Käyttäjän manipulointi, SE

Käyttäjän manipulointi (social engineering) on hyökkääjälle yksinkertainen tapa kerätä tietoa kohdeorganisaatiosta ja vaikuttaa siihen. Inhimillisiä heikkouksia löytyy kaikista organisaatiosta ja kuka tahansa voi joutua uhriksi, kun hyökkäys on riittävän taitavasti ja uskottavasti laadittu. “Heikkouksia”, joita social engineering -hyökkäyksissä hyödynnetään, ovat esim. yhteistyökykyisyys, avuliaisuus ja taipumus luottaa toisiin. Lisäksi ihmiset voivat vaikkapa etsiä jännitystä tai olla peloissaan. Onnistuneeseen hyökkäykseen vaikuttavia tekijöitä on muitakin, esim. koko organisaation toimintakehys ja tietoturvapolitiikka mahdollisine puutteineen.

Käyttäjän manipulointi, sosiaalinen hakkerointi, SE

on vaikuttamista kohteena olevaan ihmiseen siten, että saavutetaan jokin tavoite, esim. tiedon kerääminen, pääsy järjestelmään tai asiaan tai fyysiseen tilaan. Tavoitteena on siis kohteen toiminnan ohjaaminen hyökkääjän haluamalla tavalla. Käytetään tässä alaluvussa lyhennettä SE = social engineering.

Käyttäjän manipuloinnille ei ole olemassa täsmällistä määritelmää, vaan SE-käsitteen alla puhutaan useista erilaisista tekniikoista ja hyökkäyksistä, joilla on kuitenkin yhteisiä piirteitä. SE-hyökkäys voi käyttää vain yhtä hyökkäystapaa tai olla kokoelma useammasta. Hyökkäys voi sisältää useita vaiheita, joissa käytetään eri menetelmiä. Hyökkäys voi olla pitkäkestoinen ja sen eri vaiheet voidaan toteuttaa ajallisesti kaukana toisistaan. Pitkäkestoisuus vaikeuttaa hyökkäyksen huomaamista ja kun lopulta ymmärretään, mistä on kyse, selvittäminen voi olla vaikeaa.

Hyökkäyksen vaiheet ja menetelmiä

SE-hyökkäykset jaetaan usein neljään vaiheeseen, jotka voivat olla päällekkäisiä. Tarvittaessa aiempaan vaiheeseen voidaan myös palata.

  1. Kerätään tietoa, jolla päästään seuraavaan vaiheeseen. Siinä tiedonkeruu usein jatkuu.
  2. Luodaan suhde uhriin ja rakennetaan hänessä luottamusta.
  3. Käytetään luottamusta hyväksi eli saadaan uhri tekemään jotain, mitä tämän ei pitäisi tehdä.
  4. Hyödynnetään saatua tietoa tai pääsyä. Tämä voi olla vain välivaihe, jolla jatketaan aiempien vaiheiden kautta syvemmälle, tai sivummalle eli johonkuhun toiseen uhriin.

Tiedonkeruulle on monia väyliä. Avoimesti saatavilla olevat aineistot ovat hyvä lähtökohta: sellaisia ovat esim. yrityksen vuosikatsaukset, lehtiartikkelit, kotisivut, sosiaalinen media. Lisäksi voidaan penkoa roskalaatikoita, varastaa, salakuunnella, kurkkia olan yli, käyttää kalasteluviestejä jne.

Luottamuksen rakentamiselle on niin ikään monia keinoja ja se voi kestää kauan. Voidaan tietysti tehdä tuttavuutta normaalinkin oloisilla tavoilla, mutta jossain vaiheessa sepitelmillä ja valheilla johdetaan uhria harhaan tai tekemään virheellinen tulkinta tilanteesta: tarjotaan tai pyydetään apua, tekeydytään johonkin rooliin, esitetään väärä henkilöllisyys tai virkamerkki, annetaan vaikutelma kuulumisesta sisäpiiriin, vedotaan kohteelle tuttuihin henkilöihin tai omaan auktoriteettiin. Mikäli luottamusta vaikuttaa olevan tarpeeksi, samoilla keinoilla mennään pidemmälle ja suostutellaan uhri toteuttamaan jokin epätavallinen pyyntö, vaikka se olisi sääntöjen tai ohjeiden vastaista.

Samassa hyökkäyksessä voidaan käyttää samoihin tavoitteisiin useita menetelmiä eri painotuksin.

