Social engineering eli suomeksi sosiaalinen manipulointi on hyvin yleinen kyberhuijausten muoto. Jokainen meistä on varmasti joskus avannut suhteellisen luotettavan näköisen sähköpostin ja joutunut oikein miettimään, että onko sähköpostissa olevan linkin klikkaaminen järkevää vai ei.
Käyttäjän manipulointi menee kuitenkin pidemmälle, jopa henkilökohtaiseksi kuin edellä mainittu sähköpostihuijaus. Siinä sinulta voidaan udella arkaluontoisia tietoja jopa kasvotusten, eli kyseessä on korkean luokan huijauksesta. Tässä artikkelissa selvitämme mitä kaikkia muotoja social engineering pitää sisällään, ja miten sitä vastaan voi suojautua.
Kuten tiedämme, ihmisillä on usein taipumus haluta auttaa muita. Se on osa meidän genetiikkaamme. Jos esimerkiksi olet töissä missä tahansa asiakkaiden kanssa yhteydessä olemista vaativassa työssä, halu auttaa on tärkeä osa työnkuvaasi.
Erityisesti asiakaspalveluammatissa tulee kuitenkin olla hyvin perillä ja varovainen käyttäjän manipuloinnin saralla. Social engineering on nimittäin henkilökunnan hienovaraista manipulointia, jonka tavoitteena on saada laiton pääsy vaikka rakennukseen, järjestelmiin ja tietoihin.
Sosiaalinen suunnittelu on ennen kaikkea hakkerointia, mutta se ei koske verkon hakkerointia käyttämällä teknistä haavoittuvuutta. Sosiaalinen manipulointi hakkeroi henkilöstöä, eli yrityksen puolustuksen eturintamaa.
Useimmat meistä jakavat samanlaisia piirteitä; Kukaan ei innostu siitä, kun töissä tulee ongelmia vastaan, ja olemme pahoillamme heidän puolestaan, jotka joutuvat selvittämään kyseiset ongelmat. Olemme taipuvaisia auttamaan ihmisiä, jotka kamppailevat ongelmien kanssa, vaikka se merkitsisikin hieman sääntöjen tai protokollan rikkomista hetkeksi.
Teemme tämän entistä todennäköisemmin, jos pidämme henkilöstä, jolla on ongelma ratkottavanaan, tai tunnemme häntä kohtaan myötätuntoa. Olemme myös ehdollisia tottelemaan auktoriteettihahmoja. Haluamme, että meidät nähdään hyvässä valossa ja halukkaina osallistumaan.
Taitavat social engineering -huijarit voivat hyödyntää kaikkia näitä ihmisyyden ominaisuuksia ja näin vivuttaa ihmiset tekemään mitä haluavat. Sosiaalinen manipulointi hyödyntää ihmisen psykologiaa ohjatakseen varomattomat henkilöt suorittamaan jotain, joka hyödyttää manipuloinnin tekijää.
Sosiaalisen manipuloinnin hyökkäykset voivat tapahtua puhelimen välityksellä tai sitä voidaan harjoittaa pidemmän ajan kuluessa, jolloin manipulointi vähitellen voittaa luottamuksen ja hyväksynnän puolelleen. Tällaisten huijareiden tavoitteena on päästä läpi turvatoimenpiteistä tai kiertää ne.
Sosiaalinen manipulointi ei ole mitään uutta
Social Engineering on ollut olemassa niin kauan kuin huijareita on ollut olemassa. On tekniikoita, jotka ovat toimineet jo vuosisatojen ajan ihmisten huijaamiseen, joten oli väistämätöntä, että nämä taktiikat otettiin ajan myötä käyttöön myös kyberuhkien puolella.
Sosiaalista manipulointi harjoittavat huijarit käyttävät hyväksi ihmisten ihailemia ominaisuuksia, kuten ystävällisyyttä ja auttamishalua. Toisaalta he voivat myös hyödyntää ihmisen huonompia puolia, kuten ahneutta ja pelkoa huijausten läpiviemiseen.
Social engineering -huijari saattaa haluta:
- Hankkia luottokorttitietoja tai muita taloudellisia tietoja.
- Hankkia käyttäjätilin kirjautumistiedot.
- Asentaa haittaohjelmia, kuten näppäimistöloggerit, jotta uhrin näppäinten klikkaukset lähetetään huijarin palvelimelle.
- Asentaa etäkäyttöohjelmisto, jonka avulla huijarit pääsevät uhrin tietokoneeseen.
