Ihmiset ovat sosiaalisia eläimiä; haluamme seurustella, kommunikoida, työskennellä ja pitää hauskaa yhdessä. Tämä sosiaalistunut käyttäytyminen, joka perustuu luottamuksellisiin suhteisiin, saa ihmisryhmät tekemään yhteistyötä ja elämään rinnakkain.
Valitettavasti myös tietoverkkorikolliset, joiden tarkoituksena on vahingoittaa ihmisiä, voivat hyödyntää haavoittuvuuksia juuri näissä ihmisten käyttäytymisen sosiaalisissa piirteissä. Social Engineering -hyökkäyksissä käytetään huijausta ja henkilöitymistä huijaamaan ihmisiä tekemään toimia, jotka hyödyttävät huijaria.
Tämä käy ilmi vuonna 2022 julkaistusta Verizon Data Breach Investigations Report (DBIR) -raportista, jossa todettiin, että 82 prosentissa tietomurroista on mukana inhimillinen tekijä.
Seuraavassa tarkastellaan, miten sosiaalista manipulointia hyödyntävät hyökkäykset tapahtuvat ja mitä voit tehdä estääkseen henkilökuntasi joutumisen sosiaalisen manipuloinnin kohteeksi.
Miten Social Engineering -hyökkäykset tapahtuvat?
Erään raportin mukaan keskiverto organisaatio kokee vuosittain 700 sosiaaliseen manipulointiin liittyvää hyökkäystä. Sosiaalisen manipuloinnin hyökkäyksiä on monenlaisia, ja ne kehittyvät uusiksi, jotta ne eivät paljastuisi.
Sosiaalisen suunnittelun hyökkäyksen tarkoituksena on saada joku tekemään jotain, joka hyödyttää verkkorikollista. Esimerkiksi henkilön huijaaminen paljastamaan taloudellisia tietoja, joita käytetään sitten petosten tekemiseen.
Sosiaalinen manipulointi ei ole vain digitaalisten menetelmien käyttöä. Sosiaaliset insinöörit turvautuvat mihin tahansa taktiikkaan rakentaakseen ihmisten huijaamiseen tarvittavat rakenteet. Tämä voi tarkoittaa esimerkiksi puhelimen käyttöä tai toimistoon kävelemistä ja keskustelua henkilökunnan kanssa.
Tämänhetkisiä suosikkitemppuja ovat mm:
Tekosyyt ja varjostaminen: hyökkääjät teeskentelevät olevansa työtoveri tai auktoriteettihenkilö, esimerkiksi poliisi. He käyttävät tätä valepukua luodakseen luottamuksen kohteeseen digitaalisen menetelmän, puhelimen tai henkilökohtaisen tapaamisen kautta. Kun luottamus on luotu, huijari yrittää saada tietoja, kuten henkilötietoja tai taloudellisia yksityiskohtia.
Lisäksi hännänvartijat tekevät usein fyysisiä hyökkäyksiä yrityksiin ja keksivät keinoja päästä rakennukseen, livahtaa sisään huomaamatta tai jopa kutsuttuna. Kun he ovat päässeet rakennukseen, he voivat käyttää helposti saatavilla olevia työkaluja, kuten RubberDuckya, jota lailliset tunkeutumistestaajat käyttävät, varastamaan tietoja, kuten kirjautumistietoja.
Phishing: Phishing on monenlaista, kuten sähköpostia, puhelinsoittoja, sosiaalisen median viestejä ja tekstiviestejä. Phishing-viesteissä käytetään sosiaalista manipulointia, teeskentelyä, luottamusta ja klikkailunhalua, jotta vastaanottajat paljastaisivat henkilökohtaisia tietoja, kuten salasanoja ja luottokorttitietoja.
Yhdistyneen kuningaskunnan hallituksen tekemässä verkkoturvallisuutta koskevassa tutkimuksessa todettiin, että valtaosa (83 %) yrityksistä, jotka havaitsivat verkkohyökkäyksen, kertoi, että hyökkäyksen ensisijainen kohde oli tietojenkalasteluhyökkäys.
