Käyttäjän manipulointi: 12 esimerkkiä
Monet ajattelevat olevansa liian fiksuja tullakseen huijatuksi – myös he, joille niin käy. Käyttäjän manipulointi -hyökkäyksissä (englanniksi social engineering, suomeksi myös sosiaalinen manipulointi) hakkerit, huijarit ja varkaat käyttävät monenlaisia tekniikoita arvokkaiden tietojen varastamiseen. Katso alta, minkälaisia strategioita käyttäjien manipulointi -hyökkäyksiin käytetään, jotta osaat varoa niitä.
Sisällysluettelo
Sisällysluettelo
Mitä käyttäjän manipulointi tarkoittaa?
Käyttäjän manipuloinnin määritelmä
Käyttäjän manipulointi tarkoittaa psykologista manipulointia, jota kyberrikolliset käyttävät saadakseen uhreiltaan luottamuksellisia tietoja, joita käytetään rikolliseen toimintaan. Rikolliset pyrkivät herättämään esimerkiksi luottamuksen, stressin tai ahneuden tunteita, jotka saavat uhrit toimimaan tavallista harkitsemattomammin.
Lue lisää saadaksesi tietoa yleisistä käyttäjän manipulointi -hyökkäyksistä sekä tavoista suojautua niiltä.
Esimerkkejä käyttäjän manipuloinnista
Verkkourkintahyökkäykset eli phishing
Verkkourkinnaksi eli tietojenkalasteluksi (englanniksi phishing) kutsutaan menettelyä, jossa verkkorikollinen käyttää sähköpostia esiintyäkseen jonain muuna henkilönä tai tahona. Usein he esiintyvät pankkina, virastona, kuljetusyrityksenä tai muuna tahona, johon uhri luottaa. Heidän tavoitteenaan on saada sinut avaamaan verkkourkintasähköposti ja lataamaan haittaohjelma tai klikkaamaan vaarallisia linkkejä, jotka johtavat huijaussivustolle. Verkkorikolliset haluavat huijata uhrit antamaan yksityisiä tietoja, kuten kirjautumistietoja, sosiaaliturvatunnuksen tai pankkikortin tietoja.
Tietojenkalastelua tapahtuu monenlaisilla tavoilla. Yleisimpien tapojen joukkoon kuuluvat seuraavat tavat:
- Naamioitu näyttönimi. Sähköposti vaikuttaa tulleen luotettavalta taholta, mutta verkkotunnuksen nimi ei vastaa tätä tahoa.
- Upotetut linkit. Käyttäjien manipuloijat saattavat lähettää sähköpostin, jossa pyydetään klikkaamaan linkkiä ja kirjautumaan tilille (vaikka et olisikaan tehnyt minkäänlaisia muutoksia tilillesi). Huijauslinkki vie saastuneelle verkkosivustolle.
- Sähköpostin liitetiedostot. Laskut, tilausvahvistukset, kutsut tapahtumiin ja muut vastaavat saattavat olla naamioituja viruksia tai malware-haittaohjelmia. Älä avaa liitetiedostoja tai vastaa lähettäjälle, jos liitetiedosto vaikuttaa epäilyttävältä.
Angler-tietojenkalastelu
Angler-tietojenkalasteluksi (angler phishing) nimitetään verkkourkintamuotoa, jonka kohteena ovat sosiaalisen median käyttäjät, ja joissa hakkeri esiintyy asiakaspalvelijana. Tässä mallissa hakkeri ottaa yhteyttä sellaisiin käyttäjiin, jotka ovat hiljattain tehneet jonkinlaisen valituksen sosiaalisessa mediassa ja pyrkivät pääsemään käsiksi heidän henkilökohtaisiin tietoihinsa tai tilitietoihinsa.
Katso alta esimerkki angler-tietojenkalasteluhyökkäyksestä:
- Hyökkääjä seuraa sosiaalisen median syötteitä ja odottaa, että joku merkkaa tietyn yrityksen postaukseensa, ja esittää yritystä koskevan valituksen tai kysymyksen tiliään koskien.
- Hyökkääjä vastaa käyttäjälle esiintyen yrityksen asiakaspalvelutiimin jäsenenä käyttäen väärennettyä sosiaalisen median tiliä.
- Muutaman viestin kuluttua rikollinen on saavuttanut uhrin luottamuksen, jolloin uhri todennäköisesti luovuttaa rikolliselle luottamuksellista tietoa uskoen, että rikollinen auttaa häntä ratkaisemaan alkuperäisessä postauksessa kuvaillun ongelman.
