Phishing-kampanja pk-yrityksille
Seppälä, Mikko (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025051210802
https://urn.fi/URN:NBN:fi:amk-2025051210802
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli toteuttaa eettinen tietojenkalastelukampanja pienille ja keskisuurille yrityksille (pk-yrityksille). Tavoitteena oli selvittää, kuinka suuri osa työntekijöistä avasi haitallisen linkin, syötti tunnuksensa väärennetylle sivustolle ja miten kohdeyrityksien henkilöstö reagoi mahdolliseen tietojenkalasteluyritykseen. Yrityksille toteutettiin kahdentyyppisiä kampanjoita: geneerisiä ja räätälöityjä. Geneeriset kampanjat olivat rakenteeltaan samanlaisia kaikille kohteille ja räätälöidyt kampanjat muokattiin kunkin yrityksen kontekstiin sopiviksi ennalta määritettyjen kriteerien perusteella.
Tutkimus toteutettiin tapaustutkimuksena, jossa yhdistettiin laadullisia ja määrällisiä menetelmiä. Aineistoa kerättiin kohdeyrityksistä teknisen havainnoinnin avulla sekä sähköpostihaastatteluin yritysten yhteyshenkilöiltä. Määrällisiä tuloksia analysoitiin sivustovierailujen ja tunnusten syöttämisen osalta. Reaktioiden analysoinnissa käytettiin sisällönanalyysin menetelmiä. Kampanjoihin sisältyi tietojenkalasteluviestin ja huijaussivustojen suunnittelu ja lähettäminen kohdeyrityksiin.
Tulosten perusteella räätälöidyt tietojenkalastelukampanjat osoittautuivat tehokkaammiksi kuin geneeriset kampanjat, mikä korostaa viestien ja sivuston uskottavuutta ja kohdennetun sisällön merkitystä hyökkäyksen onnistumisessa. Henkilöstön reaktioita analysoitaessa tietoisuuden ja koulutuksen puute nousi keskeiseksi riskitekijäksi, johon kohdeyritysten olisi hyvä panostaa. Reagointitapojen vaihtelu puolestaan viittaa siihen, että sisäiset toimintamallit ja ohjeistus vaikuttavat ratkaisevasti reagointiin. Selkeä raportointikulttuuri ja aktiivinen viestintä tukevat työntekijöitä ilmoittamaan havaitsemiaan uhkia ja parantavat näin koko organisaation tietoturvallisuutta.
Tutkimus toteutettiin tapaustutkimuksena, jossa yhdistettiin laadullisia ja määrällisiä menetelmiä. Aineistoa kerättiin kohdeyrityksistä teknisen havainnoinnin avulla sekä sähköpostihaastatteluin yritysten yhteyshenkilöiltä. Määrällisiä tuloksia analysoitiin sivustovierailujen ja tunnusten syöttämisen osalta. Reaktioiden analysoinnissa käytettiin sisällönanalyysin menetelmiä. Kampanjoihin sisältyi tietojenkalasteluviestin ja huijaussivustojen suunnittelu ja lähettäminen kohdeyrityksiin.
Tulosten perusteella räätälöidyt tietojenkalastelukampanjat osoittautuivat tehokkaammiksi kuin geneeriset kampanjat, mikä korostaa viestien ja sivuston uskottavuutta ja kohdennetun sisällön merkitystä hyökkäyksen onnistumisessa. Henkilöstön reaktioita analysoitaessa tietoisuuden ja koulutuksen puute nousi keskeiseksi riskitekijäksi, johon kohdeyritysten olisi hyvä panostaa. Reagointitapojen vaihtelu puolestaan viittaa siihen, että sisäiset toimintamallit ja ohjeistus vaikuttavat ratkaisevasti reagointiin. Selkeä raportointikulttuuri ja aktiivinen viestintä tukevat työntekijöitä ilmoittamaan havaitsemiaan uhkia ja parantavat näin koko organisaation tietoturvallisuutta.