Phishing-hyökkäykset: Miksi emme ajattele ennen kuin klikkaamme?

Phishing-hyökkäyksissä on kyse yhtä paljon ihmisten käyttäytymisen manipuloinnista kuin tekniikasta. Tämä toteamus kiteyttää sen, miksi on niin vaikeaa estää phishing-kampanjoita, jotka johtavat lunnasohjelmiin, varastettuihin tunnistetietoihin ja muihin verkkohyökkäyksiin.

1970-luvulla järjestettiin rattijuopumuskampanja, jonka tunnuslause oli "Ajattele, ennen kuin juot, ennen kuin ajat". Se oli tehokas kampanja, joka auttoi vähentämään rattijuopumusonnettomuuksia Yhdistyneessä kuningaskunnassa. Ihmisten saaminen "ajattelemaan" ennen kuin he toimivat, ei ole niin helppoa kuin miltä se kuulostaa. Itse asiassa phishing-kampanjat perustuvat siihen, että sähköpostia ei ajatella, vaan siihen, että sähköpostiin reagoidaan nopeasti. Phishing on vakava asia, sillä tuoreen raportin mukaan 95 prosenttia IT-johtajista uskoo, että tiedot ovat vaarassa sähköpostikanavan kautta. 

Miten siis tavallinen yritys voi toivoa, että se onnistuu yhtä hyvin kuin 70-luvun rattijuopumuskampanja, kun on kyse verkkorikollisten temppujen torjumisesta?

Phishing-hyökkäykset ja ihmisten käyttäytyminen

Tämä ennaltaehkäisyn vaikeus näkyy phishing-hyökkäysten onnistumisessa: Vakuutusyhtiö Beazley havaitsi lunnasohjelmahyökkäysten lisääntyneen 105 prosenttia vuoden 2019 ensimmäisellä neljänneksellä. Mutta vuonna 2020 phishing-hyökkäykset nousivat mittakaavasta. FBI julkaisi raportin , jonka mukaan phishing oli ylivoimaisesti yleisin sen valitusosastolle IC3 ilmoitetuista rikoksista. Yksi phishing-menestyksen liikkeellepanevista voimista viimeisten 12 kuukauden aikana on ollut Covid-19-pandemia, joka tarjosi phishereille runsaasti tilaisuuksia ihmisten käyttäytymisen hyödyntämiseen: tästä on osoituksena Covid-19-pohjaisten uhkien huikea 30 000 prosentin kasvu vuonna 2020; suurin osa näistä hyökkäyksistä käytti haitallisia verkkosivustoja ja phishing-sähköposteja.

Phishing (ja sen muunnelmat, Vishing/Smishing/Pharming) on yleinen hyökkäysmuoto, koska tekniikka toimii. Se toimii, koska siinä käytetään ihmisen luonnollista käyttäytymistä sellaisen toiminnan toteuttamiseen, joka hyödyttää hyökkäyksen takana olevaa tietoverkkorikollista. Kyky manipuloida laillista ihmistä laittomaan toimintaan on huijauksen tunnusmerkki jo ennen nykyaikaisten tekniikoiden tuloa. Teknologia voi kuitenkin huijata jopa asiantuntevia käyttäjiä, sillä teknologian käyttötavat ovat "kovakoodattuja", kun järjestelmä tulee tutuksi. 

Esimerkiksi sähköposti on jokapäiväistä teknologiaa, jota käytämme jatkuvasti. Vuonna 2020 lähetettiin ja vastaanotettiin 306,4 miljoonaa sähköpostia päivittäin. Sähköpostin avaaminen ja linkin napsauttaminen on melkeinpä toinen luontomme, polvitaipumus tavalliseen tehtävään. Juuri tähän toistuvuuteen ja toimintaan tarvittavan ajattelun puutteeseen phisher keskittyy.

5 Tyypillistä phishing-ominaisuutta

Phishing-hyökkäyksillä halutaan saada ihmiset kiinni ennen kuin he ajattelevat liikaa. Tätä varten kampanjoissa on varmistettava, että tietyt kriteerit täyttyvät ja että olosuhteet ovat optimaaliset:

