Elämässäsi saatat kohdata jonkun, joka teeskentelee olevansa joku tai jotain, mitä hän ei ole. Tämä teeskentely tunnetaan nimellä "huijaaminen"; huijaaminen on todennäköisesti ollut osa ihmiskuntaa siitä lähtien, kun kävelimme kahdella jalalla. Tietoturvan alalla huijaaminen on eräänlaista sosiaalista manipulointia, jossa manipuloidaan luottamusta kohteen luottamuksen saamiseksi.
Tietoverkkorikollisuus, johon liittyy jonkinlaista sosiaalista suunnittelua ja huijausta, maksaa yrityksille paljon. Esimerkiksi FBI kirjasi vuonna 2021 noin 2,4 miljardin dollarin tappiot, jotka johtuivat Business Email Compromise (BEC)/ Email Account Compromise (EAC) -valituksista, jotka ovat kehittynyt tietoverkkorikollisuuden muoto, jossa käytetään jonkinlaista huijausta.
Seuraavassa tarkastellaan, mitä huijaus on ja miten se voidaan estää.
Väärennöksen määritelmä
Verkkohuijaus saa henkilön uskomaan, että joku tai jokin, esimerkiksi tietokone tai verkkosivusto, on luotettava, vaikka se ei olekaan. Väärennösten avulla päästään käsiksi johonkin tärkeään tai arkaluonteiseen kohteeseen, kuten tietoihin, laitteeseen tai verkkopalvelimeen, jolloin verkkorikollinen voi varastaa tietoja, asentaa haittaohjelmia tai kiristää rahaa.
Huijaustyypit
Väärennöksiä esiintyy monissa eri muodoissa, ja ne todennäköisesti mukautuvat edelleen, kun yritykset muuttavat toimintamallejaan. Seuraavassa on joitakin yleisimpiä huijauksen muotoja:
Sähköpostin väärentäminen
Huijarit luovat sähköpostiviestejä, jotka näyttävät olevan peräisin tietystä yrityksestä tai henkilöstä: luottamus on tässä avainasemassa. Huijarit käyttävät tunnettujen tuotemerkkien, kuten Microsoftin tai yksittäisen henkilön, kuten toimitusjohtajan, luomaa luottamusta huijatakseen ihmisiä tekemään asioita. Esimerkiksi phishing-sähköposti voi näyttää Office 365 -sähköpostilta; sähköpostiviesti sisältää linkin, jota napsauttamalla pääsee verkkosivustolle, joka näyttää täsmälleen Office 365:n kirjautumissivulta. Käyttäjä, jota aidon näköinen verkkosivusto huijaa, syöttää kirjautumistietonsa, jotka verkkorikollinen varastaa.
URL-osoitteen väärentäminen
Sähköpostiväärennökset yhdistetään usein väärennettyyn verkkosivustoon kirjautumistietojen tai muiden tietojen varastamiseksi tai haittaohjelmatartunnan ponnahduslaudaksi. Väärennetty URL-osoite huijaa sivustolle siirtyvää henkilöä uskomaan, että kyseessä on todellinen verkkosivusto. URL-osoite on samankaltainen kuin todellisen verkkosivuston URL-osoite, mutta tämä verkkosivusto on kuitenkin haitallinen ja perustettu varastamaan tietoja tai tekemään muuta vahinkoa.
Typosquatting / verkkosivuston väärentäminen
Ihmiset voivat helposti kirjoittaa luotettavan verkkotunnuksen URL-osoitteen väärin. Huijarit käyttävät tätä yleistä virhettä huijatakseen ihmisiä luulemaan, että he ovat päätyneet todelliselle verkkosivustolle. Sieltä huijarit käyttävät tätä harhautusta varastamaan kirjautumistietoja tai muita tietoja tai käyttävät sivustoa ponnahduslautana tartuttaakseen laitteeseen haittaohjelman.
Tekstiviestien väärentäminen
Tekstiväärennöksillä huijataan henkilö uskomaan, että tekstiviesti on peräisin yritykseltä tai henkilöltä, jonka hän tuntee ja johon hän luottaa. Väärennettyjä tekstiviestejä on useita eri muotoja. Esimerkkeinä voidaan mainita tekstiviestit, jotka sisältävät phishing-linkin, viestit, jotka näyttävät siltä, että perheenjäsen pyytää rahaa, ja viestit, jotka näyttävät olevan pankista ja pyytävät henkilökohtaisia tai taloudellisia tietoja.
IP-huijaus
IP-osoitteet (Internet Protocol) ovat Internetissä olevan laitteen numeerinen osoite. Osoite on tärkeä, koska sen avulla voidaan siirtää tietoja luotettavien laitteiden sijainteihin ja sijainneista. IP-huijaajat luovat väärän IP-osoitteen esiintyäkseen luotettavana laitteena. Näin huijarit voivat huijata toista laitetta vastaanottamaan tai lähettämään arkaluonteisia tai henkilökohtaisia tietoja kyseiseen lähteeseen. Man-in-the-Middle (MitM) -hyökkäykset toimivat usein IP-väärennösten avulla. MitM-hyökkäykset sieppaavat tietoja, kun ne kulkevat lähteiden välillä, jolloin tietoja voidaan manipuloida tai varastaa.
