Social Engineering – Sosiaalinen manipulointi

Social engineering eli suomeksi sosiaalinen manipulointi on hyvin yleinen kyberhuijausten muoto. Jokainen meist? on varmasti joskus avannut suhteellisen luotettavan n?k?isen s?hk?postin ja joutunut oikein miettim??n, onko s?hk?postissa olevan linkin klikkaaminen j?rkev?? vai ei.

K?ytt?j?n manipulointi menee kuitenkin pidemm?lle kuin edell? mainittu s?hk?postihuijaus – jopa henkil?kohtaiseksi. Siin? sinulta voidaan udella arkaluontoisia tietoja per?ti kasvotusten, joten kysee on korkean luokan huijauksesta. T?ss? artikkelissa selvit?mme, mit? kaikkia muotoja social engineering pit?? sis?ll??n, ja miten sit? vastaan voi suojautua.

Mit? on Social Engineering?

Kuten tied?mme, ihmisill? on usein taipumus haluta auttaa muita. Se on osa meid?n genetiikkaamme. Jos esimerkiksi olet t?iss? miss? tahansa asiakkaiden kanssa yhteydess? olemista vaativassa ty?ss?, halu auttaa on t?rke? osa ty?nkuvaasi.

Erityisesti asiakaspalveluammatissa tulee kuitenkin olla hyvin perill? ja varovainen k?ytt?j?n manipuloinnin saralla. Social engineering on nimitt?in henkil?kunnan hienovaraista manipulointia, jonka tavoitteena on saada laiton p??sy vaikka rakennukseen, j?rjestelmiin ja tietoihin.

Sosiaalinen suunnittelu on ennen kaikkea hakkerointia, mutta se ei koske verkon hakkerointia k?ytt?m?ll? teknist? haavoittuvuutta. Sosiaalinen manipulointi hakkeroi henkil?st??, eli yrityksen puolustuksen eturintamaa.

Social Engineering – Techopedia selitt??

Useimmat meist? jakavat samanlaisia piirteit?; Kukaan ei innostu siit?, kun t?iss? tulee ongelmia vastaan, ja olemme pahoillamme heid?n puolestaan, jotka joutuvat selvitt?m??n kyseiset ongelmat. Olemme taipuvaisia auttamaan ihmisi?, jotka kamppailevat ongelmien kanssa, vaikka se merkitsisikin hieman s??nt?jen tai protokollan rikkomista hetkeksi.

Teemme t?m?n entist? todenn?k?isemmin, jos pid?mme henkil?st?, jolla on ongelma ratkottavanaan, tai tunnemme h?nt? kohtaan my?t?tuntoa. Olemme my?s ehdollisia tottelemaan auktoriteettihahmoja. Haluamme, ett? meid?t n?hd??n hyv?ss? valossa ja halukkaina osallistumaan.

Taitavat social engineering -huijarit voivat hy?dynt?? kaikkia n?it? ihmisyyden ominaisuuksia ja n?in vivuttaa ihmiset tekem??n mit? haluavat. Sosiaalinen manipulointi hy?dynt?? ihmisen psykologiaa ohjatakseen varomattomat henkil?t suorittamaan jotain, joka hy?dytt?? manipuloinnin tekij??.

Sosiaalisen manipuloinnin hy?kk?ykset voivat tapahtua puhelimen v?lityksell? tai sit? voidaan harjoittaa pidemm?n ajan kuluessa, jolloin manipulointi v?hitellen voittaa luottamuksen ja hyv?ksynn?n puolelleen. T?llaisten huijareiden tavoitteena on p??st? l?pi turvatoimenpiteist? tai kiert?? ne.

Sosiaalinen manipulointi ei ole mit??n uutta

Social Engineering on ollut olemassa niin kauan kuin huijareita on ollut olemassa. On tekniikoita, jotka ovat toimineet jo vuosisatojen ajan ihmisten huijaamiseen, joten oli v?ist?m?t?nt?, ett? n?m? taktiikat otettiin ajan my?t? k?ytt??n my?s kyberuhkien puolella.