- Asentaa kiristysohjelma kiristääkseen rahaa yrityksestä.
- Hankkia fyysinen pääsy rakennukseen istuttaakseen salaisia laitteita haittaohjelmien manuaalista asentamista tai tietojen varastamista varten.
Toisin kuin monet kyberhyökkäykset, sosiaalisen manipuloinnin hyökkäykset on kohdistettu nimenomaan tiettyihin henkilöuhreihin. Tämä eroaa “spray and pray” -tyyppisistä hyökkäyksistä, kuten tietojenkalasteluhyökkäyksestä tai vakoiluhaittaohjelmien asentamisesta tietokoneille.
Sosiaalisen manipuloinnin hyökkäykset voivat sisältää puhelinkeskusteluja, sähköposteja tai läsnäoloa esimerkiksi yrityksen tiloissa. Usein näiden tekniikoiden yhdistelmää käytetään hyökkäyksen tarpeisiin.
Tiedustelu
Huijarit keräävät tiedustelutietoa kohteesta yrityksen sisällä. He valvovat X:ää (aiemmin Twitter) ja LinkedIniä ja etsivät tietoa, joka antaa heille etulyöntiaseman. Sosiaalinen media on kaksiteräinen miekka, jota social engineering käyttää hyväksi. Se, mitä lähetät maailmalle, voidaan helposti kääntää sinua vastaan.
- Huijari saattaa nähdä, että vanhempi toimihenkilö on poissa toimistosta esim. konferenssissa. Tällainen tieto voi olla hyödyllistä, sillä se antaa huijarille “helpomman pääsyn sisään”.
- Huijarit soittavat ja pyytävät saada puhua kyseisen henkilön sihteerille. Koska he voivat puhua jostakin aidosta tapahtumasta ja projektista, sihteerillä ei ole syytä epäillä soittajan olevan petollinen.
- Jos huijari on piilottanut numeronsa esimerkiksi VOIP-puhelun kautta, ja saa näin puhelun näyttämään tulevan aidosta puhelinnumerosta, illuusio on vielä vakuuttavampi.
- He esittävät ongelman ja pyytävät apua sen ratkaisemiseksi. “Meillä on merkintä hänen varauksestaan, mutta ei talletuksesta tai maksusta. Aion olla yhteydessä viranomaisiin, jos en saa asiaa selvitetyksi ennen kuin lähden toimistolta kymmenen minuutin päästä. Toivon todella, että voit auttaa asiassa. Onko sinulla sattumalta varauksen tekoon käytetyn luottokortin tiedot, jotta voin tarkistaa ne?”
Yksinkertaisimmat social engineering hyökkäykset ovat usein parhaita, ja tekninen tuki on yleinen kohde. Heidän tehtävänsä on ratkaista ongelmia. Heidän työpäivänsä on omistettu soittajan tarpeiden tyydyttämiseen ja ongelmien poistamiseen, minkä vuoksi puhelin on yleinen keino näissä huijauksissa.
1. Uutena työntekijänä esiintyminen
- Yritykset hakevat uusia työntekijöitä LinkedInissä tai Twitterissä. ”Tervetuloa yhtiön uusin jäsen, herra New Person. Hän liittyy XYZ-tiimiin…” jne.
- Huijari voi soittaa teknisen tuen tiimillesi aukioloaikojen ulkopuolella ja teeskennellä olevansa kyseinen henkilö. He kertovat tuelle, että hän on juuri alkanut työskennellä yrityksessä – kyllä, olen XYZ-tiimissä – mutta ei pääse käsiksi toimistojärjestelmiin kotoaan.
- Tämä skenaario toimii, koska uusilla työntekijöillä on usein kirjautumisongelmia. Heidän ei odoteta vielä tietävän järjestelmiä, eikä ole epäilyttävää, jos he eivät osaa vastata kysymyksiin, jota heiltä saatetaan kysyä. Ja koska puhelu tapahtuu aukioloaikojen ulkopuolella, ei ole ketään, jolta kysyä tai tarkistaa.
- Tyypillisesti huijari pyörittää keskustelua siihen pisteeseen, jossa teknisen tuen käyttäjien on helpointa tehdä salasanan nollaus ja antaa soittajalle uusi salasana.
