Social Engineering 101

Abstract

This thesis was carried out in collaboration with Phirelight Security Solutions Inc. which is a Canadian information security company. The practical part of this thesis was commissioned by them. The purpose of the thesis was to create an all-inclusive handbook that outlines different social engineering methods and give the reader a basis on how to protect themselves against social engineering attacks. The main research method was finding previous experiences of social engineering attacks from the Internet as well as research the psychology behind manipulating people and their behavior based on literature on the subject. The references used in the analysis of the techniques were mostly collected from various scientific publications while the case study references were collected principally but not exclusively from various reputable online publications. The result of the research is a simple but comprehensive study which is meant to educate the reader with the help of examples of real life scenarios and incidents. The practical experiment carried out as the commission of Phirelight Security Solutions Inc. further underlines the importance of understanding why guarding one’s own personal information is important as well as why everyone working in a modern corporate environment should always be aware of social engineering attacks and how they work. This thesis as a whole is meant to be used as a beginner’s guide for understanding social engineering attacks. It does not include each and every single method used for these attacks. The intent has been to bring every reader's awareness to an acceptable level while maintaining a reasonable length for this publication. The Phirelight experiment has resulted in the company offering this kind of a service to its customers as well.

Opinnäytetyön aihe oli sosiaalisen manipuloinnin perusteet ja hyökkäystavat. Päätavoitteena oli luoda kattava opas, jota voidaan käyttää koulutustarkoituksiin. Tästä syystä opinnäytetyö on kirjoitettu englanniksi. Opinnäytetyön tukena toteutettiin myös pienimuotoinen koe, jossa testattiin kanadalaisen tietoturvayhtiö Phirelight Security Solutions Inc:n sisäistä valmiutta sosiaaliseen manipulointiin perustuviin hyökkäyksiin. Tutkimus- ja kirjoitustyö tapahtui kvalitatiivisena tutkimuksena ja toimintatutkimuksena. Pääkysymyksenä oli selvittää, mistä syystä sosiaalinen manipulointi on helpoin hyökkäysmetodi tietoturvamaailmassa ja tästä näkökulmasta kirjoittaa opas sen torjumiseen. Tutkimuksen tukena käytetty aineisto koostui internetistä haetuista julkaisuista samoin kuin kirjallisista teoksista. Opinnäytetyöhön kuuluu myös case-tutkimus, jossa analysoitiin kolmea tietomurtoa, joissa jokaisessa käytettiin hyväksi sosiaaliseen manipulointiin perustuvia hyökkäysmetodeja. Phirelightilla suoritettu koe toteutettiin konstruktiivisena tutkimuksena, jonka toisena tavoitteena oli selvittää voisiko vastaavaa palvelua tarjota myös asiakkaille tulevaisuudessa. Tutkimustyön keskeisimmät tulokset olivat samoja opinnäytetyön jokaisessa osuudessa. Perimmäisimpiä syitä sosiaalisen manipuloinnin helppoudelle ovat ihmisten opitut käyttäytymissäännöt ja -ohjeet, jotka tekevät käytöksestä helposti ennakoitavaa. Tästä seuraa väistämättä se, että myös ihmisiä on mahdollista hakkeroida käyttämällä hyväksi heidän valmiiksi opittuja käyttäytymismalleja. Ihmisten luontaista käyttäytymistä ei myös voi päivittää samaan tapaan kuin tietoturva-aukon sisältävää ohjelmaa. Phirelightilla suoritettu koe osoitti saman todeksi, kun noin kolmannes työntekijöistä antoi oikeat käyttäjätunnuksensa sähköpostin kautta välitetylle phishing-sivulle. Tutkimustulosten pohjalta keskeisin johtopäätös on että yritysmaailmassa viime kädessä tietoturvasta ovat vastuussa aina työntekijät itse, eikä yrityksen sisäiseen turvallisuuteen erikoistunut elin. Sosiaaliseen manipulointiin perustuvat hyökkäykset kohdistuvat usein niin laajaan yleisöön, että niiden estäminen on käytännössä mahdotonta. Tästä syystä tehokkain puolustus on kouluttaa ihmiset niitä vastaan. Phirelightilla toteutettu koe johtanee kyseisenlaisen testauspalvelun ja koulutuksen tarjoamiseen myös asiakkaille.