- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.7 Käyttäjän manipulointi
Käyttäjän manipulointi¶
Käyttäjän manipulointi (social engineering) on hyökkääjälle yksinkertainen tapa kerätä tietoa kohteesta ja manipuloida kohdetta inhimillisten heikkouksien kautta. Inhimillisiä heikkouksia löytyy kaikista organisaatiosta ja kuka tahansa voi joutua uhriksi, kun hyökkäys on riittävän taitavasti ja uskottavasti laadittu. Inhimillisiä ‘heikkouksia’, joita social engineering -hyökkäyksissä hyödynnetään ovat esim. yhteistyökykyisyys, avuliaisuus ja taipumus luottaa toisiin. Lisäksi ihmiset voivat esim. etsiä jännitystä tai olla peloissaan. Kaikkia näitä voidaan hyödyntää hyökkäyksissä. Onnistuneeseen hyökkäykseen vaikuttavia tekijöitä on kuitenkin muitakin, esim. koko organisaation toimintakehys ja tietoturvapolitiikka mahdollisine puutteineen.
Käyttäjän manipulointi, sosiaalinen hakkerointi (social engineering)
on vaikuttamista kohteena olevaan ihmiseen siten, että saavutetaan jokin (hyökkäys)tavoite, esim. tiedon kerääminen, pääsy järjestelmään tai asiaan tai fyysiseen tilaan. Tavoitteena on siis kohteen toiminnan ohjaaminen hyökkääjän haluamalla tavalla.
Käyttäjän manipuloinnille ei ole olemassa täsmällistä määritelmää, vaan social engineering –käsitteen alla puhutaan useista erilaisista tekniikoista ja hyökkäyksistä, joilla on kuitenkin yhteisiä piirteitä. Social engineering -hyökkäys voi käyttää vain yhtä hyökkäystapaa tai olla kokoelma useammasta. Hyökkäys voi sisältää useita vaiheita, joissa käytetään eri menetelmiä. Hyökkäys voi olla pitkäkestoinen ja sen eri vaiheet voidaan toteuttaa ajallisesti kaukana toisistaan. Pitkäkestoisuus vaikeuttaa hyökkäyksen huomaamista ja kun lopulta ymmärretään, mistä on kyse, selvittäminen voi olla vaikeaa.
Hyökkäyksen vaiheet ja ulottuvuudet¶
Social engineering -hyökkäykset jaetaan usein neljään vaiheeseen, jotka voivat olla päällekkäisiä. Tarvittaessa aiempaan vaiheeseen voidaan myös palata.
- Tiedonkeruu: kaikki julkisesti saatavilla oleva tieto, esim. yrityksen vuosikatsaukset, lehtiartikkelit, kotisivut, sosiaalinen media, roskien penkominen
- Suhteen ja luottamuksen rakentaminen kohteeseen: sisäpiiritiedon käyttö, väärä henkilöllisyys, vetoaminen kohteelle tuttuihin henkilöihin, avun pyytäminen, auktoriteetti
- Luottamuksen hyväksikäyttö: pyydetään kohteelta tietoa, pyydetään kohde tekemään jokin asia, saadaan kohde pyytämään apua hyökkääjältä
- Saadun tiedon hyödyntäminen tai aiempien vaiheiden toisto, mikäli saatu tieto oli vain osa tavoitteesta
Hyökkäyksiä voidaan tarkastella myös niiden ulottuvuuksien kautta.
- Suostuttelu (persuasion): tarkoituksena saada kohde suostumaan epätavalliseen, epäasianmukaiseen pyyntöön ja tekemään jotakin sääntöjen tai ohjeiden vastaista
- Sepitelmät, valheet (fabrication): johdetaan kohdetta harhaan tai tekemään virheellinen tulkinta tilanteesta esim. tekeytyminen, väärä henkilöllisyys, annetaan vaikutelma kuulumisesta sisäpiiriin, väärennetyt virkamerkit jne.
- Tiedonkeruu (data gathering): edeltää usein varsinaista hyökkäystä, tietoa kerätään esim. avoimesti saatavilla olevasta aineistosta, roskalaatikoista, varastamalla, salakuuntelemalla, kurkkimalla olan yli, hyödyntämällä phishingiä jne.