Vastaa kysymyksiin.

SE-hyökkäys on usein hyökkääjälle yksinkertainen. Tämä tarkoittaa, että
SE-hyökkäyksessä tiedonkeruulla on usein tärkeä rooli, koska

Erilaisia SE-hyökkäyksiä

Tässä kuvataan joitakin englanniksi nimettyjä hyökkäyksiä, täydentäen ja osin kerraten edellä sanottua.

Pretexting

Pretexting on tekosyiden, verukkeiden ja sepitettyjen tarinoiden käyttöä hyökkäyksenä tai sen osana. Sen tavoitteena on usein tiedonkeruu, mutta sitä voidaan käyttää myös kohteen käyttäytymisen manipulointiin. Hyökkääjä pyrkii rakentamaan luottamusta itsensä ja kohteen välille ja hyökkääjällä on usein uskottava tarina, jota tehostetaan esim. kiireellä sekä seurauksilla pelottelulla.

Esim. hyökkääjä tietää henkilön A puhelinnumeron, mutta tarvitsee tiedon B:n numerosta samassa organisaatiossa. Hän soittaa A:lle, teeskentelee väärään numeroon soittamista ja kysyy B:n numeroa. Tarvittaessa hän käyttää jotakin sopivaa tarinaa, jos A:lla on esteitä numeron luovuttamiselle.

Usein hyökkääjä vetoaa auktoriteettiin, jonka johdosta uhri saadaan tekemään jotakin, esim. it-help deskiä teeskentelemällä uhrin voi saada kertomaan käyttäjätunnuksensa ja vaihtamaan salasanansa hyökkääjän sanelemaan.

Baiting
Hyökkääjä käyttää erilaisia houkuttimia kohteen tietojen saamiseksi. Esim. hyökkääjä lupaa jonkin palkinnon käyttäjätunnuksia vastaan. Hyökkääjä voi myös hyödyntää kohteen uteliaisuutta, esim. jättämällä haittaohjelman sisältävän muistitikun kohteen saataville. Hyökkääjä voi nimetä haittaohjelman sisältävän tiedoston tai muun median houkuttelevasti, esim. ”Luottamuksellinen”.
Tailgating

Hyökkääjän tavoitteena on päästä jollekin kielletylle tai rajoitetulle alueelle. Hän voi tekeytyä lähetiksi tai muuksi tilapäiseksi työntekijäksi. Hän esim. odottaa oven takana pakettipinon kanssa ja pyytää ulos lähtevää työntekijää pitämään ovea auki.

Lue YLEn uutinen tailgating-hyökkäyksistä ja katso siihen kuuluva video YLE 25.7.2018 Katso paljastava piilokameravideo – Ylen toimittaja testasi tärkeiden yritysten ja laitosten tilaturvallisuutta: Lähes kaikilla puutteita kulunvalvonnassa

Waterholing

Hyökkääjä selvittää ensin kohdetta todennäköisesti kiinnostavan verkkosivun. Sen jälkeen hyökkääjä kätkee sivulle esim. haittaohjelman tai hyödyntää jotakin muuta sivuston haavoittuvuutta. Hyökkääjä odottaa, että kohde käy sivulla ja saa haittaohjelman koneeseensa. Hyökkäystä on vaikea havaita ja sitä vastaan on vaikea puolustautua, sillä hyökkääjä ei välttämättä ole missään kontaktissa kohteeseensa. Hyökkäys myös hyödyntää kohteen normaaleja rutiineja.

Esim. Vuonna 2013 Javan haavoittuvuutta hyödynnettiin Applen ja Facebookin yritysverkkoon tunkeutumisessa. Hyökkääjät ujuttivat haittaohjelman (iPhoneDevSDK) suositulle ios-devaajien foorumille, jossa yritysten työntekijät kävivät keskustelemassa. Haittaohjelma hyödynsi haavoittuvuutta Javan web-pluginissa ja sitä kautta laitteet, joilla foorumilla käytiin, saastuivat. Kun samat laitteet vietiin yrityksen verkkoon, hyökkääjät pääsivät sinnekin. Tapauksessa Applelle ja Facebookille ei koitunut suurempaa vahinkoa mutta Twitteristä vietiin käyttäjätunnuksia, sähköpostiosoitteita ja kryptattuja salasanoja.