Spearphishing on kohdennettu phishing-muoto, jossa sosiaalinen manipulointi on menestyksekkäimmillään. Spear-phishing-sähköposteja on vaikea erottaa laillisista sähköposteista, koska huijarit näkevät paljon vaivaa saadakseen ne näyttämään realistisilta ja luovat usein luottamuksellisia suhteita kohteeseensa. Spearphishing on vuoden 2018 DBIR:n mukaan 93 prosentin kyberhyökkäysten takana.
Houkuttelu: Tässä sosiaalisen manipuloinnin hyökkäyksessä käytetään houkutusta tai pelkoa siitä, että menetetään jotain (FOMO), kannustamaan tiettyyn käyttäytymiseen. Työntekijälle saatetaan esimerkiksi tarjota ilmaisia lahjoja, jos hän antaa henkilökohtaisia tai yrityksen tietoja tai salasanoja.
Miksi Social Engineering -hyökkäykset ovat tehokkaita?
Ihmiset ovat kehittyneet toimimaan ja käyttäytymään tietyllä tavalla luodakseen vahvoja ja yhtenäisiä sosiaalisia rakenteita. Luottamuksen kaltaiset elementit ovat yhtenäisten yhteiskuntien elintärkeitä osia. Ilman luottamusta suhteet epäonnistuvat.
Huijarit ymmärtävät ihmisten käyttäytymistä ja tarvetta rakentaa luottamuksellisia suhteita. He ymmärtävät myös, miten manipuloida ihmisiä esiintymällä luotettavana henkilönä tai rakentamalla luottamusta.
Tietoverkkorikolliset käyttävät hyväkseen myös muita inhimillisiä käyttäytymismalleja, kuten halua tehdä hyvää työtä, olla joutumatta vaikeuksiin tai olla jäämättä paitsi hyvästä asiasta. Kaikki nämä luonnolliset toimet, joita teemme päivittäin koti- ja työelämässä, ovat alttiita tietoverkkorikollisten hyväksikäytölle, kun he pyrkivät varastamaan tietoja ja pääsemään verkkoihin pahansuovien tekojen toteuttamiseksi.
5 esimerkkiä Social Engineering -hyökkäyksistä
Esimerkkejä sosiaalisesta manipuloinnista julkaistaan säännöllisesti lehdistössä, mutta tässä on viisi esimerkkiä, jotka antavat sinulle esimakua siitä, miten sosiaalinen manipulointi toimii:
Marriott-hotelli: Hakkeriryhmä käytti sosiaalista manipulointia varastamaan 20 gigatavua henkilökohtaisia ja taloudellisia tietoja Marriott-hotellista. Hakkerit huijasivat Marriott-hotellin työntekijän antamaan hakkeriryhmälle pääsyn työntekijän tietokoneelle.
Yhdysvaltain työministeriö (DoL ): kyseessä oli sosiaalisesti manipuloitu hyökkäys, jossa varastettiin Office 365 -kirjautumistiedot. Hyökkäyksessä käytettiin kehittynyttä phishing-toimintoa, joka perustui taitavasti väärennettyihin verkkotunnuksiin, jotka näyttivät aivan lailliselta DoL:n verkkotunnukselta. Sähköpostiviestit näyttivät olevan peräisin DoL:n vanhemmalta työntekijältä, joka kehotti jättämään tarjouksen hallituksen hankkeesta. Tarjouksen painikkeen napsauttaminen vei työntekijän phishing-sivustolle, jota käytettiin tunnistetietojen varastamiseen.
Zoom-käyttäjät: työntekijöihin kohdistettu phishing-kampanja vaikutti ainakin 50 000 käyttäjään. Sosiaaliset insinöörit käyttivät irtisanomisen pelkoa rohkaistakseen työntekijöitä klikkaamaan linkkiä, jotta he voisivat tavata HR:n kanssa Zoomin kautta. Linkkiä napsauttamalla työntekijä siirtyi väärennetylle Zoom-kirjautumissivustolle, jonka tarkoituksena oli varastaa salasanat.