Spear-tietojenkalastelu
Spear-tietojenkalastelu (spear phishing) viittaa keihään käyttöön, ja sitä kutsutaan myös kohdennetuksi tietojenkalasteluksi. Tämä verkkourkintatapa vaatii enemmän vaivannäköä, mutta se myös onnistuu todennäköisemmin. Tässä muodossa kohteina ovat yksityishenkilöt ja pienet ryhmät, ja tavoitteena on hankkia tietoja. Rikollinen esiintyy tyypillisesti henkilönä, johon potentiaalinen uhri luottaa, tai työmaailmassa esimerkiksi esimiehenä.
Tämä käyttäjämanipuloinnin muoto toimii vain, jos hakkeri tekee ensiksi selvitystyötä uhria tai uhreja koskien ja käyttää hankkimaansa tietoa heitä vastaan. Hakkereiden on helppo löytää tietoa sosiaalisesta mediasta – saatavilla on usein sähköpostiosoite, tietoja uhrin seuraamista brändeistä, uhrin ystävistä ja niin edelleen. Kun tiedot on hankittu, hakkeri lähettää uhrille viestin, joka sisältää uskottavalta kuulostavan syyn lisätietojen hankkimiseen.
Spear-verkkourkintahyökkäysten tunnistaminen on vaikeaa, mutta ei mahdotonta. Näin suojaudut niiltä:
- Tarkista, mistä osoitteesta sähköposti on lähetetty.
- Mieti, kuulostaako pyyntö normaalilta.
- Jos pyyntö on epäilyttävä, älä vastaa sähköpostiin vaan ota yhteyttä henkilöön suoraan. Lähetä hänelle erillinen sähköposti, soita hänelle tai odota, että tapaat hänet henkilökohtaisesti.
Smishing-tietojenkalastelu
Smishing viittaa SMS-viestejä eli tekstiviestejä hyödyntävään tietojenkalasteluun sähköpostien sijaan. Smishing on osoittautunut melko tehokkaaksi, sillä tämän hyökkäysmuodon lähestymistapa on henkilökohtaisempi ja kohdennettu.
SMS-huijari saa uhriensa numerot käsiinsä yleisesti joko hakkeroiduista tietokannoista tai ostamalla niitä pimeästä verkosta. Jos kyseessä on juuri tietylle uhrille kohdennettu smishing-hyökkäys, numero saatetaan hankkia esimerkiksi käymällä läpi uhrin roskia.
Yleiset smishing-yritykset näyttävät usein tekstiviesteiltä, joissa pyydetään sopimaan uusi paketin toimituspäivä klikkaamalla linkkiä. Suomessa niin sanottu Posti-huijausviesti edustaa tätä mallia. Saatat myös saada pankin (kyseessä ei välttämättä ole edes pankki, jonka asiakas olet) nimissä lähetetyn viestin, jossa pyydetään vahvistamaan henkilöllisyys linkkiä napsauttamalla.
Smishing-viestien linkit ovat vaarallisia. Ne yleensä ohjaavat uhrit vaarallisille verkkosivustoille, joilla varastetaan lisää tietoja, tai linkin klikkaaminen saattaa johtaa haittaohjelman lataamiseen laitteellesi.
Vishing-hyökkäykset
Vishing-sanassa phishing-termin alku on korvattu v-kirjaimella, joka viittaa englanninkieliseen ääntä tarkoittavaan sanaan voice. Tässä tapauksessa huijari ottaa mahdollisiin uhreihin yhteyttä puhelimitse ja esiintyvät luotettavan tahon nimissä. He kätkevät ensiksi käyttämänsä puhelinnumeron, jotta se vaikuttaa luotettavalta eikä sen avulla päästä huijarin jäljille.
Hakkerit voivat käyttää ennakkoon tallennettuja ääniviestejä, tekstiviestejä tai syntetisaattoreita henkilöllisyytensä salaamiseen. Jotkut käyttävät apunaan jopa huijauspuhelukeskuksia, jotta hyökkäys vaikuttaa entistä vakuuttavammalta.
Vishing-hakkerit hyödyntävät nopeaan toimintaan houkuttelevaa tekosyytä yhteydenotossa – yhteydenotto saattaa koskea esimerkiksi poikkeavaa toimintaa pankkitilillä, liikaa tai liian vähän maksettuja veroja tai kilpailuvoittoja. Tekniikasta riippumatta päätavoite on hankkia yksityisiä tietoja, joita voidaan käyttää muissa käyttäjän manipuloinnin muodoissa tai identiteettivarkaudessa.