Sosiaalista manipulointi harjoittavat huijarit k?ytt?v?t hyv?ksi ihmisten ihailemia ominaisuuksia, kuten yst?v?llisyytt? ja auttamishalua. Toisaalta he voivat my?s hy?dynt?? ihmisen huonompia puolia, kuten ahneutta ja pelkoa huijausten l?piviemiseen.

Social engineering -huijari saattaa haluta:

• Hankkia luottokorttitietoja tai muita taloudellisia tietoja.
• Hankkia k?ytt?j?tilin kirjautumistiedot.
• Asentaa haittaohjelmia, kuten n?pp?imist?loggerit, jotta uhrin n?pp?inten klikkaukset l?hetet??n huijarin palvelimelle.
• Asentaa et?k?ytt?ohjelmisto, jonka avulla huijarit p??sev?t uhrin tietokoneeseen.
• Asentaa kiristysohjelma kirist??kseen rahaa yrityksest?.
• Asentaa vakoilusovellus ?lypuhelimeen.
• Hankkia fyysinen p??sy rakennukseen istuttaakseen salaisia laitteita haittaohjelmien manuaalista asentamista tai tietojen varastamista varten.

Toisin kuin monet kyberhy?kk?ykset, sosiaalisen manipuloinnin hy?kk?ykset on kohdistettu nimenomaan tiettyihin henkil?uhreihin. T?m? eroaa “spray and pray” -tyyppisist? hy?kk?yksist?, kuten tietojenkalasteluhy?kk?yksest? tai vakoiluhaittaohjelmien asentamisesta tietokoneille.

Kuinka social engineering toimii?

Sosiaalisen manipuloinnin hy?kk?ykset voivat sis?lt?? puhelinkeskusteluja, s?hk?posteja tai l?sn?oloa esimerkiksi yrityksen tiloissa. Usein n?iden tekniikoiden yhdistelm?? k?ytet??n hy?kk?yksen tarpeisiin.

Tiedustelu

Huijarit ker??v?t tiedustelutietoa kohteesta yrityksen sis?ll?. He valvovat X:?? (aiemmin Twitter) ja LinkedIni? ja etsiv?t tietoa, joka antaa heille etuly?ntiaseman. Sosiaalinen media on kaksiter?inen miekka, jota social engineering k?ytt?? hyv?ksi. Se, mit? l?het?t maailmalle, voidaan helposti k??nt?? sinua vastaan.

1. Huijari saattaa n?hd?, ett? vanhempi toimihenkil? on poissa toimistosta esim. konferenssissa. T?llainen tieto voi olla hy?dyllist?, sill? se antaa huijarille “helpomman p??syn sis??n”.
2. Huijarit soittavat ja pyyt?v?t saada puhua kyseisen henkil?n sihteerille. Koska he voivat puhua jostakin aidosta tapahtumasta ja projektista, sihteerill? ei ole syyt? ep?ill? soittajan olevan petollinen.
3. Jos huijari on piilottanut numeronsa esimerkiksi VOIP-puhelun kautta, ja saa n?in puhelun n?ytt?m??n tulevan aidosta puhelinnumerosta, illuusio on viel? vakuuttavampi.
4. He esitt?v?t ongelman ja pyyt?v?t apua sen ratkaisemiseksi. “Meill? on merkint? h?nen varauksestaan, mutta ei talletuksesta tai maksusta. Aion olla yhteydess? viranomaisiin, jos en saa asiaa selvitetyksi ennen kuin l?hden toimistolta kymmenen minuutin p??st?. Toivon todella, ett? voit auttaa asiassa. Onko sinulla sattumalta varauksen tekoon k?ytetyn luottokortin tiedot, jotta voin tarkistaa ne?”

Social engineering -hy?kk?ykset puhelimella

Yksinkertaisimmat social engineering hy?kk?ykset ovat usein parhaita, ja tekninen tuki on yleinen kohde. Heid?n teht?v?ns? on ratkaista ongelmia. Heid?n ty?p?iv?ns? on omistettu soittajan tarpeiden tyydytt?miseen ja ongelmien poistamiseen, mink? vuoksi puhelin on yleinen keino n?iss? huijauksissa.

