Tietoverkkorikolliset ovat yhä useammin käyttäneet "inhimillistä tekijää" eli sosiaalista manipulointia tehokkaasti tehdessään tietoverkkohyökkäyksiä. Useat tutkimukset osoittavat, että tämä ei ole pelkkää kuulopuheita ja että sosiaalinen manipulointi on menestyksekäs verkkohyökkäystekniikka: esimerkiksi PurpleSecin tietoturvatutkimuksen tietojen mukaan 98 prosenttia verkkohyökkäyksistä perustuu sosiaaliseen manipulointiin.
Verkkorikolliset ovat tehneet työntekijöistämme verkkohyökkäysten etulinjan: heihin kohdistetaan haitallisia sähköposteja, heitä huijataan väärennetyillä puheluilla ja yleisesti ottaen manipuloidaan käyttäytymistä.
Kouluttamalla työntekijöillemme sosiaalisen manipuloinnin taktiikoita ja tekniikoita yritys antaa heille mahdollisuuden taistella petoksia vastaan. Tiettyjä parhaita käytäntöjä on kuitenkin noudatettava, jotta sosiaalisen konstruktion koulutusohjelma onnistuu.
Tässä on MetaCompliance-opas työntekijöiden kouluttamiseen sosiaalisesta manipuloinnista:
Mitä on sosiaalinen manipulointi?
Sosiaalinen manipulointi (social engineering) on tietoverkkoturvallisuuden yhteydessä tekniikka tai tekniikkasarja, jota käytetään ihmisen manipuloimiseksi tekemään jotain tietoverkkorikollisen kannalta hyödyllistä.
Sosiaalisen insinöörin keinoja on monia, ja ne voivat muuttua ajan myötä, kun verkkorikolliset optimoivat taktiikkansa. Sosiaalisen manipuloinnin tuloksena työntekijöitä (tai yleisöä) huijataan luovuttamaan arkaluonteisia tietoja, kuten kirjautumistietoja, tai siirtämään rahaa huijarille tai tekemään virhe, kuten klikkaamaan phishing-linkkiä.
Sosiaalinen manipulointi on tyypillisesti vaiheittainen tekniikka, johon kuuluu:
- Valvonta: Tietojen kerääminen on keskeinen osa sosiaalisesti suunniteltua verkkohyökkäystä. Kohteena olevien työntekijöiden henkilö- ja yritystietoja kerätään, ja kohteet ovat tyypillisesti sellaisia, jotka työskentelevät esimerkiksi kirjanpidon tai tietotekniikan hallinnossa.
- Kohteen hoitaminen: Valvonnan aikana kerättyjen tietojen avulla luodaan suhteet kohdetyöntekijään. Jotkut huijarit jopa soittavat työntekijälle luodakseen ystävällisen yhteyden häneen ja valmistellakseen häntä hyväksikäyttöä varten.
- Merkin hyödyntäminen: Tämä on keskeinen osa sosiaalisesti suunniteltua verkkohyökkäystä, joka perustuu kerättyjen tietojen avulla kehitettyyn suhteeseen. Tätä suhdetta hyödynnetään hyökkäyksen toteuttamiseksi, esimerkiksi vastaanottamalla käyttäjätunnus ja salasana puhelimitse tai avaamalla saastunut sähköpostin liitetiedosto.
- Hakkeroinnin loppuunsaattaminen: Hyödyntämisvaiheessa luodaan perusta verkkohyökkäyksen ydinosan toteuttamiselle. Kokenut sosiaalinen insinööri pystyy poistumaan verkkohyökkäyksestä tietäen, että kestää jonkin aikaa ennen kuin työntekijä tai yritys tajuaa, että häntä on käytetty hyväksi.
Esimerkkejä sosiaalisesta manipuloinnista
Sosiaalista manipulointia esiintyy monissa eri muodoissa, jotka sisältävät sekä matalan teknologian että korkean teknologian ja usein myös niiden yhdistelmiä. Eräät esimerkit osoittavat, millaisilla tavoilla työntekijöitämme käytetään sosiaalisessa manipuloinnissa:
Massiivinen Social Engineering hyökkäys Googlea ja Facebookia vastaan
Business Email Compromise (BEC) on huijaus, jossa käytetään sosiaalista manipulointia työntekijän huijaamiseksi lähettämään yrityksen maksun huijarille, usein suuria rahasummia.
Vuonna 2019 massiivinen BEC-huijaus varasti noin 100 miljoonaa dollaria yrityksiltä, kuten Googlelta ja Facebookilta. Huijaajat loivat väärennetyn yrityksen, jonka nimi muistutti laillista yritystä, jonka kanssa kohdeyritykset asioivat. Sieltä he lähettivät spear-phishing-sähköposteja tietyille uhriyritysten työntekijöille ja edustajille.
Saadakseen tietoa siitä, mihin työntekijöihin petoksen kohteena olevat työntekijät kohdistuvat, petostentekijät käyttävät yleensä valvontatekniikoita ymmärtääkseen, miten kohdetyöntekijän käyttäytymistä voidaan parhaiten manipuloida.
Microsoft 365 -huijaus
Microsoft 365:n kaltaisia tuotemerkkejä käytetään usein työntekijöiden sosiaaliseen manipulointiin ja huijaamiseen.