Eri ulottuvuudet ovat usein läsnä yhtä aikaa samassa hyökkäyksessä mutta eri asteisina.
Erilaisia social engineering -hyökkäyksiä¶
- Pretexting
Pretexting on tekosyiden, verukkeiden ja sepitettyjen tarinoiden käyttöä hyökkäyksenä tai sen osana. Sen tavoitteena on usein tiedonkeruu, mutta sitä voidaan käyttää myös kohteen käyttäytymisen manipulointiin. Hyökkääjä pyrkii rakentamaan luottamusta itsensä ja kohteen välille ja hyökkääjällä on usein uskottava tarina, jota tehostetaan esim. seurauksilla pelottelulla ja kiireellä.
Esim. hyökkääjä tietää henkilön A puhelinnumeron, mutta tarvitsee tiedon B:n numerosta. Hän soittaa A:lle, teeskentelee väärään numeroon soittamista ja kysyy B:n numeroa. Tarvittaessa hän käyttää jotakin sopivaa tarinaa, jos A:lla on esteitä numeron luovuttamiselle.
Usein hyökkääjä vetoaa auktoriteettiin, jonka johdosta uhri saadaan tekemään jotakin, esim. it-help deskiä teeskentelemällä uhrin voi saada kertomaan käyttäjätunnuksensa ja vaihtamaan salasanansa hyökkääjän sanelemaan.
- Baiting
- Hyökkääjä käyttää erilasia houkuttimia kohteen tietojen saamiseksi. Esim. hyökkääjä lupaa jonkin palkinnon käyttäjätunnuksia vastaan. Hyökkääjä voi myös hyödyntää kohteen uteliaisuutta, esim. jättämällä haittaohjelman sisältämän muistitikun kohteen saataville. Hyökkääjä voi nimetä haittaohjelman sisältämän tiedoston tai muun median houkuttelevasti, esim. ”Luottamuksellinen”.
- Tailgating
Hyökkääjän tavoitteena on päästä jollekin kielletylle tai rajoitetulle alueelle. Hyökkääjä voi tekeytyä vaikka lähetiksi tai muuksi tilapäiseksi työntekijäksi. Esim. hyökkääjä odottaa oven takana pakettipinon kanssa ja pyytää ulos lähtevää työntekijää pitämään ovea auki.
Lue YLEn uutinen tailgating-hyökkäyksistä ja katso siihen kuuluva video YLE 25.7.2018 Katso paljastava piilokameravideo – Ylen toimittaja testasi tärkeiden yritysten ja laitosten tilaturvallisuutta: Lähes kaikilla puutteita kulunvalvonnassa
- Waterholing
Hyökkääjä selvittää ensin kohdetta todennäköisesti kiinnostavan verkkosivun. Sen jälkeen hyökkääjä kätkee sivulle esim. haittaohjelman tai hyödyntää jotakin muuta sivuston haavoittuvuutta. Hyökkääjä odottaa, että kohde käy sivulla ja saa haittaohjelman koneeseensa. Hyökkäystä on vaikea havaita ja sitä vastaan on vaikea puolustautua, sillä hyökkääjä ei välttämättä ole missään kontaktissa kohteeseensa. Hyökkäys myös hyödyntää kohteen normaaleja rutiineja.
Esim. Vuonna 2013 Javan haavoittuvuutta hyödynnettiin Applen ja Facebookin yritysverkkoon tunkeutumisessa. Hyökkääjät ujuttivat haittaohjelman (iPhoneDevSDK) suositulle ios-devaajien foorumille, jossa yritysten työntekijät kävivät keskustelemassa. Haittaohjelma hyödynsi haavoittuvuutta Javan web-pluginissa ja sitä kautta laitteet, joilla foorumilla käytiin, saastuivat. Kun samat laitteet vietiin yrityksen verkkoon, hyökkääjät pääsivät sinnekin. Tapauksessa Applelle ja Facebookille ei koitunut suurempaa vahinkoa mutta Twitteristä vietiin käyttäjätunnuksia, sähköpostiosoitteita ja kryptattuja salasanoja.