1. Uutena ty?ntekij?n? esiintyminen

• Yritykset hakevat uusia ty?ntekij?it? LinkedIniss? tai Twitteriss?. ”Tervetuloa yhti?n uusin j?sen, herra New Person. H?n liittyy XYZ-tiimiin…” jne.
• Huijari voi soittaa teknisen tuen tiimillesi aukioloaikojen ulkopuolella ja teeskennell? olevansa kyseinen henkil?. He kertovat tuelle, ett? h?n on juuri alkanut ty?skennell? yrityksess? – kyll?, olen XYZ-tiimiss? – mutta ei p??se k?siksi toimistoj?rjestelmiin kotoaan.
• T?m? skenaario toimii, koska uusilla ty?ntekij?ill? on usein kirjautumisongelmia. Heid?n ei odoteta viel? tiet?v?n j?rjestelmi?, eik? ole ep?ilytt?v??, jos he eiv?t osaa vastata kysymyksiin, jota heilt? saatetaan kysy?. Ja koska puhelu tapahtuu aukioloaikojen ulkopuolella, ei ole ket??n, jolta kysy? tai tarkistaa.
• Tyypillisesti huijari py?ritt?? keskustelua siihen pisteeseen, jossa teknisen tuen k?ytt?jien on helpointa tehd? salasanan nollaus ja antaa soittajalle uusi salasana.

2. Teknisen tuen ottaminen mukaan johonkin arkaluonteiseen asiaan

• Toinen juoni on soittaa tekniseen tukeen ja teeskennell? olevansa joku yrityksen sis?isest? HR -tiimist?, toimien arkaluontoisesti ja vaatien ??rimm?ist? harkintaa. Huijari mainitsee yrityksess? toimivan todellisen henkil?n, joka on sen verran pitk?aikainen ty?ntekij?, ett? teknisen tuen insin??ri on varmasti kuullut heist?.
• Huijari voi sitten todeta: “Heit? tutkitaan, en tietenk??n voi kertoa miksi, mutta heid?n tilins? on lukittava heti ja sille on asetettava uusi salasana, jotta ulkopuoliset tarkastajat p??sev?t sis??n, mutta h?n ei. T?m? on teht?v? k?ytt?en salasanaa…“
• Tietenkin huijari on yksinkertaisesti valinnut nimen verkkosivuston Meet the Team -sivulta. T?m? temppu toimii kun huijattu henkil? saadaan tuntemaan olevansa osapuolena jossain t?rke?ss?, salaisessa ja isossa jutussa.

3. Taustatarina haitalliselle liitteelle

• Yht? yksinkertainen temppu on soittaa tekniseen tukeen ja kuvata huijarin s?hk?postiin liittyv? ongelma. Huolimatta siit?, mit? he yritt?v?t, ongelma pysyy.
• Huijari tarjoutuu l?hett?m??n kuvakaappauksen tai lokitiedoston tuki-insin??rille henkil?kohtaisesta s?hk?postistaan, joka tietysti toimii edelleen.
• Valmistettuna ja odottamassa s?hk?postia, heti kun tuki-insin??ri vastaanottaa sen, h?n avaa haitallisen liitteen v?litt?m?sti. Huijari on t?ll?in onnistuneesti asentanut haittaohjelmia verkkoon.

4. Teknisen? tukena esiintyminen

Naamioituminen tekniseksi tueksi ja soittaminen muille henkil?kunnan j?senille on my?s tapa, jota social engineering huijarit hy?dynt?v?t mielell??n. T?st? huijauksesta on monia muunnelmia.

