Sosiaalinen manipulointi: Miksi ihmiset lankeavat verkkohuijauksiin?

13.06.2022

Jopa 98 prosenttia kyberhyökkäyksistä hyödyntää sosiaalista manipulointia. Useimmissa tapauksissa tietojärjestelmiä ei tarvitse edes hakkeroida, koska niihin pääsee käsiksi psykologisin keinoin.

Ihminen on suurin kyberturvallisuusriski

Ihmisiä on huomattavasti helpompi ”hakkeroida” kuin nykypäivän teknologiaa. Hyökkäysten kohteet suostutellaan sosiaalisella manipuloinnilla toimimaan hyökkääjän edun mukaisesti, sillä tyypilliset käyttäytymismallit saavat ihmiset tekemään epäloogisia valintoja ja inhimillisiä virheitä.

Kyberrikollisten suosimat manipulointimenetelmät perustuvat psykologi Robert B. Cialdinin vaikutusvallan ja suostuttelun periaatteisiin (Vaikutusvalta: Suostuttelun psykologiaa), joita käytetään paljon hyväksi myös esimerkiksi mainonnassa ja politiikassa. Monet ovat mielestään immuuneja vaikuttamiselle, mutta harva itse tiedostaa sen osuutta omaan toimintaan ja ajatteluun.

Cialdinin tunnetuimmat psykologiset periaatteet:

  • Auktoriteetti – asiantuntijoiden, virkavallan, hierarkian ynä muiden sellaisten kunnioittaminen
  • Pitäminen – samankaltaisista tai tutuista ihmisistä pitäminen
  • Vastavuoroisuus – vastapalvelusten tekeminen
  • Sosiaalinen todiste – vallitsevan mielipiteen myötäily (ryhmäpaine/laumakäyttäytyminen)
  • Niukkuus – vähäinen tarjonta tekee asioista haluttavampia
  • Sitoutuminen ja johdonmukaisuus – johdonmukaisuus aiempien päätösten kanssa

Tiedon valtakausi

Informaatiolla on monipuolinen rooli kyberhyökkäyksissä. Internetin, sosiaalisen median ja älypuhelimien käytön yleistymisen myötä julkisista verkkolähteistä löytyy runsaasti hyödyllistä tietoa, jota voidaan käyttää kyberhyökkäyksessä hyväksi. Avointen lähteiden tiedustelulla hyökkääjä saa helposti käsiinsä paljon taustatietoa kohteesta, jonka avulla voi rakentaa uskottavia tilanteita luottamuksen saamiseen ja manipulointiin. Tiedonkeruu on useimmissa tapauksissa myös hyökkäysten tavoite, koska sillä on lukuisia käyttötarkoituksia.

Tyypilliset seuraukset hyökkäysten uhreille:

  • Henkilökohtaisten tietojen leviäminen ja hyväksikäyttö
  • Rahojen menettäminen
  • Identiteettivarkaus
  • Laitteen tartunta haitallisella ohjelmalla, joka voi johtaa kaikkiin edellä mainittuihin

Tyypilliset seuraukset yrityksen tietovuodolle:

  • Maineen ja uskottavuuden menettäminen
  • Suuret rahalliset tappiot
  • Tiedot levitetään/myydään
  • Tiedot voidaan käyttää jatkossa yrityksen asiakkaiden ja käyttäjien manipulointiin

Mikä on phishing?

”Phishing” eli tietojenkalastelu on yleisin hyökkäysmenetelmä – jopa 90 prosenttia tietovuodoista tapahtuu niiden avulla. Kalasteluviestit lähetetään useimmiten sähköpostin, sosiaalisen median tai tekstiviestin välityksellä. Niillä yritetään manipuloida vastaanottajia avaamaan haitallisia liitetiedostoja tai linkkejä haitallisille sivustoille. Luotettavaksi naamioitu haitallinen sivusto voi muun muassa kerätä salasanoja, luottokorttitietoja ja asentaa haittaohjelman. Tietojenkalastelu voidaan toteuttaa myös äänipuheluilla.

