Sosiaalinen hakkerointi

Sosiaalinen hakkerointi

Sosiaalisella hakkeroinnilla pyritään hankkimaan informaatiota kyberhyökkäyksen suunnittelua ja onnistunutta toteutusta varten.

Tekninen kyberhyökkäys tuntemattomaan kohteeseen on hyökkääjän kannalta haastava tehtävä. Mahdollistaakseen varsinaisen hyökkäyksensä hyökkääjä tarvitsee erilaisia tietoja kohteesta. Tästä tarpeesta johtuen kohdeorganisaation henkilöstö voi joutua sosiaalisen hakkeroinnin uhriksi.

Sosiaalinen hakkerointi – mitä se on?

Sosiaalinen hakkerointi eli Social Engineering (käyttäjän manipulointi, sosiaalinen manipulointi) on käyttäjään kohdistuvaa manipulaatiota, jolla pyritään saamaan haltuun hyväksikäytettävää tietoa tai muutoin hyödyntämään uhria.

Sosiaalinen hakkerointi voi ilmetä monella tapaa ja eri tilanteissa, kuten:

  • Olet ulkomaisessa konferenssissa ja saat sopivan adapterin tietokoneeseesi lahjaksi ystävälliseltä tuote-esittelijältä. Adapteri toimii hyvin ja käytät sitä jatkossakin, mutta samalla se välittää kaikki tietosi hyökkääjän haltuun.
  • Sinulle tulee toimitusjohtajalta pyyntö maksaa pikaisesti erääntyvä lasku. Toimitusjohtaja on itse konferenssissa, eikä siksi ehdi juuri nyt maksaa laskua. Johtaja ei pidä siitä, että kysyt hänen antamiensa tehtävien perään ja siksi maksat laskun mahdollisimman nopeasti. Asiakkaan sijaan rahat päätyvätkin hyökkääjän haltuun.
  • Toimiston ovella on keltaisiin liiveihin pukeutunut henkilö. Avuliaana ihmisenä avaat hänelle oven tarkistamatta henkilöllisyyttä. Kohteliaasti toimiessasi tulet päästäneeksi hyökkääjän sisään. Hyökkääjä käyttää saamansa tilaisuuden hyväksi ja rakentaa toimistollesi päästyään kyberhyökkäyksen edellyttämän komentokanavan sisäverkkoosi.

Sosiaalinen hakkerointi – ketkä sitä tekevät?

Sosiaalista hakkerointia hyödyntävät kehittyneet uhkatoimijat sekä enenevissä määrin myös muut rikolliset. Kehittyneiden uhkatoimijoiden taustalla ovat valtiolliset toimijat kuten tiedustelupalvelut, mutta myös sotilaalliset yksiköt. Nämä kykenevät resurssiensa puolesta monipuoliseen toimintaan eivätkä heidän keinonsa rajaudu pelkästään internetin kautta tapahtuviin huijauksiin.

Kohtaamme arjessa jo nykyisellään kasvavan määrän erilaisia huijausyrityksiä. Kehittyneiden uhkatoimijoiden myötä huijausyritysten laatu muuttuu. Valtiolliset toimijat kykenevät hyödyntämään tapoja ja keinoja, joihin normaalin verkkorikollisen resurssit eivät riitä. Valtiolliset toimijat suurempine voimavaroineen pystyvät toimimaan myös verkon ulkopuolella ja järjestämään muun muassa erilaisia fyysisiä tapaamisia.

Sosiaalisen hakkeroinnin kohteet

Sosiaalista hakkerointia voidaan kohdentaa henkilöön ja erilaisiin sosiaalisiin tilanteisiin. Puheluilla, keskustelulla ja käyttäytymisellä pyritään saamaan uhrilta tarvittavia tietoja, toimitilojen avaimia tai esimerkiksi luvaton pääsy haluttuun kohteeseen.

Teknisesti toteutettuna huijaus voi tapahtua sähköpostin tai puhelimen viestin välityksellä. Erityisesti erilaisilla phishing-viesteillä pyritään saamaan haltuun pankkitunnuksia, salasanoja tai mahdollisesti muita tietoja. Lopullisena tavoitteena voi olla esimerkiksi etäyhteyden saaminen varsinaisen kyberhyökkäyksen toteuttamiseksi.

Kuinka suojautua sosiaaliselta hakkeroinnilta?

Yleinen ja tehokas keino suojautua sosiaaliselta hakkeroinnilta on henkilöstön koulutus. Koulutuksessa henkilöstölle opetetaan hyökkääjän tavoitteet, viime aikoina käytetyt yleisimmät menetelmät sekä arjen keinot suojautua hakkerointia vastaan.

Tässä muutama vinkki, joiden avulla kuka tahansa voi vähentää sosiaalisen hakkeroinnin kohteeksi joutumisen riskiä:

  • Varmista, mistä osoitteesta sähköposti tai muu viesti tulee
  • Älä klikkaa epäilyttävien viestien linkkejä tai avaa liitteitä, vaan käytä esimerkiksi kohdetoimijan omia kotisivuja tiedonlähteenä
  • Älä jätä työlaitteitasi tai -dokumentteja julkisesti valvomatta
  • Älä päästä ulkopuolisia toimitiloihinne ilman vierailijan validia todentamista

Mikäli sosiaalisen hakkerointi ja siihen liittyvä koulutus kiinnostaa, ole meihin yhteydessä. Toteutamme myös muita erilaisia tietoturvallisuuteen liittyviä koulutuksia esimerkiksi ohjelmistokehittäjille. Lisätietoja löytyy myös erinomaisista Kyberturvallisuuskeskuksen oppaista.

Pasi Hakkarainen, Tietoturva-asiantuntija, 2NS 

Suojaa organisaatiosi ajoissa!