• Yksi tekniikka on soittaa vastaanottoon. Huijarit kysyv?t nime?, jonka he ovat valinneet LinkedInist? tai muualta. Kun he saavat yhteyden henkil??n, he selitt?v?t olevansa teknist? tukea, et?palvelinkeskuksesta tai jotain vastaavaa.
• “N?yt?t ahmivan kiintolevytilaa palvelimelta, kopioitko paljon dataa tai jotain?“
• Tietenkin henkil? sanoo ei, n?in ei ole. Muutaman lis?kysymyksen ja teknisen tuen insin??rin kiihke?n kirjoittamisen j?lkeen huijarit kertovat, ett? ty?ntekij?n tili oli vaarantunut. N?ytt?? silt?, ??ett? joku ker?? yrityksen tietoja ja on valmis kopioimaan ne verkosta.
• Kuulostaa huolestuttavalta, ty?ntekij? saa heid?t kirjautumaan ulos ja takaisin sis??n. “Ei, mik??n ei ole muuttunut. Se jatkuu edelleen.“
• Teknist? tukea esitt?v? huijari, joka mukamas ponnistelee pysy?kseen rauhallisena, kertoo henkil?kunnan j?senelle, ett? h?n aikoo sulkea kaikki prosessit t?ll? tilill?.
• “Jos teen sen, minun on kuitenkin kirjattava sinut takaisin sis??n, koska et voi itse tehd? sit?. Mik? on k?ytt?j?nimesi? Okei kiitos. Ja mik? on nykyinen salasanasi? Selv?, OK, kirjaudu ulos nyt.”
• Pienen tauon j?lkeen tuki-insin??ri sanoo: ”Hienoa, olen ratkaissut ongelman. Itse asiassa voit kirjautua takaisin sis??n ja jatkaa normaalisti, minun ei sittenk??n tarvinnut tyhjent?? tili?si.“
• Ty?ntekij? on eritt?in kiitollinen ja kiitt?? tukea avusta. Ja nyt huijareilla on tili, jolla he voivat k?ytt?? verkkoasi.

N?m? ovat esimerkkej? onnistuneista sosiaalisen manipuloinnin hy?kk?yksist?, joita tapahtuu runsaasti nyky??n.

Hy?kk?ykset henkil?kohtaisesti

Kun p??set fyysisesti tiloihisi, social engineering -huijarilla on mahdollisuus suorittaa erilaisia toimia, jotka vaarantavat turvallisuutesi entisest??n.

1. K??nteiset SSH-tunnelit

Palomuurit p??st?v?t yleens? liikenteen pois verkosta paljon helpommin kuin liikenne p??see sis??n. Palomuurit ovat rajavartijoita, ja suurin osa niiden huomiosta keskittyy siihen, mit? tulee sis??n rajan yli. Poissulkeva liikenne on usein toissijainen huolenaihe.

• Huijari voi valmistaa edullisista yhden levyn tietokoneista, kuten Raspberry Pi:st?, laitteita, jotka muodostavat salatun l?htev?n yhteyden huijarin palvelimeen, kun ne on yhdistetty verkkoon. Yleens? palomuuria ei ole m??ritetty est?m??n t?llaista.
• Huijari muodostaa sitten salatun yhteyden takaisin laitteeseen, jonka h?n istutti, k?ytt?m?ll? jo muodostettua yhteytt? Raspberry Pi:st?. T?m? antaa h?nelle et?yhteyden verkkoosi. Se on tekniikka, jota kutsutaan k??nteiseksi SSH-tunneliksi.

N?m? piilolaitteet voidaan piilottaa vanhojen kannettavien virtal?hteiden tai muiden laitteiden sis??n ja liitt?? nopeasti laitteiden, kuten suurten tulostimien, taakse.

Tulostimet tarvitsevat verkkovirran ja verkkopisteen. Verkkopisteet jaetaan yleens? pareittain, kuten my?s verkkopisteet. Tulostin tarvitsee vain yhden kutakin. Tulostimen takana ovat laitteen tarvitsemat liit?nn?t ja mukava piilopaikka.

2. USB-muistitikut

Social engineering -huijari voi yksinkertaisesti ottaa kannettavan tietokoneen ja k?vell? ulos. Ne voivat saastuttaa verkon haittaohjelmilla USB-muistitikulta.

