoa itsestään, läheisistään ja edustamastaan organisaatiosta laittaa digitaaliseen maailmaan.

Lähteet

  1. Tietotekniikan termitalkoot: käyttäjän manipulointi TSK ry.. Viitattu 21.10.2011.
  2. CYBEREDI-hanke: Käyttäjän manipulointi Jamk. Viitattu 19.10.2020.
  3. Social engineering scams www.interpol.int. Viitattu 30.9.2020. (englanniksi)
  4. What is Spam? Definition & Types of Spam Malwarebytes. Viitattu 27.9.2020. (englanniksi)
  5. Social engineering Malwarebytes Labs. Viitattu 27.9.2020. (englanniksi)
  6. Endpoint Protection - Symantec Enterprise community.broadcom.com. Viitattu 30.9.2020.
  7. Social Engineering Notes - Schneier on Security www.schneier.com. Viitattu 30.9.2020.
  8. John Brownlee: Was The Super Bowl Pranked? Wired. 19.3.2007. Viitattu 30.9.2020. (englanniksi)
    This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.