Phishing (kalastelu)

Kohteelle lähetetään esimerkiksi sähköposti, jonka avulla yritetään saada hänet paljastamaan henkilökohtaisia tietoja tai tekemään jotain muuta turvatonta, kuten lataamaan haittaohjelma. Viestit on usein naamioitu jonkin luotettavan tahon lähettämiksi, kuten pankki, Google, sosiaalisen median palvelu ym. Hyökkäykset voivat pyrkiä suoraan taloudelliseen hyötyyn ja usein hyökkääjä tavoittelee käyttäjätunnuksia ja salasanoja, esim. pankki- ja finanssipalveluihin, sosiaalisen median tileihin ja verkkokauppoihin. Phishing voi olla vain osa laajempaa, monimutkaista hyökkäystä ja se voi olla kohdistettu tietylle henkilölle tai laadittu yleisemmin. Viestit voivat sisältää erilaisia tekijöitä kohteen vakuuttamiseksi, esim. asia esitetään kiireellisenä tai jotain ikävää tapahtuu, mikäli kohde ei reagoi.

Phishing-viestien aidonmukaisuus paranee jatkuvasti. Jopa asiantuntijoilla on vaikeuksia erottaa phishing-viestit esim. aidoista pankkien sähköposteista tai muiden tahojen markkinointiviestinnästä. Jokaisen on syytä olla varovainen ja tiedostaa kalastelun mahdollisuus ennen kuin klikkaa esim. sähköpostin tai tekstiviestin linkkiä. Jos yhtään epäilyttää, linkkejä ei kannata klikata. Kokeile Googlen tuottamalla PhishingQuiz-pelillä miten onnistut erottelemaan kalasteluviestit aidoista.

Toimitusjohtajahuijaus (Business Email Compromise, BEC)

Hyökkääjä ottaa haltuun organisaation johtajan tai jonkun yhteistyökumppanin sähköpostin. Tämän jälkeen hyökkääjä lähettää organisaation työntekijälle viestin johtajan tai yhteistyökumppanin nimissä ja yrittää saada aikaan tilisiirron hyökkääjän tilille.

Toimitusjohtajahuijaukset ovat yleisin Euroopassa raportoitu SE–hyökkäys. Vuosina 2013-2017 globaalit kustannukset tunnetuista BEC-hyökkäyksistä olivat 5 miljardia dollaria, eikä summa ainakaan ole pienentynyt.

Toimitusjohtajahuijaukset ovat uhka myös Suomessa. Lue esimerkkejä huijauksista:

Tekoäly ja social engineering

Uudet tekoälypohjaiset työkalut mahdollistavat tehokkaita SE-hyökkäyksiä. Tekoäly generoi niin tekstiä, koodia, kuvaa kuin ääntäkin, ja kaikkia voidaan hyödyntää hyökkäyksissä. Kehittyneet kielimallit auttavat hyökkääjiä uskottavien huijausviestien kirjoittamisessa. Ne myös voivat avustaa esim. romanssihuijaria sepitelmien kehittämisessä.

Ääntä kloonaavat tekoälytyökalut nostavat huijausten uskottavuutta huomattavasti. Esimerkiksi uhrille läheisen henkilön ääninäytettä käyttämällä voidaan generoida reaaliaikainen ääniviesti, jota uhri ei välttämättä osaa epäillä, koska on jo tunnistanut läheisensä äänestä. Viestissä läheinen voi kertoa uhrille joutuneensa esim. onnettomuuteen ja tarvitsevansa nopeasti rahaa. Sosiaalinen media videoineen tarjoaa hyökkääjille runsaasti äänilähteitä hyökkäyksiä varten ja ääntä kloonaavia työkaluja on ilmaiseksi saatavilla. Yhdysvalloissa sosiaalinen media on tärkein kanava, jonka kautta huijarit tavoittavat uhrinsa: 2,1 miljardia dollarin menetykset vuonna 2025 raportoiduista 5,5 miljardin dollarin kokonaismäärästä (FTC).

Valitse yksi tai useampi vaihtoehto.

PhishingQuiz-pelissä tuli tutuksi useita erilaisia kalasteluviestien huijauskeinoja. Valitse kaikki pelissä esiintyneet keinot.

Miksi SE-hyökkäykset onnistuvat?

