Miksi ihminen on altis kyberrikollisten ansoille?

Digimaailmassa elävä ihminen on altis petoksille. Sinä, minä – me kaikki, olemme sopivan tilaisuuden tullen harhautettavissa ja huijattavissa. Luottavaisuudessaan, velvollisuudentunnossaan, uteliaisuudessaan tai ahneudessaan inhimillinen ihminen on herkkä vastaamaan erilaisiin klikkaus- ja tiedonantopyyntöihin. Siihen tarvitaan vain sopiva hetki ja luottamusta herättävä kysyjä.

Mistä käyttäjän manipuloinnissa on kysymys?

Kun toiseen ihmiseen pyritään vaikuttamaan ja hänellä teetetään toimenpiteitä, jotka ovat vastoin henkilön omaa etua, puhutaan käyttäjän manipuloinnista (social engineering). Digitaalisessa maailmassa käyttäjän manipulointia ilmenee esimerkiksi siten, että rikollinen käyttää pahaa-aavistamatonta uhriaan tiedonhankinnan kanavana ja onkii huijaamalla henkilön hallussa olevia luottamuksellisia tietoja rikollista käyttötarkoitustaan varten. Nämä tiedot voivat olla henkilökohtaisia tai esimerkiksi organisaatioon liittyviä.

Käyttäjämanipuloinnille altistutaan erityisesti siksi, että ihmiset eivät odota tulevansa hyökkäyksen kohteiksi. Arjen kiireet ja rutiininomainen toiminta yhdistettynä tietämättömyyteen parantavat rikollisten mahdollisuutta onnistua aikomuksissaan. Turvallisuuteen tuudittautumisen yksi syy on se, ettei koeta itsellä hallussa olevan tiedon olevan arvokasta kenellekään muulle ja koetaan ettei sitä voisi hyödyntää haittatarkoituksessa.

Miten rikolliset toteuttavat hyökkäyksiään?

Hyökkäyksiä toteutetaan esimerkiksi massasähköpostina toteutettuna tietojenkalasteluna (phishing) tai tarkemmin tiettyyn henkilöön tai organisaatioon kohdennettuna tietojenkalasteluna (spear phishing), johon usein liittyy taustatyötä, jolloin kohteeseen liittyviä tietoja on etukäteen tutkittu ja kerätty useista lähteistä.  Hyökkääjät ovat taitavia hyödyntämään henkilöistä ja organisaatioista selville saamiaan taustatietoja ja -tapoja sekä ihmisten henkilökohtaisia motiiveja ja olemassa olevia toimintamalleja.

Manipuloijien huijausrooliksi valikoituu usein jokin auktoriteetti tai luotettava taho, kuten viranomainen tai johtaja. Uhria voidaan esimerkiksi pyytää tekemään jokin tehtävä tai palvelus pyytäjälle. Nämä voivat olla salasanoihin tai järjestelmän käyttäjätunnuksiin liittyviä toimenpiteitä kuten päivityskehotuksia tai pyyntöjä laskun kiireelliseen ja luottamukselliseen maksamiseen. Ihmisiin vedotaan ja vaikutetaan myös uhkaamalla ja pelottelemalla, tai uskottelemalla että jokin ainutlaatuinen tilaisuus lipuu ohi, ellei siihen heti tartu.  Auttavaiseen mieleemme voi vedota myös joku fiktiivinen avun tarpeessa oleva osapuoli.

Kuinka tältä huijaustyypiltä ja hyökkäyksiltä voi pyrkiä suojautumaan?

Parempi tietoisuus ja osaaminen auttavat suojautumaan digimaailman konnien manipuloinnilta. On oltava tietoinen, etteivät vastuuntuntoiset palveluntarjoajat pyydä sähköpostilinkkien kautta koskaan asiakkaidensa tunnuksia, salasanoja tai muita luottamuksellisia tietoja. Palveluihin kohdistuviin muutoksiin reagoiminen on aina syytä tehdä palveluntarjoajan omassa palvelussa ja vahvoilla tunnuksilla sisään kirjautuneena. Jos yhteydenotto vaikuttaa hiemankin epäilyttävältä, kannattaa kiinnittää huomiota lähettäjään ja viestin sisällön oikeaoppiseen kieleen. Mikäli saa yllättävän tai odottamattoman viestin tutunkin henkilön nimissä, on syytä tarkistaa vielä puhelimitse, mistä on kysymys, jos pyyntö kohdistuu vaikkapa rahansiirtoon. Normaaleista käytännöistä poikkeavat toimintapyynnöt ja -kehotukset ovat aina pysähtymisen ja lisätarkastelun arvoisia.

Lataa ja tulosta käyttöösi infokortti, jossa kerrotaan käyttäjän manipuloinnista.

Lue erilaisista huijaustyypeistä aiheesta lisää cyberdi.fi/tietopankki -sivuilta, opi huijausten tunnusmerkit ja kuinka suojautua niiltä.

-Kirsi Heiskanen, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti/CYBERDI-projektin projektipäällikkö

————————————————————————————

Teksti on laadittu osana #OleTietoinen-tietoisuuskampanjaa. Kampanjoinnin toteutuksesta vastaavat Jyväskylän ammattikorkeakoulun ja Poliisiammattikorkeakoulun CYBERDI-projektin asiantuntijat. Digitaalisen maailman turvallisuuden kasvattamiseen tähtäävä #OleTietoinen-kampanjointi jatkuu aina vuoden 2021 lopulle saakka.