FACC (itävaltalainen lentokonevalmistaja): FACC menetti noin 42 miljoonaa euroa , kun yritys joutui kehittyneen BEC-huijauksen (Business Email Compromise) uhriksi. Yrityksen toimitusjohtajan sähköpostitili väärennettiin ja sitä käytettiin lähettämään "kiireellinen" sähköpostipyyntö rahansiirrosta. Sähköpostiviesti huijasi tilivelvollista työntekijää, joka vastasi pyyntöön ja maksoi rahat huijarin tilille.
Crowdstrike callback: Jopa tietoturvatoimittajat tuntevat sosiaalisen manipuloinnin voiman. Crowdstrikesta on tullut tietämättään pelinappula sosiaalisten insinöörien pelissä. Huijarit käyttävät Crowdstriken ja muiden tietoturvatoimittajien luotettavaa brändiä lähettääkseen työntekijöille phishing-sähköposteja. Sähköposti sisältää tietoja mahdollisesta haittaohjelmatartunnasta ja puhelinnumeron, johon on soitettava asennetun haittaohjelman poistamiseksi. Jos työntekijä soittaa numeroon, hänet huijataan antamaan hyökkääjälle pääsy tietokoneeseensa.
Miten suojautua sosiaalisilta insinöörityön hyökkäyksiltä
Sosiaalinen manipulointi onnistuu, koska tekniikka manipuloi jokapäiväisiä toimintojamme. Tämän vuoksi työntekijöiden on vaikea huomata, että he ovat osa sosiaaliseen manipulointiin liittyvää hyökkäystä.
Sosiaalisen manipuloinnin on oltava osa tietoturvatietoisuutta koskevaa keskustelua, ja tietoturvakäytäntöjen olisi heijastettava tätä. On kuitenkin olemassa käytännöllisiä keinoja varmistaa, että työntekijät ovat ajan tasalla sosiaalisten huijareiden tempuista:
Tee sosiaalisesta manipuloinnista osa turvallisuuskulttuuriasi:
- Pyydä henkilöstöä säännöllisesti päivittämään tietoja sosiaalisesta manipuloinnista ja sen toiminnasta.
- Varmista, että sosiaalinen manipulointi on osa säännöllistä tietoturvatietoisuuskoulutusta.
- Sisällytä sosiaalinen manipulointi tietoturvatietoisuuskuukauden julisteisiin ja lähetä henkilöstölle uutiskirjeitä sosiaalisen manipuloinnin aiheuttamista ongelmista.
Phishing-simulaatioiden käyttöönotto: käytä kehittynyttä simuloitua phishing-alustaa kouluttaaksesi henkilöstöä siitä, miltä phishing-sähköpostit näyttävät, ja testataksesi heidän reaktiotaan phishing-sähköpostiin. Räätälöi nämä sähköpostiviestit organisaatiosi eri rooleille ja perustu simulaatioihin, jotka perustuvat huijareiden käyttämiin tunnettuihin taktiikoihin.
Testaa yritystäsi ja henkilöstöäsi: laadi erilaisia testiskenaarioita, jotta näet, miten hyvin henkilöstö reagoi mahdollisiin sosiaalisen manipuloinnin yrityksiin. Tähän voi sisältyä testejä, joissa selvitetään, kuinka helppoa (tai vaikeaa) on päästä rakennukseen.
Testaa myös henkilökuntaa ja heidän reaktioitaan tuntemattomiin henkilöihin. Esitä testaajia esimerkiksi siivoojina tai urakoitsijoina ja katso, kuinka pitkälle he pääsevät yrityksesi tietojen keräämisessä tai tietokoneen käyttöoikeuden pyytämisessä.
