Sosiaalinen manipulointi ei ole mitään uutta. Jo paljon ennen kuin tietokoneet tulivat elämäämme, ihmisiä huijattiin psykologisten temppujen avulla. Vuonna 1947 julkaistiin kirja "Illustrated Circular of Confidence Tricksters and Expert Criminals". Tämä kirja oli "kansainvälisten huijareiden kuka on kuka". Siirrymme vuoteen 2021, ja kansainväliset rikollisjoukot käyttävät digitaalisempaa lähestymistapaa huijatakseen ihmisiltä rahaa, tietoja ja yritysten kirjautumistunnuksia. Vaikka huijauskampanjoiden välillä saattaa olla vuosikymmeniä, jopa vuosisatoja, on niillä kaikilla yksi yhteinen piirre: vanhat ja uudet huijarit käyttävät sosiaalista manipulointia saadakseen haluamansa.
Social Engineering: Phishing-kaupan temppuja
Tarvitaan vain yksi napsautus, ja laite voi saada tartunnan. Tartunta voi levitä kulovalkean tavoin yritysverkkoon ja kaikkiin siihen liitettyihin laitteisiin. Tartunta voi lopulta maksaa yritykselle valtavia summia seisokkiaikana, menetettyinä tietoina ja vahingoittuneena maineena.
Sekä markkinoijat että verkkorikolliset pyrkivät yhden klikkauksen kokemukseen. Luomalla tilanne, jossa ihmisten ei tarvitse miettiä liikaa ennen kuin he toimivat, voit vangita yleisön menestyksekkäämmin.
Markkinoijat haluavat herättää markkinointikampanjassa tunnereaktion, joka saa yksilön kiinnostumaan tuotteesta niin paljon, että hän klikkaa saadakseen lisätietoja tai, mikä vielä parempi, klikkaa ostaakseen.
Myös verkkorikolliset haluavat saada aikaan tämän "polvitaipaleen reaktion", joten he käyttävät samanlaisia taktiikoita saadakseen ihmisen klikkaamaan.
Digitaalisilla rikollisilla on etulyöntiasemia verrattuna ei-digitaalisiin huijareihin. Esimerkiksi verkkorikollisten ulottuvuus on laajempi, sillä he käyttävät "suihkuta ja maksa" -lähestymistapaa ja tavoittavat miljoonia kohteita massatason phishing-kampanjoiden avulla. Petoksentekijät voivat myös mennä henkilökohtaisuuksiin ja käyttää kohdennettua, yksittäiseen henkilöön keskittyvää spear-phishingia.
Phishing-hyökkäykset perustuvat ihmisten käyttäytymiseen - se, mikä saa meidät tikittämään, saa meidät klikkaamaan. Suuri osa tästä johtuu siitä, että olemme kaikki saaneet hiljaista koulutusta internetin käytössä. Verkkosuunnittelijat ja sovellusten suunnittelijat keskittyvät luomaan "saumattoman UX:n" eli helpon käyttäjäkokemuksen, joka perustuu saumattomaan teknologian ja ihmisen väliseen vuorovaikutukseen. Tämän seurauksena olemme kaikki tottuneet noudattamaan tiettyjä käyttäytymismalleja digitaalisessa maailmassa. Verkkorikolliset käyttävät näitä malleja huijatakseen meidät klikkaamaan.
Sosiaalisen manipuloinnin merkkien havaitseminen
Tekniikat, joita verkkorikolliset käyttävät huijatakseen ihmisaivoja toimimaan laukaisun perusteella, ovat tyypillisiä sille, miten normaalisti kehitämme ihmissuhteita:
Luottamus: Tunnetun tuotemerkin käyttäminen phishing-sähköpostin pohjana antaa huijarille mahdollisuuden käyttää luottamusta ihmisen hakkerointiin. Suosittuja tuotemerkkejä joukkokohteena olevissa phishing-kampanjoissa ovat Office 365, Facebook, Google ja eBay. Kohdennetummat kampanjat voivat kuitenkin valita brändin, joka on lähempänä yritystä, esimerkiksi tietyn verkkosovelluksen tai myyjäportaalin. Tällaiset kampanjat voivat tehdä phishing-sähköpostiviesteistä entistäkin vaikeammin havaittavia ja lisätä hyökkäykseen ylimääräisen luottamuksen elementin, jos väärennetty tuotemerkki on läheisesti yhteydessä kohteeseen ja hyvin tunnistettavissa. Jopa tietoturvatoimittajat voivat joutua phishing-kampanjoissa tuotemerkkien väärentämisen uhreiksi: Check Point Softwaren, luotettavan tietoturvatoimittajan, tuotemerkkiä käytettiin phishing-sivustolla.