- Phishing
Kohteelle lähetetään esimerkiksi sähköposti, jonka avulla yritetään saada kohde paljastamaan henkilökohtaisia tietoja tai tekemään jotain muuta turvatonta, kuten lataamaan haittaohjelma. Viestit on usein naamioitu jonkin luotettavan tahon lähettämiksi, esim. pankit, Google, sosiaalisen median palvelut ym. Hyökkäykset voivat pyrkiä suoraan taloudelliseen hyötyyn ja usein hyökkääjä tavoittelee käyttäjätunnuksia ja salasanoja, esim. pankki- ja finanssipalveluihin, sosiaalisen median tileihin ja verkkokauppoihin. Phishing voi olla vain osa laajempaa, monimutkaista hyökkäystä ja se voi olla kohdistettu tietylle henkilölle tai laadittu yleisemmin. Viestit voivat sisältää erilaisia tekijöitä kohteen vakuuttamiseksi, esim. asia esitetään kiireellisenä tai jotain ikävää tapahtuu, mikäli kohde ei reagoi.
Phishing-viestien aidonmukaisuus paranee jatkuvasti. Jopa asiantuntijoilla on vaikeuksia erottaa phishing-viestit esim. aidoista pankkien sähköposteista tai muiden tahojen markkinointiviestinnästä. Jokaisen onkin syytä olla varovainen ja tiedostaa kalastelun mahdollisuus ennen kuin klikkaa esim. sähköpostin tai tekstiviestin linkkiä. Jos yhtään epäilyttää, linkkejä ei kannata klikata. Kokeile Googlen tuottamalla PhishingQuiz-pelillä miten onnistut erottelemaan kalasteluviestit aidoista.
- Toimitusjohtajahuijaus (Business Email Compromise, BEC)
Hyökkääjä ottaa haltuun organisaation johtajan tai jonkun yhteistyökumppanin sähköpostin. Tämän jälkeen hyökkääjä lähettää organisaation työntekijälle viestin johtajan tai yhteistyökumppanin nimissä ja yrittää saada aikaan tilisiirron hyökkääjän tilille.
Toimitusjohtajahuijaukset ovat yleisin Euroopassa raportoitu social engineering –hyökkäys. Vuosina 2013-2017 globaalit kustannukset tunnetuista BEC-hyökkäyksistä olivat 5 miljardia dollaria, eikä summa ainakaan ole pienentynyt.
Toimitusjohtajahuijaukset ovat uhka myös Suomessa. Lue esimerkkejä huijauksista.
TS 18.8.2016: Ainakin 40:ää suomalaisyritystä petettiin huijauslaskuilla
- Tekoäly ja social engineering
Uudet tekoälypohjaiset työkalut mahdollistavat tehokkaita social engineering -hyökkäyksiä. Tekoäly generoi niin tekstiä, koodia, kuvaa kuin ääntäkin, ja kaikkia voidaan hyödyntää hyökkäyksissä. Kehittyneet kielimallit auttavat hyökkääjiä uskottavien huijausviestien kirjoittamisessa. Ne myös voivat avustaa esim. romanssihuijaria sepitelmien kehittämisessä.
Ääntä kloonaavat tekoälytyökalut puolestaan nostavat huijausten uskottavuutta huomattavasti. Esimerkiksi uhrille läheisen henkilön ääninäytettä käyttämällä voidaan generoida reaaliaikainen ääniviesti, jota uhri ei välttämättä osaa epäillä, koska on jo tunnistanut läheisensä äänestä. Viestissä läheinen voi kertoa uhrille joutuneensa esim. onnettomuuteen ja tarvitsevansa nopeasti rahaa. Sosiaalinen media videoineen tarjoaa hyökkääjille runsaasti äänilähteitä hyökkäyksiä varten ja ääntä kloonaavia työkaluja on ilmaiseksi saatavilla. Erilaiset teeskentelyyn perustuvat huijaukset (impostor scam/fraud) ovat USA:ssa yleisimmin raportoitu huijaustyyppi (2022) ja niissä rahalliset menetykset ovat toiseksi suurimmat (11 miljoonaa dollaria).