2. Teknisen tuen ottaminen mukaan johonkin arkaluonteiseen asiaan
- Toinen juoni on soittaa tekniseen tukeen ja teeskennellä olevansa joku yrityksen sisäisestä HR -tiimistä, toimien arkaluontoisesti ja vaatien äärimmäistä harkintaa. Huijari mainitsee yrityksessä toimivan todellisen henkilön, joka on sen verran pitkäaikainen työntekijä, että teknisen tuen insinööri on varmasti kuullut heistä.
- Huijari voi sitten todeta: “Heitä tutkitaan, en tietenkään voi kertoa miksi, mutta heidän tilinsä on lukittava heti ja sille on asetettava uusi salasana, jotta ulkopuoliset tarkastajat pääsevät sisään, mutta hän ei. Tämä on tehtävä käyttäen salasanaa…“
- Tietenkin huijari on yksinkertaisesti valinnut nimen verkkosivuston Meet the Team -sivulta. Tämä temppu toimii kun huijattu henkilö saadaan tuntemaan olevansa osapuolena jossain tärkeässä, salaisessa ja isossa jutussa.
3. Taustatarina haitalliselle liitteelle
- Yhtä yksinkertainen temppu on soittaa tekniseen tukeen ja kuvata huijarin sähköpostiin liittyvä ongelma. Huolimatta siitä, mitä he yrittävät, ongelma pysyy.
- Huijari tarjoutuu lähettämään kuvakaappauksen tai lokitiedoston tuki-insinöörille henkilökohtaisesta sähköpostistaan, joka tietysti toimii edelleen.
- Valmistettuna ja odottamassa sähköpostia, heti kun tuki-insinööri vastaanottaa sen, hän avaa haitallisen liitteen välittömästi. Huijari on tällöin onnistuneesti asentanut haittaohjelmia verkkoon.
4. Teknisenä tukena esiintyminen
Naamioituminen tekniseksi tueksi ja soittaminen muille henkilökunnan jäsenille on myös tapa, jota social engineering huijarit hyödyntävät mielellään. Tästä huijauksesta on monia muunnelmia.
- Yksi tekniikka on soittaa vastaanottoon. Huijarit kysyvät nimeä, jonka he ovat valinneet LinkedInistä tai muualta. Kun he saavat yhteyden henkilöön, he selittävät olevansa teknistä tukea, etäpalvelinkeskuksesta tai jotain vastaavaa.
- “Näytät ahmivan kiintolevytilaa palvelimelta, kopioitko paljon dataa tai jotain?“
- Tietenkin henkilö sanoo ei, näin ei ole. Muutaman lisäkysymyksen ja teknisen tuen insinöörin kiihkeän kirjoittamisen jälkeen huijarit kertovat, että työntekijän tili oli vaarantunut. Näyttää siltä, että joku kerää yrityksen tietoja ja on valmis kopioimaan ne verkosta.
- Kuulostaa huolestuttavalta, työntekijä saa heidät kirjautumaan ulos ja takaisin sisään. “Ei, mikään ei ole muuttunut. Se jatkuu edelleen.“
- Teknistä tukea esittävä huijari, joka mukamas ponnistelee pysyäkseen rauhallisena, kertoo henkilökunnan jäsenelle, että hän aikoo sulkea kaikki prosessit tällä tilillä.
- “Jos teen sen, minun on kuitenkin kirjattava sinut takaisin sisään, koska et voi itse tehdä sitä. Mikä on käyttäjänimesi? Okei kiitos. Ja mikä on nykyinen salasanasi? Selvä, OK, kirjaudu ulos nyt.”
- Pienen tauon jälkeen tuki-insinööri sanoo: ”Hienoa, olen ratkaissut ongelman. Itse asiassa voit kirjautua takaisin sisään ja jatkaa normaalisti, minun ei sittenkään tarvinnut tyhjentää tiliäsi.“
- Työntekijä on erittäin kiitollinen ja kiittää tukea avusta. Ja nyt huijareilla on tili, jolla he voivat käyttää verkkoasi.
Nämä ovat esimerkkejä onnistuneista sosiaalisen manipuloinnin hyökkäyksistä, joita tapahtuu runsaasti nykyään.
Hyökkäykset henkilökohtaisesti
Kun pääset fyysisesti tiloihisi, social engineering -huijarilla on mahdollisuus suorittaa erilaisia toimia, jotka vaarantavat turvallisuutesi entisestään.
1. Käänteiset SSH-tunnelit
Palomuurit päästävät yleensä liikenteen pois verkosta paljon helpommin kuin liikenne pääsee sisään. Palomuurit ovat rajavartijoita, ja suurin osa niiden huomiosta keskittyy siihen, mitä tulee sisään rajan yli. Poissulkeva liikenne on usein toissijainen huolenaihe.