1. Luotettava lähde: Yksi keino poistaa ajatuskulku on saada sähköpostin vastaanottaja tuntemaan itsensä turvalliseksi. Phishing-kampanjat naamioituvat yleensä tunnetuiksi tuotemerkeiksi. Tarkasteltaessa, mitä tuotemerkkejä huijarit käyttävät, Microsoft on toistuvasti yksi huijareiden suosikkibrändeistä, joita he haluavat huijata. Muita väärennettyjä tuotemerkkejä ovat Netflix ja PayPal.
2. Klikkauksen houkutus: Vaikka 79 prosenttia ihmisistä sanoo tunnistavansa phishing-sähköpostin, lähes puolet klikkaa silti epäilyttävän sähköpostin linkkiä. Syynä tähän käytökseen on todennäköisesti se, että meidät kaikki on opetettu käyttämään internetin välityksellä lähetettävää sisältöä. Klikkaaminen on lähes Pavlovin reaktio, kun sähköpostiviesti sisältää linkin. Käyttäjäkokemuksen (UX) suunnittelijat ovat käyttäneet tällaista ehdollistamista auttaakseen ihmisiä käyttämään teknologiaa helpommin; tietoverkkorikolliset käyttävät samaa psykologista manipulointia saadakseen meidät klikkaamaan phishing-linkkiä phishingin seuraavan vaiheen aloittamiseksi.
3. Johtaminen tehtävän mukaan: Sähköpostin pitäminen keskittyneenä yksinkertaiseen tehtävään auttaa poistamaan ajatusprosessin. Toistuvat ja tunnistetut tehtävät, kuten salasanojen palauttaminen, ovat huijareiden suosikkeja. Tämä mahdollistaa tärkeän "klikkauksen" tekemisen ilman, että mahdollisia seurauksia tarvitsee miettiä liikaa. Jos tehtävä liittyy työhön, on todennäköisempää, että klikkaus tehdään ja phishing-tapahtuma käynnistetään.
4. Kiireellisyys: Usein phishing-sähköpostit sisältävät jonkinlaisen ohjaimen, joka saa automaattisen klikkauksen käynnistymään. Tällaisia ajureita ovat usein uhka kurinpidosta tai huoli jostakin toimenpiteestä, kuten laskun maksamisesta. Jotkin phishing-kampanjat ovat hyvin kohdennettuja (Spear phishing). Näissä kampanjoissa esiintyy usein toimitusjohtajana; valepäällikkö lähettää sitten sähköpostia kirjanpito-osastolle ja pyytää kiireellisesti siirtämään rahaa pankkitilille. Tilin omistaa tietenkin huijari.  
5. Ylityöllistetty: Tutkimuksessa, jossa tutkittiin sairaaloita, joihin kohdistettiin phishing-kampanjoita, todettiin, että ylikuormittunut henkilökunta klikkaa todennäköisemmin phishing-linkkiä. Jos sinulla ei ole aikaa ajatella, oletusarvoisesti käytät automaattista vastausta.

Huomautus spear phishing -hyökkäyksistä. Tämäntyyppinen tietojenkalasteluhyökkäys vaatii syvällisempää tiedustelua, jotta kohteelle voidaan toimittaa vakuuttavampia phishing-sähköposteja. Tämä yksityiskohtaisuus tekee spear phishing -sähköpostiviesteistä entistä vaikeampia havaita. Tämän vuoksi spear-phishing-sähköpostihyökkäykset lisääntyivät 667 prosenttia Covid-19-pandemian aikana.

Miten saada työntekijä klikkaamaan phishing-linkkiä?

Verkkorikolliset ovat mestarillisia luomaan edellytykset onnistuneelle phishing-kampanjalle. Käyttämällä kaikkia temppuja, joilla käyttäjä saadaan klikkaamaan, kuten väärennettyjä luotettuja tuotemerkkejä, jotta käyttäjä olisi helppo syötti. Esimerkkinä tästä oli Office 365:n phishing-huijaus vuonna 2020. Siinä oli kaikki elementit, joilla manipuloidaan käyttäjiä klikkaamaan ennen ajattelua:

• Työntekijöille lähetettiin väärennettyjä sähköpostiviestejä, jotka oli tehty näyttämään Microsoft Office 365:ltä. 
• Sähköpostin otsikko oli "COVID-19-koulutus työntekijöille: Työntekijöitä kehotettiin toimimaan sähköpostiviestissä työsyistä.
• Sähköpostin vastaanottajia pyydettiin napsauttamaan sähköpostissa olevaa linkkiä, joka vei heidät väärennetylle Office 365 -kirjautumissivulle: sivu näytti identtiseltä aidon Office 365 -sivun kanssa.
• Käyttäjää kehotettiin antamaan Office 365 -tunnuksensa kirjautuakseen sisään ja saadakseen varmenteen. Jos hän teki niin, nämä tunnistetiedot varastettiin ja niitä käytettiin kirjautumiseen oikeaan Office 365 -portaaliin.

Miten estää työntekijää klikkaamasta phishing-linkkiä?

Kovakoodatun käyttäytymisen ehkäiseminen edellyttää erikoistunutta valistuskoulutusta. Teknologit ovat suunnitelleet järjestelmät helppokäyttöisiksi ja tehneet klikkaamisesta helppoa, mutta tämä automaattinen klikkausreaktio on rikottava, jotta phishing onnistuu. Tarjoamalla hyvin harkitun, kontrolloidun phishing-testin organisaatio voi auttaa muuttamaan käyttäytymistä, josta verkkorikolliset ovat riippuvaisia. Simuloidut phishing-testit luovat turvallisen ympäristön, jossa käyttäjille voidaan opettaa, millä hienovaraisilla tavoilla phisherit manipuloivat heidän käyttäytymistään, jotta he voivat varoa näitä temppuja. Osana laajempaa tietoturvatietoisuusohjelmaa phishing-simulointi on tehokas keino estää onnistunut phishing, joka johtaa varastettuihin tunnistetietoihin, tietojen paljastumiseen ja lunnasohjelmatartuntoihin.