Miksi social engineering -hyökkäykset onnistuvat?¶
Hyökkääjälle on eduksi, jos:
- kohteesta on saatavissa tietoa
- luonteva pääsy vuorovaikutustilanteisiin kohteen kanssa on mahdollista
- kohteelle on mahdollista tehdä ”palveluksia” tai olla avuksi
- kohteen tapauksessa voi vedota auktoriteetteihin
- tilanteessa on kiire
- kohde on tilanteessa epävarma
Täytyy muistaa, että hyökkääjä on saattanut rakentaa luottamusta ja suhdetta kohteeseen jo pidemmän aikaa. Tällöin pyyntöihin suostutaan helpommin kun henkilö on jo tuttu. Kohdetta manipuloidessaan hyökkääjä voi hyödyntää monenlaisia keinoja.
- Kaveruus, pitäminen: pyyntöihin suostutaan helpommin kun henkilö on pidetty
- Sitoutuminen: kun on jotain luvattu, siitä halutaan pitää kiinni
- Harvinaisuus, niukkuus: jos jokin uhkaa esim. loppua, pyyntöön suostutaan helpommin
- Vastavuoroisuus: pyyntöön voidaan suostua vastapalveluksena
- Sosiaalinen vahvistaminen: jos jokin vaikuttaa olevan sosiaalisesti oikein, pyyntöön suostutaan helpommin
- Auktoriteetti: auktoriteettiasemassa olevan henkilön pyyntöön suostutaan helpommin
Harva meistä haluaa olla ikävä tyyppi ja esim. jättää uskottavasti apua pyytävän tutun henkilön pulaan. Sosiaaliset hakkerit käyttävät tätä taitavasti hyväkseen. Organisaation selkeät toimintatavat ja käytännöt suojaavat työntekijöitä, koska työntekijä voi aina epätavallisen pyynnön sattuessa vedota sääntöihin, joita sovelletaan myös sen tutun mukavan kaverin pyyntöön.
Tietojenkalastelu
Viimeisen kahdenkymmenen vuoden aikana ihmisten suhtautuminen internetiin on muuttunut merkittävästi siltä osin, mitä tietoja ihmiset suostuvat siellä kertomaan. 2000-luvun ensimmäisten vuosien aikana yleinen neuvo oli, ettei nettiin pitäisi kertoa edes etunimeään. Sosiaalisen median myötä suhtautuminen kuitenkin muuttui, ja nykyään ihmiset jakavat itsestään kaikennäköistä ilman, että mahdollisen hyökkääjän tarvitsee sitä erikseen kysyä.
Lemmikkien nimet, käyty ala-aste, ensimmäinen parisuhde ynnä muut tiedonjyvät tuntuvat monesta varsin harmittomilta jakaa sosiaalisessa mediassa. Helposti unohtuu, että näiden kaltaisia kysymyksiä käytetään monissa palveluissa (esim. Paypal) salasananpalautuskysymyksinä, siitäkin huolimatta, että NIST on määritellyt palautuskysymykset turvattomaksi autentikointitavaksi. Uudemmissa palveluissa näitä ei onneksi juuri enää näe, mutta usealla meistä on tilejä ties missä yli vuosikymmenen ajalta. Vaikka sosiaalisen median tileiltäsi ei palautusvastauksia löytyisikään, kannattaa pitää mielessä, että mitä enemmän tietoa jostakusta on saatavilla, sitä helpompi hyökkääjän on luoda uskottava social engineering -hyökkäys. Mikäli vielä törmäät palautuskysymyksiin jossakin käyttämässäsi palvelussa, kannattaa pitää huoli siitä, että palvelu kysyy lisäksi esimerkiksi tekstiviestitse lähetettyä koodia salasanan palautukseen. Vastaukset kysymyksiin kannattaa myös muuttaa salasanan tasoisiksi.
Tekoäly ja social engineering -osiossa käsitelty AI-äänenkloonaushyökkäys ei suinkaan ole pelkästään teoreettinen uhka, vaan asiasta on jo uutisoitu. Kasvoista ja äänestä on tullut hyökkääjille hyödyllistä tietoa tavalla, jota harva meistä aavisti muutama vuosi sitten. Mikäli artikkelin sisältö jäi kaivamaan mieltä, kannattaa asia ottaa puheeksi läheisten kesken. Tietoisuus kyseisen hyökkäyksen mahdollisuudesta nimittäin auttaa jo pitkälle siltä suojautumisessa. Artikkelinkin tapauksessa tilanne ratkesi ennen taloudellisen vahingon koitumista äidin soitettua tyttärelleen.