Seuraa näitä vinkkejä päätelläksesi, olet joutunut vishing-yrityksen kohteeksi:
- Esitä kysymyksiä koskien yhteydenoton syytä. Oletko koskaan kuullut tästä yrityksestä aiemmin tai ollut tekemisissä heidän kanssaan?
- Tarjoavatko he epäuskottavia palkintoja kilpailuista, joihin et edes ole osallistunut, tai tarjoavatko he apua velan kanssa, josta et ole aiemmin kuullut?
- Käyttävätkö he vihamielistä kieltä painostaakseen sinua antamaan tietojasi?
Nämä kaikki ovat vishing-urkinnan varoitusmerkkejä.
Mitä eroa phishing- ja vishing-hyökkäyksillä on?
Vishing-hyökkäyksessä huijari ottaa yhteyttä puhelimitse hankkiakseen henkilö- tai pankkitietoja. Hän saattaa saada selville esimerkiksi tilinumerosi, puhelinnumerosi, sähköpostiosoitteesi tai kotiosoitteesi. Jo muutamat tiedot auttavat hakkeria varastamaan uhrin identiteetin.
Phishing- eli verkkourkintahyökkäykset suoritetaan sähköpostin tai naamioitujen linkkien avulla. Näissä tapauksissa huijari lähettää viestin, jossa kuvaillaan kiireinen, mutta täysin odottamaton tilanne, jonka tarkoituksena on houkutella uhri lähettämään hakkerille henkilökohtaista tietoa.
Pretexting-hyökkäykset
Pretexting on nimitys käyttäjän manipulointi -hyökkäykselle, jota voidaan verrata tietojenkalasteluun, sillä tässäkin mallissa hyödynnetään houkuttelevaa ja innostavaa tekosyytä. Tietojenkalastelu voi kuitenkin perustua myös pelkoon tai kiireen tunteeseen, ja pretexting on tällaisen urkinnan vastakohta: se perustuu luottamukseen.
Pretexting-tietojenkalastelu vaatii paljon enemmän ennakkotyötä kuin muut käyttäjän manipuloinnin muodot. Verkkorikollinen esiintyy usein esimerkiksi uhrin ystävänä tai työtoverina, eivätkä he ainoastaan valehtele, vaan luovat kokonaisen peitetarinan uhrin huijaamiseksi. Työympäristössä nämä hakkerit etenevät tehokkaasti, eivätkä rajoita toimiaan vain yhteen iskuun. Yleensä heidän tavoitteensa on saada tietoa joltakin yrityksen merkittävältä henkilöltä.
Pretexting-huijareita voi olla vaikea tunnistaa, sillä he ovat yleensä nähneet runsaasti vaivaa luodakseen huijauksessa käyttämänsä roolin. Jos joku henkilö kuitenkin vaikuttaa liian ystävälliseltä tai pyytää tietoja, joita ei ole tapana antaa muille, on hyvä esittää kysymyksiä, sillä kyseessä saattaa olla käyttäjän manipulointiyritys.
Tässä on pretexting-esimerkki, joka on muodoltaan tekninen tuki -huijaus:
- Saat puhelun tunnetun yrityksen teknisestä tuesta.
- Sinua pyydetään tarkistamaan, toimiiko sisäinen rahansiirtojärjestelmä asianmukaisesti, ja syyksi esitetään asiakaskokemuksen parantamista.
- Jos suostut, sinua pyydetään siirtämään rahaa tietylle tilille ja antamaan tälle yritykselle luomasi tilin kirjautumistiedot.
- Kun rahat on siirretty, hakkeri varastaa ne sekä kirjautumistietosi.
Pretexting-hakkerit tietenkin vakuuttavat uhrille, että siirrettyjä rahoja pidetään vain hetki, ja että kyseessä ovat yritysten rutiinitoimenpiteet. Tällaiset muiksi tekeytyneet huijarit ovat uskottavan, luotettavan ja ammattitaitoisen kuuluisia.
Catfishing-hyökkäykset
Catfishing tarkoittaa sitä, että huijarit luovat väärennettyjä profiileja sosiaaliseen mediaan käyttäen toisten ihmisten kuvia, videoita ja tietoja. Nämä väärennetyt identiteetit on yleensä luotu verkkokiusaamista tai huomion hakemista varten. Joskus niitä käytetään myös rahan tai uhrin henkilökohtaisten tietojen havitteluun.
Jos olet saanut netissä uuden ystävän, joka on erittäin mukava, mutta joka esittää jatkuvasti tekosyitä sille, miksi he eivät voi tavata tai kertoa enempää itsestään, kyseessä voi hyvinkin olla catfishing. Tässä on muutamia varoitusmerkkejä:
- Sääliä herättävät tarinat ja pyynnöt lahjoittaa rahaa.