Äskettäinen hyökkäys, joka kohdistui Microsoft 365:een, luotiin varastamaan työntekijöiden kirjautumistiedot. Tässä verkkohyökkäyksessä huijarit käyttivät tekniikoita, joilla he pystyivät kiertämään sähköpostiportit, joten phishing-sähköpostit päätyivät kohdetyöntekijän postilaatikkoon näennäisesti lailliselta Microsoft 365 -sähköpostilta näyttävästi. Phishing-sähköpostin aiheena oli "hinnantarkistus", ja sen liitteenä oli Excel-taulukkotiedosto. Juju oli siinä, että "taulukkolaskenta" oli itse asiassa naamioitu .html-tiedosto. Tiedosto ohjasi sen avaajat verkkosivustolle, jossa pyydettiin syöttämään Microsoft 365 -tunnukset.
5 parasta käytäntöä työntekijöiden opettamisessa sosiaalisesta manipuloinnista
Kun olet valmis kouluttamaan työntekijöitäsi sosiaalisesta manipuloinnista, kannattaa käyttää näitä viittä parasta käytäntöä:
Paras käytäntö yksi: Ymmärrä sosiaalisen manipuloinnin monimutkainen verkosto.
Luo tietopohja sosiaalisen manipuloinnin taktiikoista ja tekniikoista. Tämä muodostaa perustan koulutuspaketillesi. Sosiaalinen manipulointi perustuu ihmisen psykologiaan, joten sen ymmärtäminen, miten huijarit manipuloivat ihmisten käyttäytymistä, on olennaisen tärkeää tähän menetelmään perustuvan onnistuneen verkkohyökkäyksen estämiseksi.
Siksi työntekijöiden kouluttaminen tunnistamaan sosiaalisen manipuloinnin yritys on monimutkaisempaa kuin tietojenkalastelukoulutus; tietojenkalastelusimulaatioiden tulisi kuitenkin olla osa laajempaa sosiaalisen manipuloinnin koulutusohjelmaa.
Kattavaan sosiaalista manipulointia koskevaan koulutusohjelmaan tulisi sisältyä myös se, miten nämä huijaukset toimivat ja millaisia käyttäytymistapoja tai tilanteita ne manipuloivat, esimerkiksi luottamusta, kiireellisyyttä, suhteita jne.
Paras käytäntö kaksi: Tietoturvakoulutus +SEE
Yleisiin tietoturvatietoisuuden koulutuspaketteihin tulisi aina sisältyä koulutusta sosiaalisesta manipuloinnista. Tietoturvahygienia ja yleinen tietoisuus tietojenkalastelusta ovat kaikki osa onnistuneen sosiaalisen manipuloinnin onnistumisen vähentämistä. Lisää sosiaalista suunnittelua koskeva koulutus (SEE) laajempaan tietoturvatietoisuuskoulutusohjelmaan, jotta kaikki näkevät sosiaalisen suunnittelun temput.
Paras käytäntö kolme: Älykäs oppiminen
Ihmiset oppivat parhaiten, kun heitä opetetaan vuorovaikutteisilla tekniikoilla. Tutkimuksissa on tunnistettu tiettyjä tehokkaan oppimisen kriteerejä:
- Tee oppitunneista lyhyitä mutta informatiivisia:Rakenna oppitunnit näiden pohjalta ja toista niitä säännöllisesti, jotta oppiminen olisi optimaalista.
- Sekoittaminen tai vaihtaminen ideoiden välillä oppimisen aikana luo luonnollisia taukoja istuntojen välille ja auttaa vahvistamaan ideoita. Muista myös tuoda esiin yhteyksiä kyberturvallisuuden eri osa-alueiden ja sosiaalisen suunnittelun taktiikoiden välillä, jotta työntekijät ymmärtävät tämäntyyppisten hyökkäysten monimutkaisuuden.
- Käytä "konkreettisia esimerkkejä", jotta oppiminen jää työntekijän mieleen.
Paras käytäntö neljä: Huuhtele ja toista
Verkkorikolliset optimoivat jatkuvasti sosiaalista manipulointia, kuten muitakin tietoturvahyökkäysmenetelmiä. Varmista, että järjestät säännöllisesti sosiaalista manipulointia koskevia koulutustilaisuuksia osana laajempaa tietoturvatietoisuuskoulutusohjelmaasi. Automatisoi tietoturvatietoisuuskampanjasi koulutuksen parantamiseksi ja optimoimiseksi.
Paras käytäntö viisi: Tee työpaikastasi sosiaalisen insinööritoiminnan nollatoleranssialue
Kun rakennat henkilöstön luottamusta sosiaalisesti suunniteltujen verkkohyökkäysten havaitsemiseen ja ehkäisemiseen, organisaatiosi rakentaa turvallisuustietoisuuden kulttuuria.
Tämä kulttuuri lujittaa työntekijöitänne verkkohyökkäyksiä vastaan, vaikka sosiaalinen manipulointi olisikin monimutkaista ja pelaisi työntekijöiden pelkoilla, käyttäytymisellä, kiireellisyydellä ja suhteilla. Tämä kulttuuri ulottuu myös heidän kotielämäänsä, mikä parantaa heidän yleistä turvallisuuttaan ja auttaa vähentämään riskejä myös kotityöympäristöissä.
Sosiaalisen suunnittelun tekniikoita käyttävissä tietoverkkohyökkäyksissä ihminen on haavoittuva turvallisuuskohde. Antamalla henkilöstöllesi tietoa sosiaalisten manipulointiyritysten havaitsemisesta annat yrityksellesi ja työntekijöillesi valtuudet.