Massaviestien lähettäminen on hyvin helppoa ja siksi kannattavaa, vaikka vain muutama vastaanottaja lankeaisi niihin. Kohdennetussa tietojenkalastelussa (”spear phishing”) tiedustelun rooli on suurempi, sillä kohteita on valikoitu määrä ja tavoite on yleensä monimutkaisempi kuin massahuijauksissa. Taitavasti kohdennetut viestit näyttävät tulevan taholta, johon kohde luottaa, ja ne saattavat olla sisällöltään hyvin uskottavia. Kohdennetulla kalasteluviesteillä on huijattu jopa tietoturva- ja teknologiajättien työntekijöitä antamaan arvokasta tietoa tai pääsyn yrityksen verkkoon.

Hyökkääjä saattaa myös ylläpitää luottamussuhdetta kohteeseen, jonka avulla onnistuu manipuloimaan aina enemmän arkaluontoista tietoa ja/tai rahaa. Näin toimii esimerkiksi yksinäisiin ihmisiin kohdistuvat rakkaushuijaukset.

Ennaltaehkäisy on paras puolustus

Tietoturva on nykyään tärkeä osa jokaisen työ- ja kotielämää. Teknologisten tietoturvaratkaisujen nopea kehitys luo kuitenkin valheellisen turvallisuudentunteen, sillä suurin osa hyökkäyksistä ei kohdistu niihin.

Tehokkaimmat torjuntakeinot manipuloinnin verkkohyökkäyksiä vastaan yrityksissä ovat henkilökunnan kouluttaminen sekä tietoturvallisten toimintaperiaatteiden luominen ja niiden noudattaminen. Jokaisen työntekijän tulisi osata tunnistaa hyökkäykset ja reagoida niihin järjenmukaisesti.

Valitettavan pieni osa verkon peruskäyttäjistä ovat tietoisia kyberrikollisten luovista keinoista ja taidoista, joten pelkästään tietoisuuden lisääminen voisi vähentää uhrien määrää huomattavasti. Jokaisen olisi hyvä myös pohtia omaa verkkokäyttäytymistään ja sen myötä kehittää ajattelu- ja toimintatapoja oman yksityisyyden suojaamisen.

Lähteet

Galov, N. (2022). 17+ Sinister Social Engineering Statistics for 2022. Web Tribunal.
https://webtribunal.net/blog/social-engineering-statistics/

Cialdini, R. B. (2021). Influence: The Psychology of Persuasion. Harper Business.

Cisco. (2021). 2021 Cyber Security Threat Trends – Phishing, Crypto Top the List.
https://learn-umbrella.cisco.com/ebook-library/2021-cyber-securitythreat-trends-phishing-crypto-top-the-list

Rosengren, K. (2022) Contribution of Open-Source Intelligence to Social Engineering Cyberattacks. Turku AMK opinnäytetyö.

Tekijät

Kim Rosengren, Jani Ekqvist

Opettaja

Jani Ekqvist
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20231113145421

Teemat | Themes

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (18) Energia- ja ympäristötekniikka (76) ICT (88) Kemiantekniikka (77) Konetekniikka (20) Liiketalous (59) Logistiikka (27) Master School Engineering and Business (226) Master School Health and Well-being (128) Myynti (19) Rakennustekniikka (55) Teknologiateollisuus (15) Tuotantotalous (65) Yrittäjyys (10)

Taideakatemia

Master School Arts Academy (6)

Terveys ja hyvinvointi

Bioanalytiikka (1) Ensihoito (25) Fysioterapia (6) Hammastekniikka (9) Kätilötyö (8) Master School Engineering and Business (226) Master School Health and Well-being (128) Radiografia (7) Sairaanhoito (52) Sosiaali- ja kasvatusala (49) Suun terveydenhoito (1) Terveydenhoito (16) Toimintaterapia (18)