Siirry pääsisältöön
resources

Tapoja välttyä käyttäjän manipuloinnilta

Mitä käyttäjän manipuloinnilla tarkoitetaan?

Useimmat mieltävät kyberturvallisuuden suojautumiseksi teknologian ja tietoverkkojen haavoittuvuuksia hyödyntävien hakkereiden hyökkäyksiltä. Organisaatioihin ja tietoverkkoihin voi kuitenkin päästä muillakin tavoilla, nimittäin käyttämällä hyväksi ihmisen heikkouksia. Tätä kutsutaan käyttäjän manipuloinniksi, eli ihminen huijataan paljastamaan tietoja tai antamaan pääsy tietoverkkoon.

Esimerkiksi IT-tuen edustajaksi tekeytyvä tunkeilija voi pyytää käyttäjiltä käyttäjätunnuksia ja salasanoja. Yllättävän moni luovuttaa tiedot epäröimättä – erityisesti silloin, kun pyyntö tulee taholta, joka vaikuttaa aidolta.

Yksinkertaisesti ilmaistuna käyttäjän manipulointi tarkoittaa petoksen avulla tapahtuvaa ihmisen manipulointia, jossa tavoitteena on saada ihminen antamaan pääsy tietoverkkoon tai luovuttamaan tietoja tai dataa.

Erilaisia käyttäjän manipuloinnin tapoja

Käyttäjän manipulointi jaotellaan eri tyyppeihin. On tärkeää ymmärtää käyttäjän manipuloinnin määritelmä ja se, kuinka manipulointi tapahtuu. Kun tekotavan perusteet ovat selvillä, käyttäjän manipulointiyritykset on huomattavasti helpompi tunnistaa.

Houkuttelu

Houkuttelu tapahtuu ansan avulla, ja keinona voi olla esimerkiksi haittaohjelman sisältävä USB-muistitikku. Joku utelias kytkee sen koneensa USB-paikkaan, jolloin järjestelmän tietoturva vaarantuu. On jopa kehitetty USB-muistitikku, joka voi tuhota tietokoneita. Se latautuu USB-portista ja vapauttaa varauksen rajuna virtapiikkinä, joka vaurioittaa laitetta, johon se on kytkettynä. (Tällainen USB-muistitikku maksaa vain 54 dollaria.)

Peitetarina

Uhria pyydetään luovuttamaan tietoja peitetarinan varjolla. Esimerkki tällaisesta hyökkäyksestä on Internet-kysely, joka alkaa viattomasti mutta päätyy lopulta tiedustelemaan käyttäjän pankkitunnuksia. Toinen esimerkki on henkilö, joka saapuu paikalle kirjoituslehtiön kanssa ja sanoo tekevänsä tarkistuksia sisäisille järjestelmille. Tarina on kuitenkin tekaistu, ja tekijä haluaa varastaa sinulta arvokkaita tietoja.

Tietojenkalastelu

Tietojenkalasteluhyökkäyksessä tietoja pyydetään sähköposti- tai tekstiviestissä, joka on peräisin aidolta vaikuttavasta lähteestä. Yleinen tapa on esimerkiksi pankin viestiksi tekeytynyt sähköposti, jossa pankki haluaa asiakkaiden "vahvistavan" tietonsa ja joka ohjaa heidät valesivustolle, jossa käyttäjien kirjautumistunnukset taltioidaan. Kohdennetussa tietojenkalastelussa kohteena on yksittäinen yrityksen palveluksessa oleva henkilö. Huijausviesti on olevinaan ylemmältä johdolta, ja siinä pyydetään luottamuksellisia tietoja.

how to protect yourself from social engineering attacks

Tietojenkalastelu VoIP:n kautta (vishing) ja tekstiviestillä (smishing)

Nämä käyttäjän manipulointitavat ovat tietojenkalastelun eri muotoja – käyttäjälle voidaan esimerkiksi soittaa ja pyytää tietoja. Rikollinen voi tekeytyä kollegaksi. Hän voi esimerkiksi tekeytyä IT-tuen edustajaksi ja pyytää kirjautumistietoja. Tietoja voidaan pyytää puhelinsoiton sijaan myös esimerkiksi tekstiviestillä.

Quid pro quo

Yleensä reilu vaihtokauppa kannattaa, mutta ei tässä tapauksessa. Käyttäjän manipuloinnissa uhrille usein uskotellaan, että hän saa jotakin vastineeksi toimittamistaan tiedoista. Pelotteluohjelmat perustuvat juuri tähän: käyttäjille luvataan päivitys, joka korjaa kiireellisen tietoturvaongelman tietokoneessa, vaikka pelotteluohjelma itsessään on tietoturvauhka.

