Verizonin vuonna 2022 julkaiseman Data Breach Investigations Report (DBIR ) -raportin kaltaisissa raporteissa ihmisen katsotaan olevan keskeinen tekijä 82 prosentissa tietoverkkohyökkäyksistä. Huijaajat käyttävät sosiaaliseen suunnitteluun perustuvia tekniikoita huijatakseen ihmisiä suorittamaan toimia, jotka hyödyttävät hakkeria.
Sosiaalinen manipulointi on sateenvarjotermi, joka kattaa monia taktiikoita, joita käytetään työntekijöiden ja muiden käyttäjien manipulointiin. Seuraavassa esitellään kuusi yleisintä sosiaalisen manipuloinnin tyyppiä ja kerrotaan, miten voit estää hakkereita hyödyntämästä niitä onnistuneesti organisaatiossasi.
Kuusi yleisintä Social Engineering -hyökkäystä
1. Phishing ja sosiaalinen manipulointi
Spear-phishing, kohdennettu tietojenkalastelumuoto, on mukana 93 prosentissa verkkohyökkäyksistä vuoden 2018 DBIR-tietokannan mukaan. Ciscon mukaan vähemmän kohdennettu phishing on edelleen toiseksi yleisin verkkohyökkäystaktiikka.
Phishing on täydellinen väline, jonka avulla hakkerit voivat manipuloida ihmisiä, joten se kuuluu sosiaalisen manipuloinnin piiriin. Phishing ilmenee useissa eri muodoissa. Jo aiemmin mainittiin phishing ja spear phishing, mutta hakkerit käyttävät mitä tahansa viestintävälinettä, kuten tekstiviestejä ja puheluita (SMShing ja Vishing), rohkaistakseen ihmisiä klikkaamaan linkkiä haitalliselle verkkosivustolle, antamaan henkilökohtaisia tietoja tai lataamaan saastuneen liitetiedoston.
2. Sosiaalinen media sosiaalista manipulointia varten
Sosiaalinen media tarjoaa kultakaivoksen tietoa, jota verkkorikolliset voivat käyttää hyökätäkseen ihmisiin, sovelluksiin, verkkoihin ja tietoihin: huijarit tarvitsevat tietoja verkkohyökkäysten, kuten BEC-hyökkäysten ( Business Email Compromise ), rahoittamiseen.
Kun työntekijät tai muut henkilöt jakavat tietoja sosiaalisessa mediassa, huijarit tarkkailevat heitä. Erään tutkimuksen mukaan yritykset kohtaavat seuraavia ongelmia, kun työntekijät jakavat tietoja sosiaalisessa mediassa:
- liian monen tiedon jakaminen
- luottamuksellisten tietojen menetys
- lisääntynyt altistuminen oikeudenkäynneille
Kirjoituksessa todetaan, että sosiaalinen media tarjoaa avoimen jakamisvälineen, joka vaikeuttaa sosiaalisen suunnittelun haasteita.
3. Peräänajo ja sikailu
Tailgating on yksi vanhimmista sosiaalisista huijauksista. Tailgating tai piggybacking nähdään usein fyysisenä huijauksena, mutta se voi olla myös digitaalista. Fyysisessä maailmassa huijausta edustaa esimerkiksi huijari, joka livahtaa huomaamatta yrityksen toimistorakennukseen. Huijarit osaavat näyttää huomaamattomilta, minkä ansiosta he pääsevät rakennukseen luvatta tai voivat "liftata" jonkun rakennukseen menevän henkilön perässä.
Sisään päästyään he voivat huijata työntekijöitä jakamaan tilitietoja, kuten salasanoja, tai käyttää hakkerointityökaluja tietojen varastamiseen suoraan tietokoneilta. He voivat jopa käyttää vanhaa temppua, jossa he katsovat verkon arkaluonteiselle alueelle kirjautuneen henkilön olkapäiden yli.
4. Pretexting
Huijaajat tarvitsevat usein tietoja varmistaakseen onnistuneen sosiaalisen huijauksen. Kuten edellä mainittiin, hakkeri voi kerätä tietoja huijatakseen henkilöä sosiaalisen median, phishingin ja pyrstötyön avulla. Pretextingissä käytetään sosiaalista manipulointia, jotta ihmiset uskovat, että huijari on joku viranomainen tai valtuutettu olemaan tietyssä paikassa: toisin sanoen huijari esiintyy jonkun henkilönä.
Hän voi esimerkiksi teeskennellä urakoitsijaa tai C-tason johtajaa; tämä voi vaikuttaa epätodennäköiseltä, mutta itsevarma huijari voi tehdä tämän suuressa organisaatiossa, jossa on useita toimistoja.
5. Houkuttelu
Ihmiset rakastavat ilmaista tavaraa, ja houkuttelussa käytetään tätä käyttäytymistä hyväksi, jotta työntekijät saataisiin luovuttamaan arkaluonteisia tietoja tai taloudellisia yksityiskohtia. Huijari esimerkiksi valitsee työntekijän tai lähettää massasähköpostin, jossa tarjotaan ilmaista tuotetta, kuten elokuvan lataamista. Jos työntekijä painaa latauspainiketta, tuloksena on saastunut laite.
