Physical Social Engineering Prevention : case: Tavara-asema

Abstract

The objective of the thesis was to create a collection of what to notice and plan when initiating a physical penetration test using social engineering and other tactics under the same umbrella for the commissioner organization. The purpose of the thesis was to study commissioner’s physical premises and create a tailored collection for planning penetration tests. The commissioner for the thesis was Kulttuurikamari Oy with their Tavara-asema location.

The theoretical framework of the thesis consisted of publications and studies on the topic of social engineering. Thesis was executed as a qualitative study, which was carried out with qualitative content analysis and with five expert interviews. The interview questions were created based on three past publications (Dimkov, Pieters & Hartel 2020; Rodriguez, Atyabi & Xu 2022; Wang, Sun & Zhu 2020) and they were carried out between March and May 2025.

From past studies and coding the expert interview summaries, themes were noted. With the themes, past publications and interview answers overview was created for a penetration test plan for commissioner, which included what to think and to do before the test, during the test and after the test. The collection overview can be adapted to the organization’s other physical functions by modifying general details and those of the premise.

With the conclusions and expert interviews, it can be noted that social engineering as a concept has not been present in past studies and training. The best noted methods to increase employees’ ability to pay attention to social engineering threats and tactics was to notify and train employees with internal training. The ambiguity of social engineering and changing concepts and terminology over the years need to be considered in future research.

Opinnäytetyön tavoitteena oli luoda asiakasyritykselle kokoelma, joka kertoo mitä huomioida ja suunnitella, kun tavoitteena on toteuttaa fyysinen penetraatiotesti käyttäen sosiaalista manipulointia ja saman sateenvarjon alle kuuluvia taktiikoita. Työn tarkoitus oli havainnoida asiakkaan fyysisiä asiakastiloja ja luoda räätälöity kokoelma fyysisen penetraatiotestauksen suunnittelua varten. Opinnäytetyön toimeksiantajana toimi Kulttuurikamari Oy kohteellaan Tampereen Tavara-asema.

Työn teoreettinen viitekehys koostui sosiaaliseen manipulointiin liittyvistä tutkimuksista ja julkaisuista. Työn toteutus oli kvalitatiivinen tutkimus, joka toteutettiin laadullisella sisällönanalyysilla sekä viidellä asiantuntijahaastatteluilla. Haastattelukysymykset tuotettiin kolmen tutkimuksen (Dimkov, Pieters & Hartel 2020; Rodriguez, Atyabi & Xu 2022; Wang, Sun & Zhu 2020) pohjalta, ja haastattelut toteutettiin maaliskuun ja huhtikuun 2025 välillä.

Aikaisempien julkaisujen ja asiantuntijahaastattelujen pohjalta koodauksen avulla havaittiin teemat. Näiden perusteella tuotettiin asiakkaalle listaus asioista, joita tulee huomioida, kun suunnitellaan testausta ennen testejä, testien aikana sekä testien jälkeen. Kokoelman pystyy implementoimaan organisaation muihin fyysisiin segmentteihin muokkaamalla yksityiskohtia ja kohteen yksilöllisyyksiä.

Johtopäätösten ja asiantuntijahaastatteluiden perusteella voidaan todeta, että sosiaalinen manipulointi konseptina on ollut vähäinen aikaisemmissa koulutuksissa. Parhaimmiksi metodeiksi, joiden avulla työntekijät osaavat paremmin tunnistaa sosiaalisen manipuloinnin uhat ja toimintatavat, nostettiin työntekijöiden tiedottaminen ja aiheen sisäinen kouluttaminen. Sosiaalisen manipuloinnin monitulkintaisuus ja ajansaatossa konseptien sekä termien muuttuminen tulee huomioida jatkotutkimuksissa.