Käyttäjän manipulaation ehkäisy

Abstract

Tässä tutkielmassa käydään läpi käyttäjän manipulaatiota, (engl. social engineering) tarkemmin sanottuna miten se ilmenee käytännössä ja miksi se on niin tehokas tapa tehdä tietoturvahyökkäys, sekä miten siihen voidaan varautua. Käyttäjän manipulaatio -hyökkäyksessä pyritään pääsemään käsiksi esimerkiksi organisaation tietokantaan tai yksityisen ihmisen tietoihin. Hyökkäys kohdistuu tietokoneiden ja muiden laitteiden sijasta käyttäjään, jota hyökkääjä pyrkii manipuloimaan saadakseen haluamansa. Nämä manipulaatiohyökkäykset perustuvat psykologiaan ja ihmisten perusominaisuuksiin, tehden niistä tehokkaita ja vaikeita ja joissain tilanteissa mahdottomia havaita ennen kuin on myöhäistä. Tutkielmassa kuvaillaan muun muassa käyttäjän manipulaatioon liittyviä erilaisia psykologisia tekijöitä, hyökkäysmetodeja ja hyökkäysten peruspiirteitä. Tämä tutkielma pyrkii avaamaan syitä sille, miksi käyttäjän manipulaatio on suuri ja verrattain tuntematon uhka. Käyttäjän manipulointi on suuri ongelma, koska uhri voi olla yksityinen henkilö tai yritys ja menetykset kummassakin tapauksessa voivat olla huomattavia. Esimerkiksi internet on pullollaan käyttäjän manipulointiin pyrkiviä pop up -mainoksia ja huijaussähköposteja. Yksi suurimmista ongelmista liittyen käyttäjän manipulaation on kyseisten hyökkäysten/huijausten tunnistaminen. Siksi onkin tärkeää tutkia aihetta ja ottaa selville, miten käyttäjän manipuloinnista syntyviä menetyksiä ja haittoja saadaan vähennettyä, sekä millaiset hyökkäykset ovat kaikista menestyksekkäimpiä. Tämän kirjallisuuskatsauksen tuloksena on katsaus käyttäjän manipulaatiosta, sekä siitä miksi se on tehokas hyökkäystapa ja miten mahdollisesti sitä voitaisiin ehkäistä. Tutkielman tuloksista voidaan päätellä, että käyttäjän manipulaatio ei saa sen vaatimaa huomiota tietoturvan suhteen, sekä, että sen aiheuttamat vahingot vuosittain ovat massiiviset. Ainoa tapa päästä näistä hyökkäyksistä eroon on loppujen lopuksi valistaa ihmisiä niiden vaaroista, mutta hyökkäysten monimuotoisuuden vuoksi se on käytännössä mahdotonta.

In this report, we will go through social engineering and how it manifests itself in practice and why it is such an effective way to attack as well as how can one prepare against such attack. In social engineering attacks the attacker aims to acquire access for example to an organisations database or private citizens personal information. Instead of focusing on computers or other electronic devices, the attack targets the user, which the attacker attempts to manipulate to acquire what (s)he wants. These social engineering attacks are based on human psychology and basic human characteristics, making them effective and difficult and in some cases impossible to detect before it is too late. This report describes the different psychological factors related to social engineering as well as different attack methods and different features that the attacks hold. This report aims to clarify, why social engineering is such an immediate and rather unknown threat. For example, the internet is filled with pop up ads and spam that aim to manipulate the user. One of the biggest problems regarding social engineering is the detection of the attacks and scams. Thus, it is important to research and find out how the losses accumulating from social engineering can be reduced and what kinds of attacks are the most successful. The result of this report is an examination of social engineering and why it is such an effective avenue of attack as well as how it could be prevented. From the results we can conclude, that social engineering does not get the attention it needs regarding information security and that the losses it causes are massive. In the end the only real way to get rid of these attacks is to educate people about the dangers of social engineering, but due to the complexity and multiple different methods, it is impossible in practice.