Tailgating ymmärtäminen social engineering-ilmiönä
Mitä on tailgating? Tailgating on sosiaalisen manipuloinnin tekniikka, jota käyttävät henkilöt, jotka pyrkivät luvattomaan pääsyyn suojatuille alueille seuraamalla valtuutetun henkilön perässä. Tämä taktiikka käyttää hyväkseen ihmisten kohteliaisuutta, jolloin tunkeutuja pääsee sisään ilman asianmukaista todentamista.
Uutisotsikot ovat täynnä massiivisia tietoturvaloukkauksia, ja analyytikot kertovat meille usein monimutkaisista hakkeroinneista.
Frank Abagnale oli yksi maailman pahamaineisimmista hakkereista. Hänen rikollinen toimintansa tuli tunnetuksi hänen elämästään kertovasta elokuvasta "Catch me if you can". Frank teki suuren osan hakkeroinnistaan 1960-luvulla. Hän käytti matalan teknologian sosiaalisia tekniikoita, kuten "Tailgatingia", esiintyäkseen lääkärinä ja lentäjänä helpottaakseen erilaisia taloudellisia huijauksia. Huijauksissaan Frank väärensi väärillä henkilöllisyyksillä shekkejä ja lunasti ne. Frank varasti suuria rahasummia ja päätyi lopulta 12 vuoden vankeuteen petoksesta. Frank on sittemmin jo kauan sitten jättänyt rikollisen elämänsä ja ryhtynyt neuvomaan, miten tietoverkkorikollisuutta voidaan ehkäistä.
Frank käytti sosiaalista manipulointia tehdäkseen petoksia manipuloimalla tilanteita ja ihmisiä. Näissä hyökkäysmenetelmissä keskitytään tyypillisesti ihmisen käyttäytymisen heikkouksiin, joita hyödynnetään kyberhyökkäysten, kuten rikosvahinkojen, varastovarkauksien, lunnasohjelmatartuntojen, yrityssähköpostin vaarantamisen (Business Email Compromise, BEC) ja tietojen paljastumisen, käynnistämiseen. Termi "insinöörityö" pettää monien sosiaaliseen insinöörityöhön liittyvien ongelmien usein hienovaraisen ja matalan teknologian luonteen. Seuraavassa tarkastellaan matalan teknologian hakkerointitaktiikkaa, joka tunnetaan nimellä "Tailgating".
Mitä on tailgating kyberuhan yhteydessä?
Uutisotsikot ovat täynnä massiivisia tietoturvaloukkauksia, ja analyytikot kertovat meille usein monimutkaisista hakkeroinneista. Kaikki hakkeroinnit eivät kuitenkaan ole digitaalisia, vaan monet niistä tehdään matalan teknologian keinoin. Jopa nämä matalan teknologian hyökkäykset voivat kuitenkin johtaa suuriin tietoturvaloukkauksiin ja varkauksiin.
Tailgating, joka tunnetaan toisinaan nimellä "Piggbacking", on matalan teknologian sosiaalinen manipulointi, joka on pikemminkin fyysinen kuin digitaalinen hakkerointi. Tämä fyysinen hyökkäys voi kuitenkin johtaa digitaaliseen kyberhyökkäykseen.
Tyypillinen esimerkki pyristelystä on se, että huijari pääsee yrityksen rakennukseen teeskentelemällä olevansa laillinen vierailija, tavarantoimittaja tai vastaava. Siemens Enterprise Communicationsin konsultti Colin Greenless osoitti vuonna 2009, kuinka helppoa ja vahingollista pyristely on. Greenless pääsi luvatta FTSE 100 -listalla olevaan rahoituslaitoksen rakennukseen ja löysi 20 minuutissa erittäin arkaluonteisen yrityskauppoja ja -järjestelyjä koskevan asiakirjan, joka oli näkyvillä pöydällä.
Tailgatingin tai piggbackingin psykologia
Takaa-ajossa tai piggbackingissa hyödynnetään ihmisten käyttäytymistä ja tilanteita. Tailgating on in situ social engineering -taktiikka, eli tailgaterin on oltava fyysisesti ympäristössä, jota hän haluaa hyödyntää. Tämä tuo esiin muita tärkeitä tekijöitä onnistuneen salakatselun kannalta, nimittäin tekosyiden käytön (pretexting).
Tekosyiden käyttäminen on luultavasti yhtä vanhaa kuin ihmisyhteiskunta. Se on Frank Abagnalen tapaan sitä, että esiintyy jonain toisena henkilönä saadakseen arkaluonteisia tai tärkeitä tietoja toiselta henkilöltä tai ryhmältä. Pyrkiessään tekaistuun tekoon rikoksentekijä usein omaksuu sellaisen identiteetin, joka saa kohteen olemaan avoimempi paljastamaan tietoja tai suorittamaan jonkin teon (kuten avaamaan oven). Tekosyyn käyttäminen edellyttää kohteen tutkimista. Se rakentuu myös luottamuksen käsitteelle - mitkä edellytykset auttavat luotettavan persoonan rakentamisessa, jotta mikä tahansa sosiaalisen manipuloinnin skenaario onnistuisi paremmin? Jos sosiaalinen insinööri haluaa esimerkiksi varjostaa kohdeyritystä, hän voi käyttää aikaa sen tutkimiseen, minkälaisia kävijöitä organisaation rakennukseen tulee; onko esimerkiksi toimitukset tehty tiettyyn aikaan. Tämän tiedonkeruun avulla huijari voi rakentaa luotettavan persoonan, jota hän voi käyttää manipuloidakseen ja vaikuttaakseen työntekijöihin niin, että he päästävät hänet normaalisti suojattuun rakennukseen tai huoneeseen.