Syvä väärennöshuijaus (kasvojen huijaus)
Mikä tahansa luotettavan viestinnän muoto voidaan väärentää. Kun kasvojentunnistusjärjestelmät tulevat tutuiksi ja digitaalinen etäviestintä normalisoituu, kasvojen (ja äänen) väärentäminen seuraa. Syväväärennösteknologia käyttää tekoälyä luomaan realistisia mutta väärennettyjä kuvia ja ääniä henkilöistä. Deep fake -huijausten odotetaan lisääntyvän tulevina vuosina, ja huijarit käyttävät niitä todennäköisesti viestinnän väärentämiseen. Esimerkiksi deep fake voice -teknologia oli osallisena BEC-huijauksessa (Business Email Compromise ) vuonna 2019.
Miten huijaus toimii?
Kaikilla huijausmuodoilla on yksi yhteinen piirre: ne käyttävät ihmisten ja/tai tietokoneiden välistä luottamusta tietojen varastamiseen tai manipulointiin. Esittäytymällä luotetuksi tahoksi huijari voi helpommin manipuloida tapahtuman toisessa päässä olevaa ihmistoimijaa (tai laitetta).
Luottamus on keskeinen turvallisuustekijä, ja siksi huijarit keskittyvät luottamuksen manipulointiin ja väärinkäyttöön. Sähköpostiväärennökset ja phishing ovat hyviä esimerkkejä siitä, miten luottamusta voidaan käyttää väärin ihmisten huijaamiseen. Yhdistyneen kuningaskunnan hallituksen "2022 Cyber Security Breaches Survey" -tutkimuksessa83 prosenttia brittiläisistä yrityksistä ilmoitti tietojenkalastelusta. Lisäksi Ciscon vuonna 2021 tekemässä uhkatrendejä kartoittavassa tutkimuksessa todettiin, että 86 prosentissa organisaatioista ainakin yksi käyttäjä oli siirtynyt väärennetylle verkkosivustolle. Raportti yhtyy siihen, että luottamus tarjoaa mahdollisuuksia huijareille, kun se toteaa:
"Phisherit esiintyvät sähköisessä viestinnässä yleensä luotettavana tahona. Siksi se on luultavasti vastuussa 90 prosentista (se ei ole kirjoitusvirhe) tietomurroista."
Miten suojautua huijaukselta?
Huijaajat voivat helpommin pyytää ja vastaanottaa arkaluonteisia tietoja kaappaamalla vaistomme luottaa johonkin tai johonkin. Huijausten estäminen on aloitettava ymmärtämällä, miten luottamus toimii. Ennaltaehkäiseviä toimenpiteitä, jotka auttavat työntekijöitä havaitsemaan ja pysäyttämään huijaushyökkäyksen, ovat muun muassa seuraavat:
Spoof-tietoisuuskoulutus: Spoof-tietoisuuskoulutus on osa yleisempää tietoturvatietoisuuskoulutuskampanjaa, ja se auttaa työntekijöitä ymmärtämään, miten spoofing toimii. Phishing- ja spoofing-taktiikat yhdistetään usein työntekijän käyttäytymisen manipuloimiseksi - kouluta työntekijöitä siitä, miten spooferit käyttävät tätä luottamusta hyväkseen. Käytä esimerkiksi phishing-simulaatioalustaa ja lähetä simuloituja phishing-sähköposteja, joissa käytetään tyypillisiä huijauselementtejä, kuten luotettuja tuotemerkkejä, kiireellisyyden tunnetta ja linkkiä huijaussivustolle.
Käytä VPN:ää: virtuaalisen yksityisverkon avulla työntekijä voi piilottaa IP-osoitteensa. Tämä auttaa estämään IP-väärennöksiä. VPN myös salaa tiedot siirron aikana, jotta voidaan estää Man-in-the-Middle-hyökkäykset.
Turvallisuushygieniaharjoitukset: opeta työntekijöille hyvien turvallisuushygieniatottumusten merkitys. Tähän pitäisi kuulua vankka salasanojen luominen ja hallinta, kaksitekijätodennus ja sen ymmärtäminen, miten hallita halua napsauttaa linkkiä tai ladata sähköpostin tai tekstiviestin liitetiedosto.
Ilmoita huijausyrityksistä: kehota työntekijöitäsi ilmoittamaan kaikista epäillyistä (tai onnistuneista) huijausyrityksistä. Erikoisalustat tarjoavat mahdollisuuden raportoida väärennösyrityksiä helposti, jolloin organisaatio voi reagoida nopeasti ja tehokkaasti.
Ota käyttöön huijauksenestoprosessit: ota yrityksessäsi käyttöön erilaisia huijauksenestoprosesseja huijausyritysten estämiseksi. Voit esimerkiksi ottaa käyttöön tarkistuksia ja tasapainotuksia, joiden mukaan toisen silmäparin on tarkistettava tietyn summan ylittävät maksut.
Ihmiset ovat aina kohdanneet väärennöksiä. Mutta jopa digitalisoituneessa maailmassa huijaus perustuu edelleen luottamukseen. Tekemällä työntekijät tietoisiksi siitä, että heidän luottamustaan käytetään väärin, ja antamalla heille välineet tunnistaa huijausyritykset, organisaatio voi suojautua kyberhaitoilta.