Roskapostin lähettäminen yhteyshenkilöille ja sähköpostin hakkerointi

Tämä hyökkäys tarkoittaa henkilön sähköpostin tai sometilin hakkeroimista, jolloin päästään käsiksi yhteystietoihin. Yhteyshenkilöille voidaan kertoa, että lähettäjä on joutunut pahoinpitelyn uhriksi ja kadottanut kaikki luottokorttinsa. Viestissä pyydetään siirtämään varoja sähköisesti. Ystäväksi tekeytyvä roskapostittaja voi myös lähettää "kiinnostavan videon", joka on todellisuudessa haittaohjelman tai näppäimistökaapparin lataava linkki.

Erilaiset lähestymistavat

Kannattaa myös muistaa, että käyttäjän manipuloinnin menetelmät voivat olla erittäin pitkälle kehitettyjä. Useimmat edellä kuvatut tavat ovat verrattain yksinkertaisia: lähesty, urki tiedot ja poistu.

Käyttäjän manipulointia voi kuitenkin tehdä myös pidemmällä aikajänteellä, jolloin pyritään muodostamaan luottamussuhde kohteeseen, kultivoimaan sitä ja saamaan näin enemmän tietoa. Tämä on hyökkääjän kannalta riskialttiimpi tapa, sillä vaara jäädä kiinni on suurempi. Jos soluttautuminen onnistuu, urkkija voi kuitenkin saada käsiinsä huomattavasti enemmän tietoa.

Näin voit välttyä käyttäjän manipulointiin perustuvilta hyökkäyksiltä

Käyttäjän manipulointia on erityisen vaikea ehkäistä, sillä tällaisissa hyökkäyksissä hyödynnetään ihmisen luontaisia ominaisuuksia, kuten uteliaisuutta, kunnioitusta viranomaisia kohtaan ja halua auttaa ystävää. Nämä vinkit voivat auttaa sinua tunnistamaan käyttäjän manipulointiin perustuvia hyökkäyksiä.

Tarkista lähde

Pohdi hetki sitä, mistä viesti on peräisin – älä luota siihen sokeasti. Pöydällesi ilmaantuu yllättäen USB-muistitikku, jonka omistajasta tai tarkoituksesta et ole perillä. Saat odottamattoman puhelun, jonka mukaan olet perinyt miljoonia euroja. Saat toimitusjohtajalta sähköpostiviestin, jossa pyydetään kasapäin tietoja yksittäisistä työntekijöistä. Kaikki nämä kuulostavat epäilyttäviltä, ja sellaisina niihin pitää myös suhtautua.

Lähde on helppo tarkistaa. Vertaa esimerkiksi sähköpostiviestin otsikkoa samalta lähettäjältä saamiisi aitoihin viesteihin. Selvitä, mihin linkit johtavat. Väärennetty hyperlinkki on helppo tunnistaa viemällä osoitin linkin päälle – älä kuitenkaan klikkaa linkkiä! Tarkista oikeinkirjoitus. Pankeilla on palveluksessaan pätevää henkilökuntaa, jonka tehtävänä on tuottaa laadukasta asiakasviestintää. Ilmiselviä virheitä sisältävät viestit ovat siis todennäköisesti väärennettyjä.

Jos asia epäilyttää, siirry tahon virallisille verkkosivuille ja ota yhteyttä viralliseen edustajaan. Hän voi vahvistaa, onko viesti/sähköposti aito vai väärennetty.

Mitä tietoja yhteydenottajalla on sinusta? 

Puuttuuko yhteydenottajalta tietoa, joka hänellä pitäisi ehdottomasti olla – kuten koko nimesi? Jos pankki ottaa sinuun yhteyttä puhelimitse, virkailijalla pitäisi olla kaikki relevantti tieto edessään. Hän myös esittää varmistavia suojauskysymyksiä, ennen kuin voit tehdä tiliäsi koskevia muutoksia. Jos edellä kuvattu ei toteudu, kyseessä voi olla tekaistu sähköpostiviesti, puhelu tai viesti ja sinun kannattaa ehdottomasti suhtautua siihen varauksella.

Murra manipuloinnin kehä

Käyttäjän manipulointi perustuu usein kiireellisyyden illuusioon. Hyökkääjä pyrkii siihen, ettei kohteella ole aikaa pysähtyä miettimään, mitä oikein on tekeillä. Jo hetken harkinta voi auttaa torjumaan tällaisia hyökkäyksiä ja paljastamaan niiden todellisen luonteen.

