Santeri-Siirila

Santeri Siirilä

Kyberturvakeskuksen tekninen asiantuntija

Sosiaalinen manipulointi (eng. social engineering) on tapa manipuloida ihmismieltä. Sosiaalista manipulaatiota on tapahtunut aina, mutta siinä hyödynnetyt tavat muuttuvat kohderyhmän myötä. Hyviä esimerkkejä voidaan löytää eri tilanteista. Esimerkiksi jo peruskoulussa on nähty, että toinen henkilö on saattanut manipuloida sinua antamaan jonkin kallisarvoisen keräilykortin tai muun esineen jotain arvotonta vastaan. Työelämässä puolestaan on mahdollista joutua tietojenkalastelun kohteeksi, jolloin yritetään saada arvokasta tietoa, kuten käyttäjätunnuksia. Sosiaalisessa manipuloinnissa tavoitteena on hyödyntää psykologiaa, jotta saadaan kohde tekemään mitä halutaan.

Tietojen kirjo voi avautua hyökkääjälle yllättävänkin helposti

Todennäköisesti hyökkääjän kalastelema tieto on arvokasta, joten sitä pyritään onkimaan erinäisin keinoin. Nykyisin yksi yleisimpiä sosiaalisen manipuloinnin muotoja on tietojenkalastelu (eng. phishing). Sähköiset palvelut ovat kehittyneet vuosien varrella ja suurin osa tiedosta on saatavilla verkosta käsin. Esimerkiksi kuluttajat asioivat verkon välityksellä pankissa ja yritykset voivat pyörittää kokonaisvaltaista infrastruktuuria yli internetin.

Tiedosta perusasiat:

  • Usein kylmiltään lähetetty kalasteluhyökkäys todennäköisesti epäonnistuu eikä sillä yleisesti ottaen saada hyökkääjää saavuttamaan haluttua tavoitetta, joskus hyökkäys voi osua kuitenkin kokemattomaankin kohteeseen.
     
  • Hyökkääjän kannalta parempi tapa on suorittaa hienostunutta ja kohdennettua kalastelua. Tällaisessa tapauksessa hyödynnetään avointen lähteiden tiedustelua, sosiaalisen manipuloinnin menetelmiä ja muita tekniikoita jo ennen kalastelun suorittamista.
     
  • Mitä luotettavammalta ja luontevalta viestintä vaikuttaa, sitä todennäköisemmin huijaukseen voi langeta. Sosiaalisen median alustat, kuten Linkedin, Twitter ja Facebook sisältävät runsaasti kallisarvoista tietoa, jota hyökkääjän on mahdollista hyödyntää omassa hyökkäyksessään.
     

Ymmärrä sosiaalisen manipuloinnin eri keinot

Kalastelu on kaikkein yleisin tapa päästä käsiksi organisaation resursseihin. Uhkatoimijat yrittävät jatkuvasti keksiä hienostuneempia tapoja esittäytyäkseen mahdollisimman luotettavina ja aitoina. Pelkästään internetissä saatavilla olevalla tiedolla mahdollista luoda niinkin luotettavan oloisia kalasteluviestejä, että ne vaikuttavat aidolta yrityksen sisältä tulleelta viestiltä.

Luottamuksen luominen on sosiaalisen manipuloinnin yksi tärkeimpiä menetelmiä. Yleisiä tapoja luoda luottamus on luottamuksellisen tiedon esittäminen, tavallinen kanssakäyminen tai quid pro quo. Näitä tapoja käyttävät useat uhkatoimijat.

Tiedon esittämisellä tarkoitetaan kalastelua, jossa viestissä esitetään niin sanotusti luottamuksellista tietoa tai tietoa, jota on hankala saada ja ”pitäisi” olla ainoastaan yrityksen saatavilla. Tällainen luottamuksellinen tieto voisi olla vaikkapa tieto sisäisistä järjestelmistä, kohteen puhelinnumerosta tai yhteistyökumppaneista.

Tavallisessa kanssakäymisessä yritetään luoda luottamussuhde kohteen kanssa, jolloin kohteella on todennäköisempi mahdollisuus tulla huijatuksi. Idea on vaikuttaa mahdollisimman vilpittömältä, jolloin pyynnöt eivät vaikuta niin epäilyttäviltä kuin täysin puskista tulevat yhteydenottopyynnöt.

Quid pro quo puolestaan nojaa ihmispsykologian luonteeseen. Kyseisessä tavassa tehdään jotain kohteen puolesta, jolloin kohde yleisesti tuntee tarvetta tehdä vastapalvelus. Hyvä esimerkki tällaisesta on oven avaus. Kun avataan kohteelle ovi ikään kuin kohteliaisuutena, haluaa kohde itsekin olla kohtelias, jolloin hän saattaa avata oven vuorostaan sinulle - vaikka kyseinen ovi saattaisi vaatia pääsyoikeuksia.

Riski tulla huijatuksi on aina olemassa

Sosiaalisen manipuloinnin hyökkäyksiin ei ole ns. hopealuotia. Ainoa tapa suojautua on tietoisuuden levittäminen siihen liittyvistä uhkista, riskeistä ja suojautumisesta. Yleensä parhaita tapoja ovat erilaiset harjoitukset ja koulutukset, joissa opetetaan tunnistamaan hyökkäyksiä ja kerrotaan manipulointitavoista. Kun olen ollut itse vetämässä käytännönharjoituksia, niin valitettavasti aina joku antaa käyttäjätunnukset kalastelusivustolle tai kertoo puhelimitse luottamuksellisia asioita. Virheistä usein onneksi opitaan ja niin myös kohteetkin oppivat ja todennäköisesti ensi kerralla eivät enää tee uutta virhettä.

Pohdi omalta osaltasi:

  • Osaatko tunnistaa sosiaalisen manipuloinnin uhan?
  • Oletko varma, että viimeisin Linkedin verkostosi jäsen tai uusin kaverisuhteesi eivät ole pitkäjänteisen sosiaalisen manipuloinnin tekoja?
  • Mistä tiedät, oliko samalla ovenavauksella tullut henkilö aidosti naapurisi eikä tiedustelua suorittava murtovaras?

Minä ja muut asiantuntijamme autamme tunnistamaan ja havaitsemaan sosiaalisen manipuloinnin kautta aiheutuvia riskejä. Ota yhteyttä meihin, niin jutellaan lisää, miten voimme auttaa teidän organisaatiotanne.

Kirjoittajasta

Santeri-Siirila

Santeri Siirilä

Kyberturvakeskuksen tekninen asiantuntija

Olen Santeri Siirilä ja toimin CGI:n kyberturvallisuuskeskuksessa offensiivisten tietoturvapalveluiden teknisenä asiantuntijana. Työtehtäviini kuuluu muun muassa erilaiset kyberturvallisuusharjoitukset, tekniset tietoturvatarkastukset ja tekninen tietoturvakonsultointi.