Käyttäjän manipulointi

Wikipediasta
(Ohjattu sivulta Sosiaalinen manipulointi)
Siirry navigaatioon Siirry hakuun

Käyttäjän manipuloinnin[1] tai sosiaalisen manipuloinnin (engl. social engineering) tavoitteena on vaikuttaa uhriin ja saada hänet tekemään asioita, jotka eivät ole hänen etunsa mukaisia.[2] Tällaisia tekoja voivat olla esimerkiksi rahan lähettäminen tai luottamuksellisten tietojen paljastaminen (kuten salasanan tai yrityssalaisuuden). Saatuja tietoja voidaan käyttää toisessa rikoksessa.[3] Sosiaalinen manipulaatio käyttää hyväksi inhimillisiä heikkouksia, kuten ahneutta, turhamaisuutta, empatiaa tai auttamisen halua.[4][5] Rikollinen voi esiintyä luotettavana tahona, kuten valtiollisena palveluna, pankkina tai yrityksen teknisenä tukena, saavuttaakseen tavoitteensa.

Manipuloinnilla voidaan pyrkiä saamaan joko henkilökohtaisia tai organisaatioon (kuten työpaikkaan) liittyviä tietoja. Käyttäjän manipulaatiossa uhria käytetään salatun tiedon lähteenä.[2] Kuuluisa tietomurtautuja Kevin Mitnick kertoo saaneensa paljon tärkeitä tietoja käyttämällä sosiaalista manipulointia.[6]

Käyttäjän manipuloinnilla viitataan epärehellisiin keinoihin, joiden avulla uhri saadaan paljastamaan arkaluonteista tietoa tai toimimaan uhrin etujen vastaisesti. Käyttäjän manipulointi ei ole täysin vakiintinut termi.[7]On olemassa kuitenkin keinoa pienentään huijatuksi juotumisen todennäköisyyttä.

Huijauksen toimintatapa

[muokkaa | muokkaa wikitekstiä]

Sosiaalinen manipulaatio perustuu ihmisten luontaiselle auttamisen halulle, ahneudelle, luottamukselle, velvollisuudentunnolle ja uteliaisuudelle.[2] Sosiaalinen manipulaatio käyttää psykologisen manipulaation tekniikoita.[5] Ihmisten kiireellisyys ja tietämättömyys asioista parantavat rikollisten mahdollisuuksia onnistua manipuloinnissa. Monesti myös ihmiset eivät ajattele hallussaan olevan tiedon olevan arvokasta.[2] Rikollinen voi myös painostaa uhria tai pelotella tekemään haluttuja asioita.[2][4] Uhrille voidaan myös uskotella, että jokin ainutlaatuinen tilaisuus lipuu ohi suun, mikäli hän ei auta.[2]

Käyttäjän manipulaatiossa uhria pyydetään tekemään palvelus tai tehtävä. Pyynnöt voivat liittyä salasanoihin, tietojen päivitykseen sekä pyyntöjä laskun kiireelliseen ja/tai luottamukselliseen maksamiseen.[2]

Sosiaalinen media on manipuloinnin yleisin tapahtumapaikka, mutta sosiaalista manipulaatiota tapahtuu myös puhelimitse[3], tekstiviestitse[2] ja kasvotusten.[3] Netin käyttäjiltä jää koko ajan jälkiä toiminnastaan sosiaaliseen mediaan, kuten tietoa henkilön tavoitteista ja kiinnostuksen kohteista. Tiedonkalasteluviestejä lähetetään myös massapostituksena, toivoen että joku lankeaisi ansaan. Viestejä voidaan kohdistaa tiettyyn organisaatioon, ja huijausyritystä voi edeltää muuta tiedonhankintaa.[2]

Erilaisia huijaustapoja

[muokkaa | muokkaa wikitekstiä]

Tekeytyminen toiseksi ihmiseksi

[muokkaa | muokkaa wikitekstiä]

Rikollinen tekeytyy toiseksi ihmiseksi, kuten ystäväksi, sukulaiseksi tai valta-asemassa olevaksi ihmiseksi. Huijari esittää ottavansa yhteyttä uhria koskettavalla oikealla asialla, esimerkiksi huijari esittää soittavansa pankista ja toivoo että uhri uskoo häntä. Yhteyttä voidaan ottaa myös sosiaalisessa mediassa.[3]

