Käyttäjän manipulointi kyberuhkana – haavoittuvuutena psykologiset tekijät
Liljeström, Nadja (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052013633
https://urn.fi/URN:NBN:fi:amk-2025052013633
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli selvittää, mitkä yksilön psykologiset piirteet voidaan mieltää haavoittuvuuksiksi käyttäjän manipuloinnin hyökkäyksissä, millaisia psykologisia menetelmiä hyökkääjä hyödyntää, sekä millaisia vaiheita tällainen tarkoin suunniteltu ja kohdennettu hyökkäys sisältää. Työn tarkoituksena oli luoda lukijalle selkeä kuva kyberuhista, joissa olennainen elementti on ihmisen psykologiaan vetoavien menetelmien hyödyntäminen.
Opinnäytetyö toteutettiin kevään 2025 aikana narratiivisena kirjallisuuskatsauksena, jossa tavoitteena on tehdä havaintoja ja yhteenvetoja aiemmin julkaistuista tutkimuksista. Tutkimuksen aihe rajattiin seuraavien tutkimuskysymysten avulla:
- Mitkä psykologiset tekijät voidaan nähdä haavoittuvuuksina kyberturvallisuuden kontekstissa?
- Mitä psykologisia menetelmiä käyttäjän manipuloinnin hyökkäyksissä hyödynnetään?
- Mitä vaiheita ja psykologisia menetelmiä kohdennettu käyttäjän manipuloinnin hyökkäys sisältää?
Työn tietoperustassa lukijalle avattiin kyber- ja tietoturvallisuuden käsitteet, sekä esiteltiin yleisimmät käyttäjän manipuloinnin uhat, joita organisaation henkilöstö työtehtävissään kohtaa. Myös tutkimusmenetelmän, eli narratiivinen kirjallisuuskatsauksen määritelmä avattiin lukijalle.
Työn empiirisessä osassa käytiin läpi kyberturvallisuuden kontekstissa haavoittuvuuksiksi miellettävät psykologiset tekijät, sekä käyttäjän manipuloinnin hyökkäyksissä hyödynnettävät psykologiset menetelmät. Empiirisessä osassa myös perehdyttiin kohdennetun käyttäjän manipuloinnin hyökkäyksen vaiheisiin, käyttäen esimerkkinä BEC-huijausta ja teknisen tuen huijausta.
Tutkimusaineistona käytettyjen aiempien tutkimusten perusteella oli havaittavissa, että käyttäjän manipuloinnin hyökkäyksissä keskitytään huomattavasti enemmän psykologisiin haavoittuvuuksiin kuin teknisen suojauksen murtamiseen. Tästä tehtiin johtopäätös, että käyttäjän manipuloinnin hyökkäyksiin on olennaista varautua juuri henkilöstön kouluttamiseen ja tietoisuuden lisäämiseen panostamalla.
Tutkimuksessa havaittiin myös jatkotutkimustarpeita, kuten hyökkäyksen onnistumiseen johtavien tekijöiden tutkiminen. Tämä edellyttäisi myös sitä, että näistä tapauksista puhuttaisiin enemmän julkisesti. Myös organisaation toimintamalleihin olisi hyvä kiinnittää huomiota, ja tutkia varsinkin kohteena olleen yksilön kokemusta toteutuneiden uhkien tapauksessa, kun organisaation työntekijä joutuu käyttäjän manipuloinnin hyökkäyksen uhriksi työtehtävissään.
On myös huomioitava, että teknologian kehittyessä myös rikolliset tulevat hyödyntämään kehittynyttä teknologiaa hyökkäyksissään luodakseen entistä uskottavampia huijauksia, joten myös hyökkäysmenetelmien kehittyminen teknologian myötä tulee olemaan tulevaisuudessa erityisen tärkeä tutkittava aihealue.
Opinnäytetyö toteutettiin kevään 2025 aikana narratiivisena kirjallisuuskatsauksena, jossa tavoitteena on tehdä havaintoja ja yhteenvetoja aiemmin julkaistuista tutkimuksista. Tutkimuksen aihe rajattiin seuraavien tutkimuskysymysten avulla:
- Mitkä psykologiset tekijät voidaan nähdä haavoittuvuuksina kyberturvallisuuden kontekstissa?
- Mitä psykologisia menetelmiä käyttäjän manipuloinnin hyökkäyksissä hyödynnetään?
- Mitä vaiheita ja psykologisia menetelmiä kohdennettu käyttäjän manipuloinnin hyökkäys sisältää?
Työn tietoperustassa lukijalle avattiin kyber- ja tietoturvallisuuden käsitteet, sekä esiteltiin yleisimmät käyttäjän manipuloinnin uhat, joita organisaation henkilöstö työtehtävissään kohtaa. Myös tutkimusmenetelmän, eli narratiivinen kirjallisuuskatsauksen määritelmä avattiin lukijalle.
Työn empiirisessä osassa käytiin läpi kyberturvallisuuden kontekstissa haavoittuvuuksiksi miellettävät psykologiset tekijät, sekä käyttäjän manipuloinnin hyökkäyksissä hyödynnettävät psykologiset menetelmät. Empiirisessä osassa myös perehdyttiin kohdennetun käyttäjän manipuloinnin hyökkäyksen vaiheisiin, käyttäen esimerkkinä BEC-huijausta ja teknisen tuen huijausta.
Tutkimusaineistona käytettyjen aiempien tutkimusten perusteella oli havaittavissa, että käyttäjän manipuloinnin hyökkäyksissä keskitytään huomattavasti enemmän psykologisiin haavoittuvuuksiin kuin teknisen suojauksen murtamiseen. Tästä tehtiin johtopäätös, että käyttäjän manipuloinnin hyökkäyksiin on olennaista varautua juuri henkilöstön kouluttamiseen ja tietoisuuden lisäämiseen panostamalla.
Tutkimuksessa havaittiin myös jatkotutkimustarpeita, kuten hyökkäyksen onnistumiseen johtavien tekijöiden tutkiminen. Tämä edellyttäisi myös sitä, että näistä tapauksista puhuttaisiin enemmän julkisesti. Myös organisaation toimintamalleihin olisi hyvä kiinnittää huomiota, ja tutkia varsinkin kohteena olleen yksilön kokemusta toteutuneiden uhkien tapauksessa, kun organisaation työntekijä joutuu käyttäjän manipuloinnin hyökkäyksen uhriksi työtehtävissään.
On myös huomioitava, että teknologian kehittyessä myös rikolliset tulevat hyödyntämään kehittynyttä teknologiaa hyökkäyksissään luodakseen entistä uskottavampia huijauksia, joten myös hyökkäysmenetelmien kehittyminen teknologian myötä tulee olemaan tulevaisuudessa erityisen tärkeä tutkittava aihealue.