Haitat tailgating tai piggybacking työpaikalla
Tailgating ei ole vain sitä, että joku leikkii hölmöä ja pääsee rakennukseen huvikseen. Tailgatingiin liittyy ilkivaltainen tarkoitus, ja tekijät tekevät tämän teon aiheuttaakseen omaisuusvahinkoja, varastakseen tietoja, asentaakseen haittaohjelmia ja jopa vaarantaakseen henkilökunnan hengen. Boon Edamin hiljattain tekemässä tutkimuksessa 71 prosenttia vastaajista tunsi olevansa vaarassa joutua fyysisen rikkomuksen kohteeksi, joka johtui salakatselusta.
Tailgatingia esiintyy missä tahansa muodossa, ja sen harjoittajat voivat olla entisiä työntekijöitä tai tuntemattomia.
Entiset työntekijät: Tutkimusten mukaan 80 prosenttia kybervastuukanteista johtuu työntekijöiden huolimattomuudesta, mukaan lukien huijarit. Nämä entiset työntekijät ovat usein tyytymättömiä, etsivät kostoa ja vahingoittavat omaisuutta sekä varastavat yrityksen tietoja ja arkaluonteisia tietoja koston toteuttamiseksi.
Muukalaisvaara: Colin Greenlessin takapakki-harjoituksen aikana 17 työntekijää antoi pyynnöstä Colinille salasanansa. Huijarit suunnittelevat hyökkäyksensä yleensä hyvissä ajoin etukäteen. He tietävät, ketkä ovat heidän kohteensa, ja salasanojen lisäksi myös kulkuluvat ovat heidän pakkohankintalistallaan. Kohteliaisuus tuntemattomalle voi johtaa vaarantuneisiin tileihin, tietomurtoon ja jopa haittaohjelman asentamiseen.
Miten lopettaa tailgating?
Turvallisuuspolitiikka on tärkeä ensimmäinen askel pyrittäessä kehittämään menetelmiä, joilla estetään "tailgating"-tapahtumat. Politiikassa on otettava huomioon pyristelyn menetelmät ja se, miten pyristelijä voidaan pysäyttää. Jos haluat pysäyttää tailgating-toiminnan ennen kuin se pääsee organisaatiosi ihon alle, tarkastele seuraavia osa-alueita:
Perusteet
Opeta työntekijöille, mitä peräänajaminen on, miten se tapahtuu ja mitä seurauksia sillä on. Tämän pitäisi olla osa jatkuvaa tietoturvatietoisuuskoulutusohjelmaa. Tietoturvatietoisuusohjelmien tulisi kattaa kaikki kyberuhkien näkökohdat, sekä digitaalisen että fyysisen turvallisuuden.
Valppaus
Kannusta työntekijöitä valppaaseen asenteeseen. Kaikkia epäilyttäviltä vaikuttavia henkilöitä on pyydettävä esittämään valtakirjansa. Vielä parempi on ottaa käyttöön prosessi, jonka avulla työntekijät voivat ilmoittaa epäilyksistään turvallisuustiimin jäsenelle tai esimiehelle.
Ympäristötietoisuus
Kouluta työntekijöitä seuraajien toimista, kuten yrityksistä päästä fyysisesti rajoitetuille alueille, kun valtuutettu henkilö astuu tilaan. Varmista, että työntekijät tietävät, että hännystelyyn liittyy luottamuksen rakentamiseen käytettäviä temppuja.
Itsevarmuus
Kohteliaisuus on tärkeää, mutta määrätietoisuus voi auttaa estämään vakavan yritysrikkomuksen. Työntekijöille on opetettava, millaisia temppuja hännänvartijoilla on ja miten rikolliset käyttävät epäkohteliaalta näyttämisen pelkoa turvatoimien kiertämiseen.
Sulje ovi tailgating tai piggybacking
Colin Greenless oli valkohattuinen hakkeri, ja hänen seikkailunsa tehtiin läpinäkyviksi, jotta estettäisiin perässäjuoksu. Tailgating on kuitenkin edelleen arkipäiväinen tapahtuma. Tuoreempi esimerkki koski naista, joka pääsi Mar-a-Lago Trump Resortin rajoitetulle alueelle mukanaan neljä mobiililaitetta, kannettava tietokone, ulkoinen kiintolevy ja haittaohjelmia sisältävä muistitikku. Vaikka turvatasot olivat presidentin tasolla, nainen pystyi kiertämään turvatoimet teeskentelemällä, ettei hän ymmärrä turvahenkilöstön kysymyksiä, minkä seurauksena "turvahenkilöstö syytti kielimuuria ja päästi hänet sisään".
Henkilöt, joiden tarkoituksena on vahingoittaa organisaatiota ja/tai syyllistyä petokseen, tekevät kovasti töitä huijaamaan työntekijöitä. Inhimilliset piirteet, kuten kohteliaisuus tai valppauden puute tai vain työn häiritsevyys, voivat johtaa siihen, että pahansuovat henkilöt pääsevät organisaatioon pahansuovassa tarkoituksessa. Työntekijöitä on valistettava vaaroista, joita voi aiheutua harmittomalta vaikuttavista tilanteista, kuten siitä, että toimistoon ilmestyy joku, jonka ei ehkä pitäisi olla siellä. Turvallisuustietoisuuskoulutuksella suljetaan ovi salakatselulta ja annetaan työntekijöille tarvittavat tiedot tämän salakavalan ongelman ratkaisemiseksi.