Kasvotusten tapahtuvassa huijauksessa henkilö voi tekeytyä esimerkiksi työntekijäksi. Eräässä tapauksessa huijari pukeutui pukuun, piti kuuloketta korvallaan ja kantoi käsissään kansiota. Muut luulivat henkilön olevan töissä vartijana, eivätkä pysäyttäneet huijaria, kun hän kulki henkilökunnalle tarkoitetuissa tiloissa. Toisessa tapauksessa huijari pukeutui tapahtumassa kokiksi ja kuljetti kallista ruokalajia ja pääsi näin kulkemaan tiloissa ilman ongelmia.[8]

Arkisessa yritysmaailmassa huijari voi tekeytyä esimerkiksi tuholaistorjujaksi. Eräässä tapauksessa huijari oli lähettänyt edellisellä viikolla sähköpostia tekeytyen tuholaistorjujaksi, ja hänet päästettiin näiden sosiaalisen manipulaation tekniikoiden avulla henkilökunnan tiloihin.[8] Huijari voi tekeytyä tärkeäksi johtajaksi ja hyödyntää ihmisten kuuliaisuutta johtajia kohtaan. Näin voi tehdä esimerkiksi silloin, kun kaikki työntekijät eivät tunne toisiaan.[9]

Tietojenkalastelu (phishing)

[muokkaa | muokkaa wikitekstiä]
Pääartikkeli: Tietojenkalastelu

Tekniikassa huijari lähettää uhrille aidolta näyttäviä viestejä, asiakirjoja tai ohjaa aidolta näyttävälle verkkosivulle. Huijattu käyttäjä luovuttaa henkilötietojaan tai maksaa rahaa huijarille, uskoen että hän tai verkkosivu on aito.[3] Tietojenkalastelussa huijataan olevan esimerkiksi pankki tai posti.

Tietomurto ja saatujen tietojen hyväksikäyttö

[muokkaa | muokkaa wikitekstiä]

Rikollinen murtautuu sähköpostiin tai yrityksen tietojärjestelmään saadakseen yritystä koskevaa tietoa. Huijari tällöin ottaa yhteyttä ja käyttää hyväksi hankittuja tietoja ja manipuloi uhrin luovuttamaan lisää tietoa tai siirtämään rahaa.[3]

Romanssihuijaus

[muokkaa | muokkaa wikitekstiä]
Pääartikkeli: Romanssihuijaus

Huijauksessa rikollinen tekeytyy uhrista kiinnostuneeksi kumppaniksi. Huijari rakentaa ihmissuhdetta uhrin kanssa ja manipuloi tätä lähettämään rahaa.[3]

Kuvamateriaalilla kiristys

[muokkaa | muokkaa wikitekstiä]

Sextortion–kiristyksessä puoleensa vetävä henkilö houkuttelee uhrin alastomiin videopuheluihin, jonka sisällön hän nauhoittaa. Myöhemmin puoleensa vetävä henkilö kiristää uhria nauhoitetun alastonmateriaalin levittämisellä. Yleensä uhri on mies.[3]

Joissain tapauksissa rikollinen voi myös kaapata uhrin tietokoneen kameran ja nauhottaa uhria seksuaalisissa toimissa kiristystarkoitukseen. Kiristyksessä voi olla, ettei videomateriaalia ole koskaan ollutkaan, mutta huijari haluaa tekijän uskovan näin ja maksavan rikolliselle paljastumisen pelosta tai häpeästä.

Tekosyy on keksitty perustelu, jonka verukkeella yritetään saada kohde paljastamaan haluttuja tietoja. Todellisessa tilanteessa, jossa hyökkääjä on suorassa yhteydessä uhriin, tekniikan toimivuus riippuu pitkälti hyökkääjän uskottavuudesta. Hyökkääjältä vaaditaan hyviä näyttelijän lahjoja, jos huijaus tapahtuu kasvokkain. Vastaava luottamuksen taso saavutetaan puhelinsoitolla, joka ei myöskään altista hyökkääjän identiteettiä paljastumiselle. Luottamukselle kerätään pohjaa etsimällä uhrista tietoja etukäteen.

Sähköpostin otsikkotietoja muokkaamalla voi vaihtaa lähettäjäksi luotetun tahon. Tekemällä viestistä virallisen näköisen voi saada uhrin uskomaan, että viesti on luotettavasta lähteestä. Viesteissä on myös käytetty sähköpostiohjelmien tietoturva-aukkoja hyväksi, jolloin on saatu linkki naamioitua niin, että todellinen osoite ei paljastu käyttäjälle.

Uhrille voidaan myös ujuttaa haitallinen ohjelma naamioimalla siitä houkutteleva. Ajattelematon tai tietämätön uhri voi asentaa itselleen troijalaisen luullen sitä eroottiseksi näytönsäästäjäksi tai tärkeäksi tietoturvapäivitykseksi.