Hyökkäyksiltä puolustautuminen¶
Social engineering -hyökkäyksiltä puolustautumista voi auttaa, jos hyökkäys havaitaan. Varoitusmerkkejä hyökkäyksestä voivat olla: epätavanomainen pyyntö, auktoriteettiin vetoaminen, kiireentuntu tilanteessa, negatiivisilla seurauksilla uhkailu tai niiden esiintuominen, kysymyksistä kiusaantuminen, tuttujen nimien mainitseminen keskustelussa (namedropping), kohteliasuudet, imartelu, flirttailu tai henkilö ei suostu antamaan numeroa, josta hänet voisi myöhemmin tavoittaa.
Puolustautumisessa paras työkalu on olla tietoinen siitä, että hyökkäykset ovat mahdollisia. Erityisesti tulisi painottaa ymmärryksen lisäämistä siitä, miten hyökkääjä toimii. Ennen erikoiseen pyyntöön suostumista on hyvä tarkistaa, tuliko pyyntö todella oikeasti kaverilta tai perheenjäseneltä. Kloonattuja äänihyökkäyksiä vastaan voi myös sopia esim. tunnussanoista perheenjäsenten kesken. Tulisi myös muistaa pysähtyä miettimään ennen kuin klikkaa, vaikka tilanne olisi miten kiireinen tai painostava. Organisaatioissa henkilökunnan koulutuksesta on apua, erityisesti, jos tilanteita harjoitellaan käytännössä ja annetaan esimerkkejä oikeanlaisesta toiminnasta. Varoitukset ilman konkretiaa harvoin toimivat.
Koska kaikkia social engineering -hyökkäyksiä ei välttämättä havaita, organisaatiossa kerroksellinen puolustautuminen (defense in depth) eli useiden erilaisten turvamekanismien ja -prosessien yhtäaikainen käyttö on hyödyksi. Näihin kuuluvat esim. tietoturvapolitiikka, henkilöstön koulutus, fyysinen turvallisuus ja kulunvalvonta, tietoturva-auditoinnit, verkon tietoturva ja erilaiset tietoturvamekanismit.
Organisaation tietoturvapolitiikka, prosessit, ja toimintaohjeet voidaan laatia siten että huomioidaan social engineering –hyökkäyksien mahdollisuus. Lisäksi todennäköiset kohteet voidaan tunnistaa, niihin liittyvät riskit arvioida ja kohteet suojata. Erilaisilla auditoinneilla ja esim. testihyökkäyksillä voidaan tarkistaa, miten käytännöt toimivat.
Lähteitä Inhimilliset tekijät lukuun:
- S. Chaudhary, T. Schafeitel-Tähtinen, M. Helenius, E. Berki, Usability, Security and Trust in Password Managers: A Quest for User-Centric Properties and Features, Computer Science Review 33 (2019): 69-90
- K. Krombholz et al., Advanced social engineering attacks, Journal of information security and applications, 22, 2015, pp. 113-122
- K. D. Mitnick, W. L. Simon, The Art of Deception, 2002
- M.A. Sasse, I. Flechais, Usable Security: Why do we need it? How do we get it?, Security and Usability: Designing secure systems that people can use, 2005, pp. 13-30
- P. Tetri, J. Vuorinen, Dissecting social engineering, Behaviour & Information Technology, Vol.32, No. 10, 2013, pp. 1014-1023
- A. Whitten and Tygar J. D. 1999. "Why Johnny Can't Encrypt: A Usability Evaluation of PGP 5.0." USENIX Security Symposium. Vol. 348
- Ars Technica, "Thousands scammed by AI voices mimicking loved ones in emergencies", 2023, https://arstechnica.com/tech-policy/2023/03/rising-scams-use-ai-to-mimic-voices-of-loved-ones-in-financial-distress/