Tämä on tehokas tapa asentaa haittaohjelmia. Esimerkkinä tästä oli Game of Thronesin piraattiversio, josta tuli kaikkien aikojen eniten haittaohjelmia sisältänyt tv-sarja vuonna 2018. Kaikkiaan 126 340 käyttäjää sai haittaohjelmatartunnan ladattuaan tv-sarjan piraattiversion.
6. Quid pro quo
Quid pro quo on latinankielinen ilmaisu (tämä siitä), jota käytetään kuvaamaan jonkin asian vaihtamista tavaroihin tai palveluihin. Tietoverkkorikolliset haluavat tietoja, ja Quid pro quo on yksi keino päästä käsiksi näihin tietoihin.
Tyypillinen Quid Pro Quo -hyökkäys toimii näin: työntekijä saa puhelun "tekniseltä tuelta", joka kertoo, että käynnissä on lunnasohjelmahyökkäys ja että virus on poistettava ennen kuin se vahingoittaa työntekijän työtä. Hakkerin on saatava työntekijän käyttäjätunnus ja salasana tätä varten. Jos työntekijä lankeaa tähän huijaukseen, hakkeri saa pääsyn yrityksen verkkoon, jonka avulla hän voi laajentaa oikeuksiaan arkaluontoisemmille alueille.
Kolme tapaa suojella työntekijöitä Social Engineering -hyökkäyksiltä
1. Ota käyttöön prosessit ja toimintaperiaatteet
Usein sosiaalisten insinöörien on turvauduttava huonoihin prosesseihin, joiden avulla he voivat hyödyntää tietoturva-aukkoja. Esimerkiksi hännänvartijoiden tapauksessa tunkeutuja voi luottaa siihen, että rakennukseen saapuvia henkilöitä ei ole tarkastettu. Sosiaaliset insinöörit luottavat usein luottamukseen auktoriteettihenkilöihin, jotta työntekijä rohkaistaisiin toimimaan, esimerkiksi siirtämään rahaa, kuten BEC-huijauksessa koettiin.
Useimmissa sosiaalisissa huijauksissa tarvitaan tietoja, joten huijarit käyttävät sosiaalista mediaa tai tietojenkalastelua kerätäkseen tietoja, joita he tarvitsevat verkkohyökkäyksen toteuttamiseen. Vankat prosessit, jotka lisäävät tarkastuksia ja tasapainotuksia aina, kun jokin toimenpide, kuten rahan- tai tiedonsiirto, tapahtuu, voivat auttaa estämään sosiaalisen suunnittelun hyökkäyksen. Politiikat, joilla varmistetaan, että työntekijät eivät jaa liikaa tietoja sosiaalisessa mediassa, auttavat välttämään tämänkaltaisen tietojen keräämisen.
2. Kouluta työntekijät sosiaaliseen manipulointiin liittyviin taktiikoihin
Sosiaalista manipulointia on monenlaista, ja sosiaalisen manipuloinnin hyökkäysten takana olevat verkkorikolliset muokkaavat näitä huijauksia välttääkseen havaitsemisen. Siksi tietoturvatietoisuuskoulutuspaketteihin olisi sisällytettävä koulutusta sosiaalisen suunnittelun tempuista, kuten edellä kuvatuista kuudesta huijauksesta.
Koulutuksen on oltava mukaansatempaavaa, ja siinä on käytettävä koulutusmoduuleja, jotka ovat kiinnostavia, hauskoja ja informatiivisia.
Tietoturvatietoisuusalustan tulisi myös tarjota keinoja, joilla voidaan mitata koulutuspaketin onnistumisprosentti, jotta organisaatiosi voi päivittää ja mukauttaa koulutusta parhaiden mahdollisten tulosten aikaansaamiseksi. Työntekijöiden kouluttaminen sosiaalisen suunnittelun hyökkäysten tunnistamiseen olisi suoritettava säännöllisesti, jotta uhkakuvioissa tapahtuvat muutokset voidaan havaita.
3. Käytä simuloituja phishing-ohjelmia
Phishing on keskeinen tekniikka, johon monet sosiaaliseen manipulointiin perustuvat hyökkäykset perustuvat. Phishing-sähköpostin tai muun phishing-viestin paljastavien merkkien havaitseminen on elintärkeä ensimmäinen puolustuslinja sosiaalista manipulointia vastaan.
Phishing-simulaatio-ohjelmisto tarjoaa malleja, jotka voidaan räätälöidä vastaamaan nykyisiä sosiaalista manipulointia koskevia temppuja. Nämä lähetetään sitten tavalliseen tapaan työntekijöille ja muille liikekumppaneille. Jos käyttäjä napsauttaa haitallista linkkiä tai lataa liitetiedoston, simuloitu phishing-alusta puuttuu tilanteeseen antamalla opetuksen siitä, mitä tapahtuisi, jos käyttäjä jatkaisi kyseistä toimintaa.