- Huijari voi valmistaa edullisista yhden levyn tietokoneista, kuten Raspberry Pi:stä, laitteita, jotka muodostavat salatun lähtevän yhteyden huijarin palvelimeen, kun ne on yhdistetty verkkoon. Yleensä palomuuria ei ole määritetty estämään tällaista.
- Huijari muodostaa sitten salatun yhteyden takaisin laitteeseen, jonka hän istutti, käyttämällä jo muodostettua yhteyttä Raspberry Pi:stä. Tämä antaa hänelle etäyhteyden verkkoosi. Se on tekniikka, jota kutsutaan käänteiseksi SSH-tunneliksi.
Nämä piilolaitteet voidaan piilottaa vanhojen kannettavien virtalähteiden tai muiden laitteiden sisään ja liittää nopeasti laitteiden, kuten suurten tulostimien, taakse.
Tulostimet tarvitsevat verkkovirran ja verkkopisteen. Verkkopisteet jaetaan yleensä pareittain, kuten myös verkkopisteet. Tulostin tarvitsee vain yhden kutakin. Tulostimen takana ovat laitteen tarvitsemat liitännät ja mukava piilopaikka.
2. USB-muistitikut
Social engineering -huijari voi yksinkertaisesti ottaa kannettavan tietokoneen ja kävellä ulos. Ne voivat saastuttaa verkon haittaohjelmilla USB-muistitikulta.
- He saattavat jättää USB-muistitikkuja, joissa on haittaohjelmia kahvinkeittimien lähelle, wc-tiloihin tai tyhjille työpöydille. USB-tikulle on yleensä kiinnitetty joukko avaimia.
- Kun USB-tikku löytyy, työntekijän mielessä on kysymys “Kuka on unohtanut avaimensa?” ei “Hmm – tässä on anonyymi USB-tikku.“
- Tämä pieni ajattelutavan eroavaisuus on tärkeää huomata. Avainten väärin sijoittaminen on suuri ongelma. Löytäjä haluaa saada avaimet takaisin omistajalleen. Kuinka he voivat selvittää kenen tikku on? Ehkä muistitikulla on jotain, josta tunnistaa omistajan.
- Muistitikulla on tiedostoja. Ne saattavat näyttää PDF- tai Word-asiakirjoilta, mutta ne ovat peiteltyjä haittaohjelmia. Jos niillä on silmiinpistäviä otsikoita, kuten “irtisanomissuunnitelmat, vaihe 1”, työntekijän on lähes mahdotonta olla klikkaamatta niitä.
- Haittaohjelmat on mahdollista käynnistää automaattisesti heti, kun USB-asemat on asennettu, joten työntekijän ei tarvitse edes klikata mitään. Mutta jos automaattinen käynnistys on poistettu käytöstä – kuten pitäisi olla – vastustamattomien otsikoiden tiedostojen käyttö on yleinen varastrategia.
Samanlainen lähestymistapa on, että huijari kerää mainoskirjallisuutta aidolta yritykseltä, kuten kuriiriyritykseltä.
- Jokaiseen niistä kiinnitetään USB-muistitikku. Huijari ilmestyy vastaanotolle ja luovuttaa kolme tai neljä kopiota. He kysyvät vastaanottovirkailijalta, haluaisivatko he välittää ne lähetyksestä vastaavalle henkilölle.
- Melkein varmasti vastaanottovirkailija jättää sellaisen syrjään itselleen, ja heti kun huijari on poistunut rakennuksesta, he kokeilevat sitä tietokoneella.
3. Pääsy rakennukseen
Päästäkseen ohi vastaanoton, social engineering huijarit ovat esiintyneet kaikenlaisina toimittajina. UPS, postinjakaja, kukkatoimitukset, moottoripyöräkuriirit, pizzatoimitukset ja donitsitoimitukset muutamia mainitakseni. Huijarit voivat myös esiintyä rakennusmiehinä ja hissien huoltoinsinööreinä.
- Saapuminen tapaamiseen jonkun kanssa, jonka huijari tietää olevan muualla, kuin toimistossa (X:n tai LinkedInin ansiosta), on yllättävän tehokasta.
- Vastaanottovirkailija yrittää soittaa henkilökunnan jäsenelle ja sanoo, että he eivät vastaa puhelimeen. Huijari sanoo odottaneensa sitä. He ovat käyneet keskustelua tekstiviestillä, ja henkilöstön jäsen sanoi, että heidän edellinen tapaamisensa näyttää siltä, että se ylittyy.