Hyökkääjälle on eduksi, jos:

  • kohteesta on saatavissa tietoa
  • luonteva pääsy vuorovaikutustilanteisiin kohteen kanssa on mahdollista
  • kohteelle on mahdollista tehdä ”palveluksia” tai olla avuksi
  • voi vedota auktoriteetteihin
  • tilanteessa on kiire
  • kohde on tilanteessa epävarma

Täytyy muistaa, että hyökkääjä on saattanut rakentaa luottamusta ja suhdetta kohteeseen jo pidemmän aikaa. Tällöin pyyntöihin suostutaan helpommin kuin jos hyökkääjä ei olisi “tuttu”. Kohdetta manipuloidessaan hyökkääjä voi hyödyntää monenlaisia keinoja:

  • Kaveruus, pitäminen: pyyntöihin suostutaan helpommin kun henkilö on pidetty.
  • Sitoutuminen: kun on jotain luvattu, siitä halutaan pitää kiinni.
  • Harvinaisuus, niukkuus: jos jokin uhkaa esim. loppua, pyyntöön suostutaan helpommin.
  • Vastavuoroisuus: pyyntöön voidaan suostua vastapalveluksena.
  • Sosiaalinen vahvistaminen: jos jokin vaikuttaa olevan sosiaalisesti oikein, pyyntöön suostutaan helpommin.
  • Auktoriteetti: auktoriteettiasemassa olevan henkilön pyyntöön suostutaan helpommin.

Harva meistä haluaa olla ikävä tyyppi ja esim. jättää uskottavasti apua pyytävän tutun henkilön pulaan. Sosiaaliset hakkerit käyttävät tätä taitavasti hyväkseen. Organisaation selkeät toimintatavat ja käytännöt suojaavat työntekijöitä, koska työntekijä voi aina epätavallisen pyynnön sattuessa vedota sääntöihin, joita sovelletaan myös sen tutun mukavan kaverin pyyntöön.

Tietojenkalastelu

Viimeisen kahdenkymmenen vuoden aikana ihmisten suhtautuminen internetiin on muuttunut merkittävästi siltä osin, mitä tietoja ihmiset suostuvat siellä kertomaan. 2000-luvun ensimmäisten vuosien aikana yleinen neuvo oli, ettei nettiin pitäisi kertoa edes etunimeään. Sosiaalisen median myötä suhtautuminen kuitenkin muuttui, ja nykyään ihmiset jakavat itsestään kaikennäköistä ilman, että mahdollisen hyökkääjän tarvitsee sitä erikseen kysyä.

Lemmikkien nimet, käyty alakoulu, ensimmäinen parisuhde ynnä muut tiedonjyvät tuntuvat monesta varsin harmittomilta jakaa sosiaalisessa mediassa. Helposti unohtuu, että näiden kaltaisia kysymyksiä käytetään monissa palveluissa (esim. Paypal) salasanan palautuskysymyksinä, siitäkin huolimatta, että NIST on määritellyt palautuskysymykset turvattomaksi autentikointitavaksi. Uudemmissa palveluissa näitä ei onneksi juuri enää näe, mutta usealla meistä on tilejä ties missä yli vuosikymmenen ajalta. Vaikka sosiaalisen median tileiltäsi ei palautusvastauksia löytyisikään, kannattaa pitää mielessä, että mitä enemmän tietoa jostakusta on saatavilla, sitä helpompi hyökkääjän on luoda uskottava SE-hyökkäys. Mikäli vielä törmäät palautuskysymyksiin jossakin käyttämässäsi palvelussa, kannattaa pitää huoli siitä, että palvelu kysyy lisäksi esimerkiksi tekstiviestitse lähetettyä koodia salasanan palautukseen. Vastaukset kysymyksiin kannattaa myös muuttaa salasanan tasoisiksi.

Edellä käsitelty AI-äänenkloonaushyökkäys ei suinkaan ole pelkkä teoreettinen uhka, vaan asiasta on jo uutisoitu. Kasvoista ja äänestä on tullut hyökkääjille hyödyllistä tietoa tavalla, jota harva meistä aavisti muutama vuosi sitten. Mikäli artikkelin sisältö jäi kaivamaan mieltä, kannattaa asia ottaa puheeksi läheisten kesken. Tietoisuus kyseisen hyökkäyksen mahdollisuudesta nimittäin auttaa jo pitkälle siltä suojautumisessa. Artikkelinkin tapauksessa tilanne ratkesi ennen taloudellisen vahingon koitumista äidin soitettua tyttärelleen.

