Sosiaalisen manipuloinnin keinot ja niiltä suojautuminen
Parolo, Elisa (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020052613632
https://urn.fi/URN:NBN:fi:amk-2020052613632
Tiivistelmä
Tämän opinnäytetyön tarkoitus on tutkia sosiaalista manipulointia tietoturvailmiönä. Tutkimus toteutettiin sisällöntutkimuksena laadullisin menetelmin. Työn tavoitteena on kerätä eri lähteistä kattava katsaus ilmiön toteutustapoihin sekä hyväksi havaittuihin suojausmenetelmiin. Työ on rajattu siten, että sisällössä analysoidaan vain sosiaaliset manipulointihyökkäykset, jotka toteutetaan tietomurron toteuttamista tai tämän helpottamista varten.
Verkkohyökkääjät osaavat taitavasti suostutella meidät luovuttamaan henkilökohtaista tietoa, jota he myöhemmin hyödyntävät tietomurroissa tai tietomurtojen suunnittelussa. Hyökkääjä voi lähestyä uhria sähköpostitse, puhelimitse tai jopa kasvotusten: täysin turvallista kommunikointikanavaa, jossa kyseisiä hyökkäyksiä ei tapahtuisi, ei ole olemassa. Hyökkäyksen olennaisena osana on luottamussuhteen rakentaminen uhriin, jonka seurauksena hyökkääjän on helpompi suostutella häntä luovuttamaan arkaluontoista tietoa. Tähän hyökkääjällä on käytössä lukuisia keinoja, joiden avulla hän pystyy manipuloimaan uhrinsa käytöstä ja tunneskaalaa. Hyökkääjä ei myöskään tavoittele pelkästään salasanoja ja luottokorttinumeroita, vaan myös muuta arkaluontoista tietoa voidaan hyödyntää tietomurtojen suunnittelussa.
Tämän kaltaisilta hyökkäyksiltä on hankalaa suojautua. Sosiaaliset manipulointihyökkäykset kohdistuvat suoraan käyttäjiin, jotka eivät hyökkääjien käyttämien tekniikoiden ansiosta aina edes ymmärrä joutuneensa hyökkäyksen uhriksi. Organisaatioiden kuuluisi panostaa käyttäjien koulutukseen sekä tietoturvakulttuurin luomiseen organisaation sisäisesti niin, että hyvät käytännöt ovat osa työskentelytapoja. On myös olemassa useita teknisiä ratkaisuja, jotka voivat tukea käyttäjiä havaitsemaan ja suojautumaan näiltä hyökkäyksiltä sekä niiden seurauksilta. Niillä ei yksin kuitenkaan ole mahdollista saavuttaa tarvittavaa tietoturvatasoa.
Työ toteutettiin keväällä 2020.
Verkkohyökkääjät osaavat taitavasti suostutella meidät luovuttamaan henkilökohtaista tietoa, jota he myöhemmin hyödyntävät tietomurroissa tai tietomurtojen suunnittelussa. Hyökkääjä voi lähestyä uhria sähköpostitse, puhelimitse tai jopa kasvotusten: täysin turvallista kommunikointikanavaa, jossa kyseisiä hyökkäyksiä ei tapahtuisi, ei ole olemassa. Hyökkäyksen olennaisena osana on luottamussuhteen rakentaminen uhriin, jonka seurauksena hyökkääjän on helpompi suostutella häntä luovuttamaan arkaluontoista tietoa. Tähän hyökkääjällä on käytössä lukuisia keinoja, joiden avulla hän pystyy manipuloimaan uhrinsa käytöstä ja tunneskaalaa. Hyökkääjä ei myöskään tavoittele pelkästään salasanoja ja luottokorttinumeroita, vaan myös muuta arkaluontoista tietoa voidaan hyödyntää tietomurtojen suunnittelussa.
Tämän kaltaisilta hyökkäyksiltä on hankalaa suojautua. Sosiaaliset manipulointihyökkäykset kohdistuvat suoraan käyttäjiin, jotka eivät hyökkääjien käyttämien tekniikoiden ansiosta aina edes ymmärrä joutuneensa hyökkäyksen uhriksi. Organisaatioiden kuuluisi panostaa käyttäjien koulutukseen sekä tietoturvakulttuurin luomiseen organisaation sisäisesti niin, että hyvät käytännöt ovat osa työskentelytapoja. On myös olemassa useita teknisiä ratkaisuja, jotka voivat tukea käyttäjiä havaitsemaan ja suojautumaan näiltä hyökkäyksiltä sekä niiden seurauksilta. Niillä ei yksin kuitenkaan ole mahdollista saavuttaa tarvittavaa tietoturvatasoa.
Työ toteutettiin keväällä 2020.