Uteliaisuus ja kiireellisyys: Nämä ovat tyypillisiä phishing-kampanjan elementtejä. Huijarit huijaavat käyttäjiä tekemään tarjouksensa saamalla heidät tuntemaan, että he ovat tekemisissä luotettavan tahon kanssa ja että tehtävä on kiireellinen. Esimerkkinä tästä on Office 365:n phishing-kampanja vuodelta 2020. Tutkijat tunnistivat kampanjan, joka alkoi sillä, että työntekijä sai sähköpostin, jossa näytettiin "vastaamatta jäänyt ääniviesti". Käyttäjiä kehotettiin napsauttamaan painiketta, jolla he pääsivät Office 365 -tililleen päästäkseen käsiksi vastaamatta jääneeseen viestiin. Viestissä näytettiin myös "Message from Trusted server" -ilmoitus sähköpostin yläreunassa "luottamuselementin" rakentamiseksi. Jos käyttäjä napsautti painiketta ja syötti tunnukset väärennetylle Office 365 -sivustolle, nämä tunnukset varastettiin.
Vakuuttava ääni: Vakuuttelu on tärkeä osa phishing-menestystä. Cialdininin markkinointitutkimuksen mukaan asiakkaiden käyttäytymiseen vaikuttamisessa käytetään kuutta perusperiaatetta. Tutkimusryhmä, joka tutki, miten sosiaalinen manipulointi toimii tietojenkalastelussa, käytti näitä periaatteita sekä samankaltaisia suostuttelua ja vaikuttamista koskevia tutkimuksia. Tutkijat löysivät viisi erittäin vakuuttavien ja siten onnistuneiden phishing-kampanjoiden avaintekijää:
- Viranomainen: Auktoriteetti: Arvovaltaisen nimen käyttö, esim. yrityksen toimitusjohtaja.
- Sosiaalinen todiste: Rakenna kampanja, jossa käytetään vertaispaineita käyttäytymisen edistämiseen.
- Tykkääminen, samankaltaisuus, petos: Onnistunut suostuttelu toimii, kun ihmiset tai aiheet ovat tuttuja.
- Sitoutuminen, vastavuoroisuus ja johdonmukaisuus: Ihmiset haluavat olla johdonmukaisia ja uskoa, mitä muut sanovat ja tekevät: esimerkiksi palveluksen takaisinmaksaminen.
- Häiriötekijä: Huijaaja voi harhauttaa henkilöä huijauksen merkeistä luomalla kiireen tunteen, esimerkiksi että tuote tulee kalliimmaksi, jos et toimi nyt.
Sosiaalisen suunnittelun tunteet
Tunnereaktiot ovat sellaisia, jotka ovat syvälle juurtuneita meihin kaikkiin. American Psychological Societyn vuonna 2018 julkaisemassa tutkimuksessa tutkittiin suostuttelun ja tunnemanipulaation käyttöä phishing-kampanjoissa. Tutkijat tarkastelivat "emotionaalista kiihottumista petostaktiikkana". Tutkimuksessa havaittiin, että kaikenikäiset ihmiset reagoivat sekä positiivisiin että negatiivisiin suostutteluviesteihin ja tekivät huonoja päätöksiä vastatessaan niihin. Tutkimuksessa todetaan, että "emotionaalinen kiihtymys voi vaikuttaa alttiuteen harhaanjohtavalle informaatiolle ja että tätä vaikutusta esiintyy sekä vanhemmilla että nuoremmilla aikuisilla". Tämä käyttäytyminen sopii hyvin huijareille, ja phishing-viestit sisältävät usein osan, joka herättää tunnereaktion, kuten edellä mainituissa esimerkeissä on nähty.
Miten pysyä turvassa Social Engineeringiltä
Sosiaalinen manipulointi on vaarallista, koska siinä käytetään hyväksi luonnollista käyttäytymistämme saadaksemme meidät napsauttamaan haitallista linkkiä tai lataamaan tartunnan saaneen liitetiedoston. Mutta phishing-huijaajat myös muokkaavat tekniikoita ja työkaluja varmistaakseen jatkuvan menestyksen. Phishingin muuttuvat toimintamallit ja kohteiden hienostunut manipulointi tekevät tästä salakavalasta tietoverkkorikollisuudesta yhden vaikeimmin torjuttavista rikostyypeistä. Ei ole olemassa yhtä ainoaa ratkaisua, jolla phishingin onnistuminen voitaisiin estää. Sen sijaan phishing-yrityksen havaitseminen ja estäminen edellyttää tietoturvatietoisuuskoulutuksen ja teknisten ratkaisujen yhdistelmää.
