Tarkastelussa kyberturvallisuus: Käyttäjä on sosiaalisen median tietoturvahyökkäysten ihannekohde
Maailman muuttuminen yhä digitaalisemmaksi ja analogisen viestinnän korvautuminen pilvipalveluilla, digitaalisilla kokouksilla ja sosiaalisella medialla tuo esiin uusia uhkia ja riskejä. Hakkerointi ei nykyään tarkoita vain teknistä tunkeutumista, vaan on kehitetty uusia, yksittäiseen ihmiseen keskittyviä menetelmiä.
Eräs suosittu hakkerointimenetelmä on käyttäjän manipulointi, englanniksi social engineering. Käyttäjän manipulointi käsittää monenlaisia tapoja, mutta yleisesti ottaen hakkeri pyrkii vaikuttamaan yksittäiseen käyttäjään ja saamaan hänet paljastamaan arkaluonteisia tietoja. Käyttäjän manipulointi on osoittautunut erityisen toimivaksi menetelmäksi hyökätä tietojärjestelmiin.
”Suuri määrä erilaisia viestintätyökaluja ja ‑foorumeita, kuten sähköposti, Skype, Dropbox ja LinkedIn, on tuonut esiin uusia käyttäjän manipuloinnin tapoja. Tilastot osoittavat, että tunkeutumisen havaitsemiseen voi kulua jopa 200 vuorokautta, mikä tarkoittaa, ettei tunkeutumista välttämättä näe tai huomaa. Käyttäjän manipuloinnissa voidaan käyttää monenlaisia hyökkäyksiä ja siihen kuuluu niin fyysisiä, sosiaalisia kuin teknisiäkin osa-alueita, joita käytetään hyökkäyksen eri vaiheissa”, kertoo Saabin tietoturvajohtaja Pierre Anderberg.
Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto CISA on esitellyt erilaisia käyttäjän manipulointia hyödyntäviä hyökkäystapoja:
- Tietojenkalastelu (phishing) toteutetaan sähköpostiviestin tai verkkosivuston kautta ja sillä pyritään keräämään tietoja tekeytymällä joksikin tunnetuksi organisaatioksi. Esimerkki tästä voisi olla tilanne, jossa hakkeri lähettää sähköpostiviestin, joka näyttää tulleen tunnetulta pankilta ja jossa pyydetään tietoja. Usein kyse on ”ongelmasta”, jonka selvittämiseksi henkilön on annettava pankkitietonsa, minkä jälkeen hakkerit pääsevät käsiksi pankkitiliin.
- Äänikalastelussa (vishing) käytetään puheviestintää. Tätä menetelmää voidaan käyttää yhdessä muiden käyttäjän manipulointimenetelmien kanssa tavoitteena saada uhri soittamaan tiettyyn numeroon ja paljastamaan arkaluonteisia tietoja.
- Tietojen kalastelu tekstiviestillä (smishing) hyödyntää tekstiviestejä, joissa voi olla linkkejä verkkosivustoihin, sähköpostiosoitteisiin tai puhelinnumeroihin. Tällaisen linkin napsauttaminen avaa automaattisesti selaimen, lähettää sähköposti- tai muun viestin tai soittaa puhelinnumeroon. Tämä sähköpostin, puheen, tekstiviestien ja selaimen yhdistelmä lisää mahdollisuutta joutua käyttäjän manipuloinnin kohteeksi.
Voit vähentää riskiä joutua kyberhyökkäyksen uhriksi noudattamalla seuraavia yksinkertaisia ohjeita:
- Pidä tietototurvaa koskevat tietosi ajan tasalla. Tekniikka kehittyy jatkuvasti, joten myös uusia uhkia ja riskejä syntyy. Kun pidät tietosi ajan tasalla, myös laiminlyöntien riski pienenee.
- Suhtaudu epäluuloisesti odottamattomiin puheluihin, käynteihin tai sähköpostiviesteihin, joissa kysellään tietoja työntekijöistäsi tai organisaation sisäisiä tietoja. Jos tuntematon henkilö yrittää ottaa sinuun yhteyttä ja väittää olevansa jostakin tunnetusta organisaatiosta, pyri varmistamaan heidän henkilöllisyytensä yrityksen sisäisesti.
Ilmoita tietoturvahäiriöistä työnantajallesi, sillä se auttaa heitä keräämään tilastotietoja heidän kokemiensa tietoturvahäiriöiden määrän seurantaa varten.