Tunnista ja torju sosiaalinen manipulointi

Sosiaalinen manipulointi on keino, jonka avulla yritetään saada ihminen huomaamattaan luovuttamaan arvokkaita tietoja tai rahaa. Kyberrikolliset ovat ottaneet keinon tehokäyttöön ja se koskee meitä kaikkia.

Teksti: Hanna Kangasniemi

Oletko saanut viestin, jossa kerrotaan some-tilisi sisältöjen katoavan, ellet klikkaa 23 tunnin sisällä linkkiä, joka palauttaa tilisi tietoineen? Tai onko sähköpostiisi kilahtanut viesti, joka vaikuttaa tulleen työkaveriltasi mutta joka liitteineen haiskahtaa jotenkin oudolta? Jos kuulostaa tutulta, olet ehkä joutunut sosiaalisen manipuloinnin (social engineering) kohteeksi.

Sosiaalinen manipulointi alkaa olla suurempi tietoturvauhka kuin pelkät haittaohjelmat. Se käyttää hyväkseen inhimillisiä heikkouksiamme, eikä sen keinoihin tepsi pelkkä haittaohjelmalta suojautuminen. Asian tunnistaminen ja tiedostaminen on saatava osaksi jokaisen arkea.

“Sosiaalisessa manipuloinnissa käytetään psykologisia keinoja, ihmisten tarpeita ja tunteita, tekoihin vaikuttamiseen. Tavoitteena voi olla esimerkiksi pyrkimys saada käyttäjä paljastamaan tai antamaan pääsy salattuihin tietoihin”, kertoo Riku Juurikko, Elisan Senior Security Manager. Hän on perehtynyt aiheeseen muun muassa tekemällä turvallisuustestauksia yrityksille sosiaalisen manipuloinnin varalta.

Tällainen vaikuttaminen  ei sinänsä ole uusi juttu. Mielihaluihimme ja toimintaamme on kautta aikojen vaikutettu muun muassa markkinoinnin tai vaikkapa vanhempiemme toimesta: “Hammastahna, jota 9/10 hammaslääkäristä suosittelee, ei voi olla huono” tai “Pese hampaat tai hammaspeikko syö ne.”

Riku Juurikko, Elisa
Riku Juurikko on tehnyt työkseen tietoturvatestauksia yrityksille muun muassa sosiaalisen manipuloinnin varalta. Kuva: Meeri Utti

Missä sosiaalinen manipulointi tapahtuu?

Sosiaalista manipulointia käytetään muun muassa erilaisissa tietojen kalasteluissa, joissa ihmisiä manipuloidaan luovuttamaan esimerkiksi pankkitunnuksia tai salasanoja. Tavoitteena voi olla myös saada ihminen avaamaan haittaohjelman sisältävä liitetiedosto tai linkki. Tyypillisiä ovat myös niin sanotut “nigerialaiskirjeet”, joissa pyydetään rahaa.

Ilmiö on verkon lisäksi tuttua myös fyysisessä maailmassa.

“Rikolliset saattavat ujuttautua sosiaalista manipulointia hyödyntäen yrityksen suljettuihin tiloihin varastaakseen tietoja tai laitteita tai vaikkapa kytkeytyäkseen yrityksen sisäverkkoon”, Juurikko sanoo.

Esimerkkinä tästä Juurikko kertoo, kuinka hän erään tuotekehitystilan turvatoimia testatessaan pääsi sisään käyttämällä auktoriteettia lisäävää valkoista lääkärintakkia ja pitämällä ovea kohteliaasti auki työmiehelle. Tämä puolestaan avasi hänelle seuraavan oven, suljettuihin tiloihin. Näin ei avainkorttia tarvittu sisäänpääsyyn. Sosiaalisen manipuloinnin keinoina hän käytti auktoriteettia ja vastavuoroisuuden periaatetta.

Keräsimme Riku Juurikon vinkit, joilla tunnistat ja vältät sosiaalisen manipuloinnin tyypilliset ansat.

Näin tunnistat ja vältät sosiaalisen manipuloinnin

1. Lahjominen ja imartelu

Lupaus hyödystä tai edusta, jonka saa vain klikkaamalla linkin tai avaamalla liitteen. Houkuttelu antamaan rahaa kehumalla ja lupaamalla jotain arvokkaalta tuntuvaa.

Miten tunnistaa ja toimia? Epäile lähtökohtaisesti, jos sinulle tarjotaan verkossa jotain, joka on liian hyvää tai halpaa ollakseen totta.

2. Luottamuksen rakentaminen

Hankitaan luottamus juttelemalla mukavia tai tekemällä jotain, mistä ihmisen oletetaan pitävän. Käyttämällä luottamusta herättäviä sähköpostiosoitteita, tai verkkosivua, joka muistuttaa arvostettua brändiä.

Miten tunnistaa ja toimia? Ole tarkkana, mistä osoitteesta pyyntö tulee. Ero aitoon voi olla vain yhdessä välimerkissä.

3. Uhkailu ja kiristys

Uhkailu tai kiristys, johon liittyy rahan tai tietojen menettäminen. Uhkauksissa voidaan pelotella esimerkiksi ”jäädytetyillä tileillä”, “maksamatton postimaksun” takia toimittamatta jääneillä paketeilla. Rikollinen voi myös uhata levittää arkaluontoista materiaalia tai tietoa, mikäli ei saa haluamaansa. Uhkausta voidaan vahvistaa kertomalla, että uhkailijan hallussa on uhrin vanhoja salasanoja.

Miten tunnistaa ja toimia? Nämä ovat tyypillisiä huijauksia, joissa kiristäjä ei ole sen enempää jäädyttänyt tiliä kuin hallitse arkaluontoista tietoa. Voit yleensä tarkistaa tilanteen kirjautumalla suoraan mainitun palveluntarjoajan sivuille, ei tietenkään tarjotusta linkistä.

4. Auktoriteettiaseman esittäminen

Auktoriteettiasemaa esittämällä ihminen voidaan houkutella toimimaan toivotulla tavalla. Esimerkiksi poliisia esittämällä voidaan huijata luovuttamaan salattuja tietoja, päästämään sisään kiellettyyn tilaan tai antamaan salasanoja ja käyttäjätunnuksia.

Miten tunnistaa ja toimia? Varmista, että pyyntö tulee oikealta taholta. Soita esimerkiksi erikseen kyseiselle taholle. Jos joku esittää viranomaista, pyydä näyttämään virkamerkki.

5. Yhteenkuuluvuuden tunteen hyödyntäminen

Yhteenkuuluvuutta rakennetaan huijausta varten viittaamalla uhrin tuntemaan viiteryhmään, joka voi olla vaikka harrastusryhmä, työkaverit tai lapsen koulu. Huijari voi yrittää vedota siihen että tuttavasi tai kollegasi ovat jo tehneet jonkun asian ja yrittää saada sinua nyt tekemään saman tämän varjolla.

“Työkavereistasi jo 6 on osallistunut tähän kyselyyn ja saanut palkinnon, klikkaa sinäkin kyselyyn…, Katso hauska video, jossa sinäkin esiinnyt.”

Miten tunnistaa ja toimia? Varmista mainitulta kohderyhmältä ovatko he todella tehneet väitetyn asian tai lähettäneet mainitun sähköpostin, kutsun, some- tai tekstiviestin.

Lue myös:

Nämä tietoturvauhat koskettavat sinua

Digitaalinen vainoaminen liittyy usein parisuhdeväkivaltaan

Onko salasanasi turvallinen?

Tutustu myös Elisa Tietoturvaan, jonka avulla suojaudut verkon uhkia vastaan.