Soita viralliseen numeroon tai käy virallisilla verkkosivuilla sen sijaan, että luovutat tietoja puhelimessa tai klikkaat linkkiä. Tarkista lähteen luotettavuus jollakin muulla yhteydenottokeinolla. Jos esimerkiksi saat sähköpostia, jonka mukaan ystäväsi tarvitsee kipeästi rahaa, varmista pyynnön aitous ystävältä puhelinsoitolla tai tekstiviestillä.

Pyydä yhteydenottajaa todistamaan henkilöllisyytensä

Vartijoiden ohittaminen kantamalla isoa laatikkoa tai sylintäydeltä kansioita on eräs yksinkertaisimmista käyttäjän manipuloinnin keinoista. Joku avulias aukaisee aina oven raskaan taakan kantajalle. Älä lankea tähän ansaan. Pyydä aina papereita.

Sama koskee myös muita lähestymistapoja. Kun joku pyytää sinulta tietoja, pyydä soittajan nimi ja numero tai hänen esimiehensä nimi. Tarkista tietojen paikkansapitävyys organisaatiokaaviosta tai organisaation puhelinluettelosta, ennen kuin annat yksityisiä tietoja tai henkilötietoja. Jos et tunne tietoja pyytävää henkilöä ja tietojen antaminen epäilyttää, kerro että sinun on tarkistettava asia toiselta henkilöltä ja palaat asiaan. 

social engineering dangers and threats to your privacy

Käytä hyvää roskapostisuodatinta

Jos sähköpostiohjelmasi ei suodata roskapostia riittävän tehokkaasti tai merkitse sähköpostiviestejä epäilyttäviksi, muuta asetuksia tarvittaessa. Hyvä roskapostisuodatin määrittää erilaisten tietojen perusteella, mitkä sähköpostit todennäköisesti ovat roskapostia. Ne saattavat tunnistaa epäilyttäviä tiedostoja tai linkkejä, ne saattavat pitää luetteloita epäilyttävistä IP-osoitteista tai lähettäjän tunnisteista, tai ne voivat analysoida viestien sisältöä ja päätellä sen mukaan, mitkä viestit ovat todennäköisesti väärennettyjä.

Onko tilanne realistinen?

Joissakin hyökkäyksissä kohdetta pyritään manipuloimaan niin, että hän ei jäisi analysoimaan tilannetta. Tilanteen realistisuuden pohtiminen voi auttaa torjumaan monia tällaisia hyökkäyksiä. Esimerkki:

  • Jos ystäväsi todella olisi pulassa Kiinassa eikä pääsisi kotiin, lähettäisikö hän sinulle sähköpostia vai yrittäisikö hän tavoittaa sinua myös puhelimitse tai tekstiviestillä?
  • Kuinka todennäköistä on, että nigerialainen prinssi on testamentannut sinulle miljoonia euroja?
  • Soittaisiko pankki sinulle oikeasti ja pyytäisi tilitietoja puhelimitse? Pankit lähettävätkin usein ilmoituksen, jos asiakas on saanut sähköpostia tai luvassa on yhteydenotto puhelimitse. Tarkista aina asia, jos et ole varma.

Rauhoita tilanne

Suhtaudu tilanteeseen erityisellä varauksella, jos keskusteluun pyritään ujuttamaan kiireen tuntua. Huijarit pyrkivät tyypillisesti siihen, että kohteella ei ole aikaa miettiä asiaa perusteellisesti. Jos koet, että sinua painostetaan, rauhoita tilanne. Kerro, että tarvitset aikaa tietojen selvittämiseen tai lupaa esimieheltä tai että sinulla ei juuri nyt ole tietoja käsillä – mitä tahansa, mikä rauhoittaa tilannetta ja antaa sinulle aikaa miettiä.

Useimmiten huijari jättää leikin sikseen, jos hän huomaa menettäneensä yllätyksen tuoman edun.

Huolehdi laitteidesi tietoturvasta

On myös tärkeää huolehtia laitteiden tietoturvasta, jotta käyttäjän manipulointi ei onnistuessaankaan pääse tekemään laajaa vahinkoa. Perusperiaatteet ovat aina samat riippumatta siitä, onko kyse älypuhelimesta, kodin verkosta tai suuryrityksen järjestelmästä.