“He ehdottivat, että odotan ruokalassa. He tulevat hakemaan minut, kun ovat vapaita. Voisiko joku näyttää minulle, missä se on, kiitos?“ - Uudet tulokkaat eivät edes kyseenalaista, onko tämä henkilö henkilökunnan jäsen. Hän on täällä firman tiloissa, nauraa ja juttelee muille henkilökunnan jäsenille ja puhuttelee heitä nimellä.
- Huijari juttelee sitten uusien tulokkaiden kanssa. He kysyvät heiltä, tuntevatko he juuri lähteneen henkilön ja kertovat heille, että hän on mukava kaveri.
- Kun henkilökunnan toinen aalto palaa rakennukseen, huijari seuraa heitä. He antavat henkilökunnan jäsenten syöttää koodinsa tai käyttää kaukosäädintä tai avainta.
- Kun ovi avautuu, he pitelevät sitä auki ja osoittavat eleitä, että oikea henkilökunta astuu sisään. Sitten hän seuraa heitä sisään.
Olemme tekemisissä ihmisten kanssa, joten on sanomattakin selvää, että social engineering on helpoin välttää pitämällä huolta siitä, että henkilöstö on näistä taktiikoista tietoinen. Tämä onnistuu koulutuksen, käytäntöjen ja menettelytapojen selväksi tekemisellä.
- Roolileikit ja ryhmäharjoitukset: Harjoittele toimenpiteitä ryhmien kanssa ja harkitse kokeneiden, hyväntahtoisten sosiaalisten manipuloijien roolileikkejä.
- Turvayritykset ja tunkeutumistestaukset: Turvayritykset voivat sitoutua käyttämään kaikkia tässä oppaassa kuvattuja tekniikoita ja muita tunkeutuakseen yritykseen. Se, missä heidän hyökkäyksensä onnistuivat, ohjaa yritystä tiukentamaan turvallisuuttaan parantamalla menetelmiä tai lisäämällä olemassa olevien menettelyjen valvontaa. Aivan kuten läpäisytestaus, joka tutkii teknisiä puolustuskykyä, social engineering herkkyys tulisi testata säännöllisesti. Voit yhdistää tämän hyvänlaatuiseen tietojenkalastelukampanjaan.
- USB-laitteen suojaus: Poista USB-laitteiden automaattinen käynnistys käytöstä. Käsittele anonyymejä USB-muistitikkuja, kuten Pandoran lipasta.
- Ulkopuolisten pyyntöjen käytäntö: Käytä ulkopuolisia pyyntöjä koskevaa käytäntöä. Nämä ovat protokollia rikkovia pyyntöjä. Ne pyytävät jotain, mitä et yleensä noudattaisi, mutta saatat tuntea houkutusta, koska on hätätilanne. Tai koska asia on kertaluonteinen. Tai kyseessä ovat erityisolosuhteet. Tai tämä kaveri todella tarvitsee tauon. Älä laita henkilökuntaasi paikan päälle tuntemaan olosi eroon siitä, haluaako auttaa ja tietää, ettei heidän pitäisi. Heillä on oltava menettely, jota he voivat noudattaa.
- Verkkoskannaukset ja uuden laitteen tunnistus: Suorita verkkoskannauksia ja tunnista ja tutki uusia verkkoon liitettyjä laitteita.
- Kirjautumistietojen suojaus: Älä koskaan anna tekniselle tuelle – tai kenellekään muulle – kirjautumistunnuksiasi. Tekninen tuki ei koskaan pyydä niitä. Jos sinulta kysytään tämäntyyppisiä tietoja, kyseessä on petos.
- Puheluturvallisuus: Jos saat puhelun, jossa kysytään aiemmin antamiasi arkaluontoisia tietoja, turvallisin tapa on katkaista puhelu ja soittaa takaisin.
- Vierailijoiden saattajakäytäntö: Älä koskaan jätä vierailijoita ilman valvontaa ja saata heidät aina paikasta toiseen. Anna vierailijoiden odottaa yhteydenottoaan vastaanotossa, ei henkilökunnalle tarkoitetuissa tiloissa.
Turvallisuuteen keskittyvän työkulttuurin edistäminen yrityksessä tuottaa tulosta ja on perusta monitasoiselle tietoturvallisuuden lähestymistavalle, joka on varmin tapa välttää monet social engineering hyökkäykset.