• He saattavat j?tt?? USB-muistitikkuja, joissa on haittaohjelmia kahvinkeittimien l?helle, wc-tiloihin tai tyhjille ty?p?ydille. USB-tikulle on yleens? kiinnitetty joukko avaimia.
• Kun USB-tikku l?ytyy, ty?ntekij?n mieless? on kysymys “Kuka on unohtanut avaimensa?” ei “Hmm – t?ss? on anonyymi USB-tikku.“
• T?m? pieni ajattelutavan eroavaisuus on t?rke?? huomata. Avainten v??rin sijoittaminen on suuri ongelma. L?yt?j? haluaa saada avaimet takaisin omistajalleen. Kuinka he voivat selvitt?? kenen tikku on? Ehk? muistitikulla on jotain, josta tunnistaa omistajan.
• Muistitikulla on tiedostoja. Ne saattavat n?ytt?? PDF- tai Word-asiakirjoilta, mutta ne ovat peiteltyj? haittaohjelmia. Jos niill? on silmiinpist?vi? otsikoita, kuten “irtisanomissuunnitelmat, vaihe 1”, ty?ntekij?n on l?hes mahdotonta olla klikkaamatta niit?.
• Haittaohjelmat on mahdollista k?ynnist?? automaattisesti heti, kun USB-asemat on asennettu, joten ty?ntekij?n ei tarvitse edes klikata mit??n. Mutta jos automaattinen k?ynnistys on poistettu k?yt?st? – kuten pit?isi olla – vastustamattomien otsikoiden tiedostojen k?ytt? on yleinen varastrategia.

Samanlainen l?hestymistapa on, ett? huijari ker?? mainoskirjallisuutta aidolta yritykselt?, kuten kuriiriyritykselt?.

• Jokaiseen niist? kiinnitet??n USB-muistitikku. Huijari ilmestyy vastaanotolle ja luovuttaa kolme tai nelj? kopiota. He kysyv?t vastaanottovirkailijalta, haluaisivatko he v?litt?? ne l?hetyksest? vastaavalle henkil?lle.
• Melkein varmasti vastaanottovirkailija j?tt?? sellaisen syrj??n itselleen, ja heti kun huijari on poistunut rakennuksesta, he kokeilevat sit? tietokoneella.

3. P??sy rakennukseen

P??st?kseen ohi vastaanoton, social engineering huijarit ovat esiintyneet kaikenlaisina toimittajina. UPS, postinjakaja, kukkatoimitukset, moottoripy?r?kuriirit, pizzatoimitukset ja donitsitoimitukset muutamia mainitakseni. Huijarit voivat my?s esiinty? rakennusmiehin? ja hissien huoltoinsin??rein?.

• Saapuminen tapaamiseen jonkun kanssa, jonka huijari tiet?? olevan muualla, kuin toimistossa (X:n tai LinkedInin ansiosta), on yll?tt?v?n tehokasta.
• Vastaanottovirkailija yritt?? soittaa henkil?kunnan j?senelle ja sanoo, ett? he eiv?t vastaa puhelimeen. Huijari sanoo odottaneensa sit?. He ovat k?yneet keskustelua tekstiviestill?, ja henkil?st?n j?sen sanoi, ett? heid?n edellinen tapaamisensa n?ytt?? silt?, ??ett? se ylittyy.
  “He ehdottivat, ett? odotan ruokalassa. He tulevat hakemaan minut, kun ovat vapaita. Voisiko joku n?ytt?? minulle, miss? se on, kiitos?“
• Uudet tulokkaat eiv?t edes kyseenalaista, onko t?m? henkil? henkil?kunnan j?sen. H?n on t??ll? firman tiloissa, nauraa ja juttelee muille henkil?kunnan j?senille ja puhuttelee heit? nimell?.
• Huijari juttelee sitten uusien tulokkaiden kanssa. He kysyv?t heilt?, tuntevatko he juuri l?hteneen henkil?n ja kertovat heille, ett? h?n on mukava kaveri.
• Kun henkil?kunnan toinen aalto palaa rakennukseen, huijari seuraa heit?. He antavat henkil?kunnan j?senten sy?tt?? koodinsa tai k?ytt?? kaukos??dint? tai avainta.
• Kun ovi avautuu, he pitelev?t sit? auki ja osoittavat eleit?, ett? oikea henkil?kunta astuu sis??n. Sitten h?n seuraa heit? sis??n.