  • Pidä haittaohjelmien ja virusten torjuntaohjelmistot ajan tasalla. Näin voit estää tietojenkalasteluviestien mukana tulevien haittaohjelmien asentumisen. Pidä verkko ja tiedot suojattuina käyttämällä esimerkiksi Kaspersky Antivirus -pakettiratkaisua.
  • Päivitä ohjelmistot ja laiteohjelmat säännöllisesti – erityisesti tietoturvaan liittyvät ohjelmakorjaukset ovat tärkeitä.
  • Älä käytä puhelinta root-käyttöoikeuksilla tai verkkoa tai PC:tä järjestelmänvalvojatilassa. Vaikka käyttäjätilisi salasana onnistuttaisiin urkkimaan käyttäjän manipuloinnilla, tunkeilija ei pääse laittamaan koko järjestelmän määrityksiä uusiksi tai asentamaan siihen ohjelmia.
  • Älä käytä samaa salasanaa eri tileillä. Vaikka sometilisi salasana onnistuttaisiinkin onkimaan manipuloinnilla, tunkeilija ei pääse saman tien kaikille muille tileillesi.
  • Käytä erityisen tärkeillä tileillä kaksivaiheista todennusta, jotta pelkkä salasana ei riitä tilille kirjautumiseen. Se voi tarkoittaa puheentunnistuksen, tietoturvalaitteen, sormenjälkitunnistuksen tai tekstiviestitse toimitettavan vahvistuskoodin käyttämistä.
  • Jos olet juuri kertonut tilin salasanan jollekin ja epäilet joutuneesi manipuloiduksi, vaihda salasana heti.
  • Pysyttele ajan tasalla kyberturvallisuuteen liittyvistä riskeistä lukemalla säännöllisesti resurssikeskuksemme Saat tietoa uusista hyökkäystavoista sitä mukaa, kun niitä ilmenee, joten onnistuneen hyökkäyksen todennäköisyys pienenee merkittävästi.

Tutki digitaalista jalanjälkeäsi

Oman digitaalisen jalanjäljen kokoa kannattaa myös miettiä. Henkilökohtaisten tietojen liiallinen jakaminen verkossa, esimerkiksi sosiaalisessa mediassa, voi helpottaa potentiaalisten hyökkääjien työtä. Pankin suojauskysymyksenä voi esimerkiksi olla ensimmäisen lemmikkisi nimi. Oletko kertonut sen Facebookissa? Jos näin on, olet voinut tehdä itsestäsi haavoittuvan! Käyttäjää manipuloitaessa yhteydenotoista voidaan pyrkiä tekemään uskottavampia mainitsemalla hiljattaisia tapahtumia, joita olet voinut jakaa yhteisöpalveluissa.

Suosittelemme, että määrität somepäivitykset näkymään vain kavereille ja jaat sisältöä harkiten. Vainoharhaiseksi ei tarvitse ryhtyä, mutta varovaisuus kannattaa aina.

Pohdi myös, mitä muita elämäsi osa-alueita koskevaa tietoa olet jakanut verkossa. Jos esimerkiksi ansioluettelosi on nähtävissä verkossa, sinun kannattaa peittää osoite, puhelinnumero ja syntymäaika, sillä ne ovat hyödyllistä tietoa käyttäjän manipulointia suunnittelevalle. Vaikka käyttäjän manipulointi ei välttämättä mene juuri pintaa syvemmälle, toisinaan hyökkäys voi olla erittäin tarkkaan hiottu ja suunniteltu. Siksi on hyvä huolehtia siitä, että rikollisilla on mahdollisimman vähän tietoa käytettävissään.

Käyttäjän manipulointi on erittäin vaarallinen huijauksen muoto, sillä hyökkääjä valjastaa normaalilta vaikuttavia tilanteita omia vahingollisia tarkoitusperiään varten. Jos kuitenkin olet hyvin perillä siitä, kuinka käyttäjän manipulointi toimii, ja teet tarvittavat varotoimenpiteet, riski joutua manipuloinnin kohteeksi pienenee huomattavasti.

Aiheeseen liittyviä linkkejä

Käyttäjän manipulointi – Määritelmä

Näin haittaohjelmat tunkeutuvat tietokoneisiin ja IT-järjestelmiin

IT-tukihuijaukset

Tapoja välttyä käyttäjän manipuloinnilta

Mitä käyttäjän manipulointiin perustuva hyökkäys tarkoittaa? Vastaamme tähän kysymykseen ja kerromme, kuinka voit välttyä tällaisilta hyökkäyksiltä. Lue artikkeli saadaksesi tietää, miten voit suojautua manipuloinnilta.
Kaspersky Logo