Kohdennettu huijausyritys

[muokkaa | muokkaa wikitekstiä]

Esimerkki on yhdistelmä sekä huijaus- että tekosyymenetelmiä. Kohteena on keskisuuri yritys, jonka toimintaan liittyy myynti ja asiakaspalvelu. Hyökkäys aloitetaan ottamalla selvää etukäteen kaikki mahdollinen mitä kohteesta on tiedossa. Liikevaihdosta aina suurimpiin asiakkaisiin. Pelkästään yrityksen kotisivuihin tutustumalla voi saada tarpeeksi informaatiota.

Hyökkääjä esiintyy laskutus- ja reskontraohjelman ylläpitäjänä. Lähestyminen aloitetaan puhelinsoitolla jonka tarkoituksena on kysellä ohjelman toimivuutta ja käyttökokemuksia eri toiminnoista. Hyökkäystä alustetaan useamalla luottamusta keräävällä yhteydenotolla, jotka tehdään sopivin aikavälein kuitenkaan kuormittamatta kohdetta. Hyökkääjä voi kalastella lisää tärkeitä tietoja ottamalla yhteyttä edustamaansa ohjelmistotaloon. Tässä niin kutsutussa mies välissä-hyökkäyksessä kaikki viestintä kulkee hyökkääjän kautta.

Luottamuksen synnyttyä hyökkääjä voi yrittää kalastella kohteelta käyttäjätunnus-salasanapareja eri verukkein. Sopivin verukkein voi hyökkääjä huijata kohdeyritystä antamaan pääsy yrityksen sisäverkkoon. Toinen mahdollinen vaihtoehto on lähettää laskutusohjelman päivitys postissa cd-levyllä. Hyökkäyksen onnistuminen on kiinni pienistä yksityiskohdista varsinkin jos käytetään muitakin kuin sähköisiä kommunikaatiovälineitä.

Suojautuminen toiminnalta

[muokkaa | muokkaa wikitekstiä]

Parempi tietoisuus toiminnan luonteesta auttaa suojautumaan huijausyritykseltä.[2]

Keinoja huijatuksi tulemisen todennäköisyyttä ovat esimerkiksi VPN-ohjelmat, monivaiheinen tunnistautuminen sekä tuntemattomien fyysisten laitteiden kytkemättä jättäminen. Lisäks käyttöoikeuksia on syytä pienentää.

Huijauksista tiedottavan CYBEREDI-hankkeen mukaan tärkeitä seikkoja ovat:[2]

  • Muistaa, ettei palveluntarjoat pyydä sähköpostilinkkien kautta käyttäjänimiä, salasanoja tai luottamuksellisia tietoja.
  • Muutokset tulee tehdä aina palvelun omilla sivuilla, vahvan kirjautumisen jälkeen. Ei viestien välityksellä.
  • Epäilyttävien yhteydenottojen lähettäjä ja sisältö on syytä tarkistaa.
  • Jos tuttava kehottaa yllättävään rahansiirtoon, on syytä varmistaa asia puhelimitse.
  • Normaaleista käytännöistä poikkeavat pyynnöt ja kehotukset on aina hyvä tutkia ja tarkistaa.
  • On syytä arvioida, mitä tietoa itsestään, läheisistään ja edustamastaan organisaatiosta laittaa digitaaliseen maailmaan.
  1. Tietotekniikan termitalkoot: käyttäjän manipulointi TSK ry.. Viitattu 21.10.2011.
  2. a b c d e f g h i j k CYBEREDI-hanke: Käyttäjän manipulointi Jamk. Viitattu 19.10.2020.
  3. a b c d e f g h Social engineering scams www.interpol.int. Viitattu 30.9.2020. (englanniksi)
  4. a b What is Spam? Definition & Types of Spam Malwarebytes. Viitattu 27.9.2020. (englanniksi)
  5. a b Social engineering Malwarebytes Labs. Viitattu 27.9.2020. (englanti)
  6. Endpoint Protection - Symantec Enterprise community.broadcom.com. Viitattu 30.9.2020.
  7. Mitä on käyttäjän manipulointi eli social engineering? | F‑Secure www.f-secure.com. Viitattu 3.6.2024.
  8. a b Social Engineering Notes - Schneier on Security www.schneier.com. Viitattu 30.9.2020.
  9. John Brownlee: Was The Super Bowl Pranked? Wired. 19.3.2007. Viitattu 30.9.2020. (englanti)