- Oudot selitykset sille, miksi videokamera tai puhelin ei toimi.
- Tekosyyt olla tapaamatta tai viime hetken peruutukset henkilökohtaisten ikävien tilanteiden perusteella.
- Tapaamisen ehdottaminen yksityisessä tilassa julkisen tilan sijaan.
Scareware-hyökkäykset
Jos saat perusteettomia varoitusviestejä tai tietoa uhista kyseessä voi olla niin sanottu scareware-hyökkäys. Scareware viittaa pelotteluohjelmiin, jotka on naamioitu jonkinlaiseksi virustorjunnaksi.
Scareware-hyökkäyksessä uhri halutaan saada uskomaan, että hänen laitteellaan on haittaohjelma. Seuraavaksi hän lataa laitteelleen huijausohjelman suositteleman ohjelman, joka onkin haittaohjelma.
Scareware voi näyttää esimerkiksi ponnahdusikkunalta, joka ilmaantuu näytölle internetiä tavallisesti selatessasi. Tekstissä yleensä kerrotaan, että tietokoneella on virus, ja käyttäjälle tarjotaan joko välinettä, joka poistaa viruksen, tai hänet ohjataan haittasivustolle, joka voi saastuttaa laitteen.
On hyvä huomata, että tällaisissa käyttäjän manipulointi -hyökkäyksissä huijausohjelmaa voidaan jakaa myös roskasähköpostina, jossa pyritään saamaan vastaanottaja ostamaan hyödyttömiä tai vahinkoa aiheuttavia palveluita.
Diversion theft -hyökkäykset
Diversion theft viittaa varkauteen, joka tapahtuu ohjaamalla tiedot huijarille luotettavan tahon sijaan. Ensimmäiseksi huijari luo spoofing-menetelmällä sähköpostiosoitteen, ja esiintyy sitten esimerkiksi auditointiyrityksenä, rahalaitoksena tai jopa työtoverina.
Jos tällainen hyökkäys onnistuu, varas saattaa saada käsiinsä luottamuksellista tietoa yrityksestä, yrityksen suunnitelmia ja ennusteita koskevia asiakirjoja, tietoja asiakkaista tai jopa tietoa yrityksen työntekijöistä.
Baiting-hyökkäykset
Tässä käyttäjän manipulointi -hyökkäyksessä uhri houkutellaan houkuttimen (tähän viittaa hyökkäysmuodon nimi, baiting) avulla tekemään jotain, mikä saastuttaa hänen laitteensa haittaohjelmalla. Usein houkuttimena käytetään USB-tikkuja, joita jätetään esimerkiksi toimistoihin tai parkkipaikoille houkuttelevasti merkittyinä – esimerkiksi “Johtajien palkat 2023”.
Tällaiset löydöt herättävät uteliaisuuden, ja pahaa-aavistamaton uhri yhdistää muistitikun laitteeseensa, jolloin tikulla oleva virus alkaa levitä nopeasti uhrin laitteelle. Koska USB-tikkujen käyttö on vähentynyt, nykyään houkuttimia levitetään P2P-sivustojen kautta.
Manipuloijat luovat väärennettyjä tiedostojen jakosivustoja, jolloin uhri saattaa luulla lataavansa elokuvan, mutta lataakin haittaohjelman. Tiedostojen lataaminen miltä tahansa tuntemattomalta sivustolta on vaarallista, mutta hakkeroinnilta välttymistä voi torjua tarkistamalla, mitä tiedostotyyppiä lataamasi tiedosto on ja varmistamalla, että virustorjuntaohjelmasi on ajan tasalla.
Tässä on kaksi nopeaa vinkkiä, joiden avulla torjua baiting-hyökkäykset:
- Käytä haittaohjelmien torjuntaa (haittaohjelmien tarkistustyökalu), mainosten estoa ja seurannan estoa (tracking blockers). NordVPN-palvelun Threat Protection Pro -ominaisuus auttaa näissä kaikissa.
- Käytä sivustoja ja verkkokauppoja, jotka tunnet ja joihin luotat. Jos aiot tehdä ostoksia tuntemattomilta sivustoilta, tee ensin taustatutkimusta. Tarkista, että verkkosivusto on kunnossa ja osoitteessa ei ole esimerkiksi kirjoitusvirheitä, ja että kyseessä on rekisteröity yritys. Voit myös lukea asiakkaiden arvosteluja puolueettomilta arvostelusivustoilta.
Verkkoturvallisuus käynnistyy napsautuksella.
