Social engineering -hyökkäykset ovat merkittävä uhka nykyaikaisille yrityksille. Manipulointia toteutetaan sekä laajamittaisesti että henkilökohtaisesti kohdennetusti. Manipulointiyrityksiä voidaan kohdistaa yrityksen henkilöstöön sähköpostitse, tekstiviestitse tai vielä henkilökohtaisemmin esimerkiksi puhelimen välityksellä. Saamme päivittäin esimerkiksi huijausviestejä pankkien, työpaikan IT-tuen ja jopa viranomaisten nimissä. Manipulointia, jonka tarkoituksena on edistää organisaatiota kohti hyökkäävän uhkatoimijan tarpeita, voi tapahtua myös kasvotusten esimerkiksi asiakaspalvelutilanteissa.
Social engineering -hyökkäysten, kuten huijausviestien, tarkoituksena on saada meidät paljastamaan luottamuksellisia tietoja: käyttäjätunnuksia ja salasanoja, pankkitunnuksia tai yksityisiä henkilö- tai asiakastietoja. Rikolliset joko myyvät keräämiään tietoja eteenpäin muille rikollisille tai käyttävät niitä itse rikollisiin tarkoituksiinsa. Rikollisten motivaationa on useimmiten raha.
Social engineering -hyökkäysten estäminen edellyttää paljon muutakin kuin teknisiä ratkaisuja – se vaatii ihmisten kouluttamista, toimintatapojen arviointia ja kehittämistä sekä tietoisuuden kasvattamista social engineeringistä.
Social engineering -harjoitus auttaa kehittämään toimintatapojen kestävyyttä
Huijausviesteissä käytettävä menetelmä on nimeltään social engineering. Menetelmästä käytetään usein suomenkielistä vastinetta käyttäjän manipulointi tai sosiaalinen manipulointi. Menetelmässä vaikutetaan manipuloinnin kohteeseen ja sitä kautta hänen toimintaansa. Siksi menetelmälle ei ole olemassa teknistä suojautumiskeinoa.
Onnistuneessa yritykseen kohdentuneessa hyökkäyksessä rikolliset saavat työntekijän luovuttamaan esimerkiksi käyttäjätunnuksensa, jonka avulla he pääsevät käsiksi yrityksen tietojärjestelmiin ja tietoihin sekä mahdollisesti myös muuhun omaisuuteen. Onnistunut hyökkäys voi aiheuttaa yritykselle sekä merkittäviä taloudellisia menetyksiä että mainehaittaa.
Social engineering -harjoitus muotoillaan yrityksen tarpeisiin
Jokaisen yrityksen prosessit ovat omanlaisiaan ja suojattavan tiedon luonne vaihtelee. Onko esimerkiksi asiakaspalvelu erityisen merkittävässä roolissa mahdollisen manipuloinnin kohteena? Onko mahdollista, että hyökkääjä yrittää tavoitella suoraan johtoa ja päästä sitä kautta kriittiseen tietoon käsiksi? Vai onko jopa todennäköistä, että hyökkäys kohdentuu laajemmin koko henkilöstöön?
Oli organisaation tarve mikä hyvänsä, 2NS:llä on vahva osaaminen social engineering-palvelun muotoilusta tiettyyn tarpeeseen. Palvelu toteutetaan niin, että yrityksen mahdolliset hyökkäyskohteet on kartoitettu ja testattu suunnitellun social engineering -hyökkäyksen kautta tai on varmistettu henkilöstön riittävä tietoisuus koulutusten avulla.
Palvelumme käyttäjien manipuloinnin ehkäisemiseksi
2NS tarjoaa käyttäjien manipulointia ehkäisevää tietoturvakoulutusta, jonka avulla yrityksen henkilöstön tietoisuus käyttäjän manipulaatiosta ja siihen liittyvistä eri hyökkäystavoista lisääntyy. Koulutuksen jälkeen henkilöstö pystyy tunnistamaan mahdollisia hyökkäysyrityksiä ja toimimaan tilanteessa tietoturvallisesti. Tämä antaa henkilöstölle varmuutta ja vähentää tilanteiden kuormittavuutta.
Tietoturvakoulutuksen lisäksi 2NS tarjoaa yrityksille koordinoitua sosiaalisen manipulaation hyökkäystä palveluna, jolla testataan käytännössä henkilöstön kyvykkyyttä tunnistaa sosiaalista manipulaatiota ja taitoa toimia tilanteessa.