Hyökkäyksiltä puolustautuminen

SE-hyökkäyksiltä puolustautumista voi auttaa, jos hyökkäys havaitaan. Varoitusmerkkejä hyökkäyksestä voivat olla: epätavanomainen pyyntö, auktoriteettiin vetoaminen, kiireentuntu, negatiivisilla seurauksilla uhkailu tai niiden esiintuominen, kysymyksistä kiusaantuminen, tuttujen nimien mainitseminen keskustelussa (namedropping), kohteliasuudet, imartelu, flirttailu tai se, ettei henkilö suostu antamaan numeroa, josta hänet voisi myöhemmin tavoittaa.

Puolustautumisessa paras työkalu on olla tietoinen siitä, että hyökkäykset ovat mahdollisia. Erityisesti tulisi painottaa ymmärryksen lisäämistä siitä, miten hyökkääjä toimii. Ennen erikoiseen pyyntöön suostumista on hyvä tarkistaa, tuliko pyyntö todella oikeasti kaverilta tai perheenjäseneltä. Kloonattuja äänihyökkäyksiä vastaan voi myös sopia esim. tunnussanoista perheenjäsenten kesken. Tulisi myös muistaa pysähtyä miettimään ennen kuin klikkaa, vaikka tilanne olisi miten kiireinen tai painostava. Organisaatioissa henkilökunnan koulutuksesta on apua, erityisesti, jos tilanteita harjoitellaan käytännössä ja annetaan esimerkkejä oikeanlaisesta toiminnasta. Varoitukset ilman konkretiaa harvoin toimivat.

Koska kaikkia SE-hyökkäyksiä ei välttämättä havaita, organisaatiossa kerroksellinen puolustautuminen (defense in depth) eli useiden erilaisten turvamekanismien ja -prosessien yhtäaikainen käyttö on hyödyksi. Näihin kuuluvat esim. tietoturvapolitiikka, henkilöstön koulutus, fyysinen turvallisuus ja kulunvalvonta, tietoturva-auditoinnit, verkon tietoturva ja erilaiset tietoturvamekanismit. Organisaation tietoturvapolitiikka, prosessit, ja toimintaohjeet voidaan laatia siten, että huomioidaan SE–hyökkäyksien mahdollisuus. Lisäksi todennäköiset kohteet voidaan tunnistaa, niihin liittyvät riskit arvioida ja kohteet suojata. Erilaisilla auditoinneilla ja esim. testihyökkäyksillä voidaan tarkistaa, miten käytännöt toimivat.

Myös tekoälypohjaiset järjestelmät voivat analysoida viestintäverkkoja ja käyttäytymismalleja, ja tunnistaa epäilyttävät viestit ja toimintatavat. Esimerkiksi koneoppimiseen perustuvat sähköpostisuodattimet voivat havaita tunnettuja tietojenkalasteluyrityksiä muistuttavia viestejä, ja estää ne ennen kuin ne saavuttavat käyttäjän. Lisäksi tekoäly voi auttaa käyttäjiä oppimaan SE-hyökkäyksien tunnistamista esimerkiksi simuloimalla erilaisia hyökkäysskenaarioita ja tarjoamalla välitöntä palautetta.

Valitse yksi tai useampi vaihtoehto.

Valitse oikeat väitteet.

Lähteitä Inhimilliset tekijät lukuun:

  • S. Chaudhary, T. Schafeitel-Tähtinen, M. Helenius, E. Berki, Usability, Security and Trust in Password Managers: A Quest for User-Centric Properties and Features, Computer Science Review 33 (2019): 69-90
  • K. Krombholz et al., Advanced social engineering attacks, Journal of information security and applications, 22, 2015, pp. 113-122
  • K. D. Mitnick, W. L. Simon, The Art of Deception, 2002
  • M.A. Sasse, I. Flechais, Usable Security: Why do we need it? How do we get it?, Security and Usability: Designing secure systems that people can use, 2005, pp. 13-30
  • P. Tetri, J. Vuorinen, Dissecting social engineering, Behaviour & Information Technology, Vol.32, No. 10, 2013, pp. 1014-1023
  • A. Whitten and Tygar J. D. 1999. "Why Johnny Can't Encrypt: A Usability Evaluation of PGP 5.0." USENIX Security Symposium. Vol. 348
  • Ars Technica, "Thousands scammed by AI voices mimicking loved ones in emergencies", 2023, https://arstechnica.com/tech-policy/2023/03/rising-scams-use-ai-to-mimic-voices-of-loved-ones-in-financial-distress/
Palautusta lähetetään...