Pysy suojattuna maailman johtavan VPN:n avulla
Quid pro quo -hyökkäys
Quid pro quo -hyökkäyksessä huijari tarjoaa uhrille palveluita tietoja vastaan. Muutama vuosi sitten yleisin tällaisten huijausten muoto olivat sähköpostit, joissa kerrotaan varakkaan henkilön kuolleen ja sinun perineen kaikki hänen rahansa. Rahoja vastaan tulisi vain lähettää pankkitiedot tai pieni “käsittelymaksu”, jotta rahat saataisiin siirrettyä.
Nykyisin yleisin quid pro quo -hyökkäys tapahtuu niin, että hakkerit esiintyvät IT-tukena. Uhrilla on usein pieni ongelma laitteellaan, tai sovellus täytyy päivittää, joten he eivät esitä soittajalle kysymyksiä. Huijari kertoo, että hänen on saatava pääsy uhrin laitteelle ongelman korjaamiseksi. Kun hän saa pääsyn laitteelle, hän asentaa haittaohjelman tai varastaa arvokasta tietoa.
Roskaviestit hakkeroiduilta tileiltä
Roskaviestien lähettäminen hakkeroiduilta tileiltä on yksi vanhimmista huijauskonsteista. Siinä kyberrikollinen hakkeroi ensimmäisen uhrin sähköpostitilin tai sosiaalisen median tilin ja lähettää hakkeroinnin uhrin ystäville viestejä, joissa lukee esimerkiksi “Näin tämän mahtavan videon, katso se!”
Valitettavasti luotamme helposti ystäviltä tulleisiin viesteihin. Huijarin lähettämää linkkiä klikkaamalla päätyy kuitenkin saastuttamaan laitteensa haittaohjelmalla. Mikä ikävintä, nämä virukset leviävät laitteeltasi lähettämällä viestejä myös uuden uhrin ystäville.
Huolestuttavaa on se, että xHelper – vuonna 2019 havaittu haittasovellus – voi jopa asentaa itsensä uudelleen poistamisen jälkeen. Joten vaikka usein uskomme, että osaamme välttää phishing-viestit ja muut manipulointiyritykset, on parasta pysyä erittäin tarkkana, sillä seuraukset voivat olla erittäin ikäviä.
7 tapaa suojautua käyttäjän manipulointihyökkäyksiltä
- Tutustu erilaisiin sosiaalisen manipuloinnin tapoihin. Kun tiedät, mitä voit odottaa, et joudu ansaan yhtä helposti. Jos sinulla on yritys tai olet tiiminjohtaja, on tärkeää huolehtia siitä, että tiimisi osaa tunnistaa manipulointihyökkäykset. Penetraatiotestaus on erinomainen tapa etsiä verkon haavoittuvuuksia ja opastaa työntekijöitä.
- Ole tarkkana. Varmista aina, kenen kanssa olet tekemisissä, etenkin jos saat sähköpostin, tekstiviestin tai puhelun, jota et odottanut. Muista, että jos jokin asia kuulostaa liian hyvältä ollakseen totta, sitä se todennäköisesti onkin.
- Huomaa virheet. Oikeat yritykset pyrkivät viestinnässään laadukkaaseen tekstiin. Hakkereiden manipulointiyritykset taas voi tunnistaa kirjoitus- ja kielioppivirheistä.
- Tee kysymyksiä. Jos arvelet, että sinua yritetään huijata puhelimessa, tee rohkeasti kysymyksiä, joissa kyseenalaistetaan soittajan ystävällisyys tai auktoriteetti. Kiinnitä huomiota vastausten mahdollisiin ristiriitaisuuksiin.
- Jaa tietoa verkossa rajoitetusti. Helposti saatavilla olevat tiedot houkuttelevat hakkereita keräämään tietoja ja käyttämään niitä sosiaalisessa manipuloinnissa.
- Huolehdi ohjelmistoistasi. Asenna päivitykset, hanki virustorjuntasovellus, roskapostifilttereitä ja hyödynnä selainlaajennuksia.
- Käytä VPN-palvelua. VPN auttaa suojaamaan tietojasi ja estää hakkereita sieppaamasta viestintääsi, erityisesti julkista Wi-Fi-verkkoa käyttäessäsi. NordVPN-palvelun Threat Protection Pro -ominaisuus estää käyttäjiä vierailemasta vaarallisilla sivustoilla ja edistää positiivista turvallisuuskulttuuria.
Verkkoturvallisuus käynnistyy napsautuksella.
Pysy suojattuna maailman johtavan VPN:n avulla