Social engineering ja kuinka suojautua silt?

Olemme tekemisiss? ihmisten kanssa, joten on sanomattakin selv??, ett? social engineering on helpoin v?ltt?? pit?m?ll? huolta siit?, ett? henkil?st? on n?ist? taktiikoista tietoinen. T?m? onnistuu koulutuksen, k?yt?nt?jen ja menettelytapojen selv?ksi tekemisell?.

1. Roolileikit ja ryhm?harjoitukset: Harjoittele toimenpiteit? ryhmien kanssa ja harkitse kokeneiden, hyv?ntahtoisten sosiaalisten manipuloijien roolileikkej?.
2. Turvayritykset ja tunkeutumistestaukset: Turvayritykset voivat sitoutua k?ytt?m??n kaikkia t?ss? oppaassa kuvattuja tekniikoita ja muita tunkeutuakseen yritykseen. Se, miss? heid?n hy?kk?yksens? onnistuivat, ohjaa yrityst? tiukentamaan turvallisuuttaan parantamalla menetelmi? tai lis??m?ll? olemassa olevien menettelyjen valvontaa. Aivan kuten l?p?isytestaus, joka tutkii teknisi? puolustuskyky?, social engineering herkkyys tulisi testata s??nn?llisesti. Voit yhdist?? t?m?n hyv?nlaatuiseen tietojenkalastelukampanjaan.
3. USB-laitteen suojaus: Poista USB-laitteiden automaattinen k?ynnistys k?yt?st?. K?sittele anonyymej? USB-muistitikkuja, kuten Pandoran lipasta.
4. Ulkopuolisten pyynt?jen k?yt?nt?: K?yt? ulkopuolisia pyynt?j? koskevaa k?yt?nt??. N?m? ovat protokollia rikkovia pyynt?j?. Ne pyyt?v?t jotain, mit? et yleens? noudattaisi, mutta saatat tuntea houkutusta, koska on h?t?tilanne. Tai koska asia on kertaluonteinen. Tai kyseess? ovat erityisolosuhteet. Tai t?m? kaveri todella tarvitsee tauon. ?l? laita henkil?kuntaasi paikan p??lle tuntemaan olosi eroon siit?, haluaako auttaa ja tiet??, ettei heid?n pit?isi. Heill? on oltava menettely, jota he voivat noudattaa.
5. Verkkoskannaukset ja uuden laitteen tunnistus: Suorita verkkoskannauksia ja tunnista ja tutki uusia verkkoon liitettyj? laitteita.
6. Kirjautumistietojen suojaus: ?l? koskaan anna tekniselle tuelle – tai kenellek??n muulle – kirjautumistunnuksiasi. Tekninen tuki ei koskaan pyyd? niit?. Jos sinulta kysyt??n t?m?ntyyppisi? tietoja, kyseess? on petos.
7. Puheluturvallisuus: Jos saat puhelun, jossa kysyt??n aiemmin antamiasi arkaluontoisia tietoja, turvallisin tapa on katkaista puhelu ja soittaa takaisin.
8. Vierailijoiden saattajak?yt?nt?: ?l? koskaan j?t? vierailijoita ilman valvontaa ja saata heid?t aina paikasta toiseen. Anna vierailijoiden odottaa yhteydenottoaan vastaanotossa, ei henkil?kunnalle tarkoitetuissa tiloissa.

Turvallisuuteen keskittyv?n ty?kulttuurin edist?minen yrityksess? tuottaa tulosta ja on perusta monitasoiselle tietoturvallisuuden l?hestymistavalle, joka on varmin tapa v?ltt?? monet social engineering hy?kk?ykset.