Käyttäjän manipulointi

Wikipedia
Loikkaa: valikkoon, hakuun

Käyttäjän manipulointi[1] eli sosiaalinen manipulointi (engl. Social engineering) on toimintaa, jonka tarkoituksena on saada käyttäjä paljastamaan tai antamaan pääsy salattuihin tietoihin. Sosiaalinen manipulointi voi olla huijaus tai yritys saada uhri luottamaan hyökkääjään tarpeeksi. Luottamusta voidaan kerätä esiintymällä jonain luotettava tahona, kuten teknisenä tukena.

Tekniikoita[muokkaa | muokkaa wikitekstiä]

Kaikki tekniikat perustuvat ihmisten hyväuskoisuuteen.

Tekosyy[muokkaa | muokkaa wikitekstiä]

Tekosyy on keksitty perustelu, jonka verukkeella yritetään saada kohde paljastamaan haluttuja tietoja. Todellisessa tilanteessa, jossa hyökkääjä on suorassa yhteydessä uhriin, tekniikan toimivuus riippuu pitkälti hyökkääjän uskottavuudesta. Hyökkääjältä vaaditaan hyviä näyttelijän lahjoja, jos huijaus tapahtuu kasvokkain. Vastaava luottamuksen taso saavutetaan puhelinsoitolla, joka ei myöskään altista hyökkääjän identiteettiä paljastumiselle. Luottamukselle kerätään pohjaa etsimällä uhrista tietoja etukäteen.

Huijaus[muokkaa | muokkaa wikitekstiä]

Sähköpostin otsikkotietoja muokkaamalla voi vaihtaa lähettäjäksi luotetun tahon. Tekemällä viestistä virallisen näköisen voi saada uhrin uskomaan, että viesti on luotettavasta lähteestä. Viesteissä on myös käytetty sähköpostiohjelmien tietoturva-aukkoja hyväksi, jolloin on saatu linkki naamioitua niin, että todellinen osoite ei paljastu käyttäjälle.

Uhrille voidaan myös ujuttaa haitallinen ohjelma naamioimalla siitä houkutteleva. Ajattelematon tai tietämätön uhri voi asentaa itselleen troijalaisen luullen sitä seksikkääksi näytönsäästäjäksi tai tärkeäksi tietoturvapäivitykseksi.

Kohdennettu huijausyritys[muokkaa | muokkaa wikitekstiä]

Esimerkki on yhdistelmä sekä huijaus- että tekosyymenetelmiä. Kohteena on keskisuuri yritys, jonka toimintaan liittyy myynti ja asiakaspalvelu. Hyökkäys aloitetaan ottamalla selvää etukäteen kaikki mahdollinen mitä kohteesta on tiedossa. Liikevaihdosta aina suurimpiin asiakkaisiin. Pelkästään yrityksen kotisivuihin tutustumalla voi saada tarpeeksi informaatiota.

Hyökkääjä esiintyy laskutus- ja reskontraohjelman ylläpitäjänä. Lähestyminen aloitetaan puhelinsoitolla jonka tarkoituksena on kysellä ohjelman toimivuutta ja käyttökokemuksia eri toiminnoista. Hyökkäystä alustetaan useamalla luottamusta keräävällä yhteydenotolla, jotka tehdään sopivin aikavälein kuitenkaan kuormittamatta kohdetta. Hyökkääjä voi kalastella lisää tärkeitä tietoja ottamalla yhteyttä edustamaansa ohjelmistotaloon. Tässä niin kutsutussa mies välissä-hyökkäyksessä kaikki viestintä kulkee hyökkääjän kautta.

Luottamuksen synnyttyä hyökkääjä voi yrittää kalastella kohteelta käyttäjätunnus-salasanapareja eri verukkein. Sopivin verukkein voi hyökkääjä huijata kohdeyritystä antamaan pääsy yrityksen sisäverkkoon. Toinen mahdollinen vaihtoehto on lähettää laskutusohjelman päivitys postissa cd-levyllä. Hyökkäyksen onnistuminen on kiinni pienistä yksityiskohdista varsinkin jos käytetään muitakin kuin sähköisiä kommunikaatiovälineitä.

Lähteet[muokkaa | muokkaa wikitekstiä]

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]