Ads 468x60px

keskiviikko 2. syyskuuta 2015

Käyttäjien manipulointi

Luin hiljattain hyvän artikkelin käyttäjien manipuloinnista (Cybersecurity on the World of Social Engineering, Reg Harnish). Harnish käsitteli aihetta erittäin hyvin ja toi esiin hyviä pointteja koskien juuri ihmisiin kohdistuvia tietoturvahyökkäyksiä, jotka toteutetaan käyttäjän manipulointia hyväksikäyttäen (Social Engineering).

Käyttäjän manipulointi on yksi tämän hetken suurimmista uhista liiketoiminnalle, yksityishenkilöille ja valtioille. Ihmiset joutuvat yhä useammin tietoturvahyökkäyksien kohteeksi, inhimillisten heikkouksien sekä kognitiivisen ajattelun puutteiden vuoksi. Tästä johtuen käyttäjän manipulointi tehoaa ja tulee menemään pitkään, ennen kuin ihmiset oppivat väistämään vaarat, jotka he kohtaavat.

Mikä sitten on käyttäjän manipulointi? Käyttäjän manipulointi liittyy tietoturvaan ja sillä tarkoitetaan psykologista manipulointia, joka kohdistuu käyttäjiin. Manipuloinnin tarkoituksena on yleensä saada käyttäjältä tietoja, petoksen yritys tai hyökkääjä haluaa päästä sisään johonkin järjestelmään. Aiemmin sana on kuulunut vain yhteiskuntatieteisiin, mutta mitä enenevissä määrin termiä on alettu käyttää myös tietotekniikan piireissä. Tällä hetkellä käyttäjän manipulointi saattaakin olla yksi hakkereiden vahvimmista aseista.
Suurin osa tietomurroista, vahingoista ja muista tapahtumista, jotka johtavat ongelmiin, on ollut käyttäjien avustamia. Lähes jokainen nykypäivän rikkomus on tapahtunut käyttäjän hyväksymänä, esimerkiksi avaamalla sähköpostin liitetiedoston, joka on sisältänyt saastuneita tiedostoja taikka käyttäjä asentanut koneelle epäilyttäviä haittaohjelmia.
Hakkerit käyttävät paljon aikaa kerätäkseen tietoa yrityksistä ja heidän työntekijöistään. Tekniikoiden kuten phisingin, vishingin ja imitoinnin avulla kerätään henkilötietoja, valtakirjoja, käyttäjätunnuksia, pankkitietoja ja arkaluontoisia potilastietoja, kaiken muun mainitsemattoman tiedon lisäksi.
All of Us - We should each ask ourselves when the last time was that we manipulated someone for our own benefit. It can be assumed that it was very recently. - Reg Harnish
Usein käyttäjän manipuloinnista johtuvista hyökkäyksistä on vaikea huomata/ehkäistä, koska ongelmat ovat olleet psykologiasia eikä teknologisia. Näin ollen käyttäjän manipulointi on helppo tapa löytää aukkoja yrityksen tietoturvasta, kun taas yrityksen on erittäin vaikea löytää ja tukkia näitä aukkoja.
Kyberturvallisuuskoulutuksia tulisi pitää koko henkilöstölle ja näin antaa kaikille käsitys mahdollisista uhista. Koulutusten tulisi myös olla jatkuvia, koska rikolliset keksivät aina uusia keinoja hyökkäyksien toteuttamiseen. Hyvin päivitetyllä tietoturvatiedolla/tietoturvapolitiikalla voidaan säästää paljon yrityksen varoja sekä pystytään välttämään ikäviä tilanteita.
Artikkelin mukaan vuodessa kärsitään noin 500 miljardin dollarin tappiot verkkorikollisuuden takia. Yritykset kuitenkin laskelmien mukaan suojaavat yritystään 46 miljardilla dollarilla ja trendi on ollut kasvava. Usein hyökkääminen on helpompaa kuin puolustaminen ja tämän takia niin sanottu 0-0 tilanne jalkapallo-ottelussakaan ei välttämättä tyydytä. Tulee kuitenkin muistaa, että 0-0 on paljon parempi tilanne kuin 0-5.
Esimerkki-casena voidaan nostaa esille tämän vuoden huhtikuussa tapahtunut tietomurto. Tietomurron kohteeksi joutui Tesla Motors, johon Lizard Squad teki hyökkäyksen. Lizard Squad otti selvää yrityksen palveluntarjoajasta ja pyysi palveluntarjoajia resetoimaan verkkotunnuksen salasanan. Hyökkääjät olivat tekeytyneet Teslan työntekijöiksi ja tätä kautta saivat mitä halusivat. Lopputuloksena oli, että hakkerit pystyivät ohjaamaan teslamotors.com sivustolta liikenteen muualle ja saivat haltuunsa muun muassa myös Teslan ja Teslan toimitusjohtajan Twitter-tilit.

Suosittelen myös lämpimästi lukemaan Helsingin Sanomissa julkaistun artikkelin aiheesta - "Älä lankea nettihuijarin ansaan".


Lähteet:
Cybersecurity in the World of Social Engineering - Reg Harnish

Ei kommentteja:

Lähetä kommentti