Trace Id is missing

Luottamusyhteiskunnan hyödyntäminen: käyttäjän manipulointipetos

Koodista tehty henkilön siluetti, joka pitelee naamiota ja astuu ulos puhelimesta. Perässä on punaisia kuplia, jotka edustavat uhkaavia toimijoita.

Verkkopainotteisessa maailmassa, jossa luottamus on sekä valuutta että haavoittuvuus, uhkaavat toimijat etsivät keinoja manipuloida ihmisten toimintaa ja hyödyntää ihmisten taipumusta haluta auttaa muita. Tässä infografiikassa tutustumme käyttäjän manipulointiin sekä siihen, miksi uhkaavat toimijat arvostavat eniten ammattilaisten identiteettejä. Kerromme sinulle tavoista, joilla he manipuloivat ihmisiä tavoitteidensa saavuttamiseksi.

Käyttäjän manipulointi ja tietojen kalastelun rikollinen viehätys

Noin 901 prosenttia tietojenkalasteluhyökkäyksistä sisältää käyttäjän manipulointitaktiikoita, joiden tarkoitus on manipuloida uhreja yleensä sähköpostitse, jotta he paljastaisivat arkaluonteisia tietoja, napsauttaisivat haitallisia linkkejä tai avaisivat haitallisia tiedostoja. Tietojenkalasteluhyökkäykset ovat kustannustehokkaita hyökkääjille, niitä voi mukauttaa estotoimien välttämiseksi ja niiden onnistumisprosentti on korkea.

Ihmisen toiminnan keinot

Käyttäjän manipulointitekniikat perustuvat yleensä hyökkääjän itsevarmuuteen ja suostutteluun, joiden avulla kohteet saadaan suorittamaan muuten epätodennäköisiä toimia. Kolme tehokasta keinoa ovat kiireellisyys, tunne ja tapa.2 Kiireellisyys  Kukaan ei halua jäädä paitsi kiireellisestä mahdollisuudesta tai unohtaa tärkeän määräajan. Kiireellisyyden tunne voi usein huijata muuten rationaaliset kohteet luovuttamaan henkilökohtaisia tietojaan.
Esimerkki: Keinotekoinen kiireellisyys
Sähköisen allekirjoituksen ilmoitus: DocuSign-asiakirja tarkistettavaksi ja allekirjoitettavaksi. Tärkeä viesti.
"Tietojenkalastelusähköpostin ominaispiirre on jonkin tyyppisen aikavälin liite. He haluavat painostaa tekemään päätöksen lyhyessä ajassa."
Jack Mott – Microsoft Threat Intelligence

Tunne

Emotionaalinen manipulointi voi antaa kyberhyökkääjille valtin, sillä ihmiset ryhtyvät helpommin riskialttiisiin toimiin voimistuneessa tunnetilassa, etenkin jos siihen liittyy pelkoa, syyllisyyttä tai vihaa.

 

Esimerkki: Emotionaalinen manipulointi

"Tehokkain näkemäni houkutin oli hyvin lyhyt sähköpostiviesti, jossa kerrottiin, että puoliso on ottanut heihin yhteyttä avioeropapereiden valmistelua varten. Lataa kopio napsauttamalla alla olevaa linkkiä."
Sherrod DeGrippo – Microsoft Threat Intelligence

Tapa

Rikolliset ovat hyviä toiminnan tarkkailijoita, ja he kiinnittävät erityistä huomiota sellaisiin tapoihin ja rutiineihin, joita ihmiset suorittavat "autopilotilla" ajattelematta asiaa.

 

Esimerkki: Yleinen tapa

Tekniikassa nimeltään "quishing3", eli QR-koodikalastelu, huijarit esiintyvät uskottavana yrityksenä ja pyytävät skannaamaan QR-koodin sähköpostiviestissä. He voivat esimerkiksi sanoa, että sinun on skannattava koodi koska tekemäsi maksu ei ollut mennyt läpi tai koska sinun tulee palauttaa salasana.

"Uhkaavat toimijat sopeutuvat liiketoiminnan rytmiin. He osaavat käyttää houkuttimia, jotka vaikuttavat järkeviltä siinä kontekstissa, jossa yleensä vastaanotamme niitä."
Jack Mott – Microsoft Threat Intelligence

Työntekijän henkilökohtaisen ja ammattimaisen henkilötyypin välinen raja voi joskus kaveta. Työntekijä saattaa käyttää työsähköpostiaan työssä käyttämillään henkilökohtaisilla tileillä. Uhkaavat toimijat voivat yrittää hyödyntää tätä tekeytymällä yhdeksi näistä ohjelmista ja ottamalla yhteyttä, jotta he pääsisivät käsiksi työntekijän yritystietoihin.

Kaavio näyttää: kanta-asiakasohjelmat, sosiaalinen media, toimitus, kyytipalvelu, rahoitus/sijoittaminen, suoratoisto. Kaaviossa näytetään esimerkkejä siitä, miten uhkaavat toimijat yrittävät päästä käyttämään työntekijöiden yritystietoja
"Sähköpostin tietojenkalasteluhuijauksissa kyberrikolliset testaavat houkuttimiaan yritysten sähköpostiosoitteissa. Henkilökohtaiset sähköpostitilit eivät ole heidän aikansa arvoisia. Työtilit ovat arvokkaampia, joten niihin kohdistuviin mukautettuihin hyökkäyksiin laitetaan enemmän resursseja ja toiminta keskittyy manuaalisiin hyökkäyksiin."
Jack Mott – Microsoft Threat Intelligence

Niin sanottu pitkä huijaus

Käyttäjän manipulointihyökkäykset eivät yleensä ole nopeita. Käyttäjän manipuloijat rakentavat luottamusta uhriensa kanssa pitkällä aikavälillä hyödyntäen työläitä tekniikoita, jotka alkavat tutkinnalla. Tämän tyyppinen manipulointikehä voi mennä vaikka näin:
  • Tutkinta: Manipuloijat tunnistavat kohteen ja keräävät taustatietoja, kuten potentiaalisia tulokohtia tai suojausprotokollia.
  • Tunkeutuminen: Manipuloijat keskittyvät luottamussuhteen muodostamiseen kohteen kanssa. He keksivät tarinan, saavat kohteen tarttumaan syöttiin ja ottavat vuorovaikutuksen hallintaansa, jotta sitä voidaan ohjata manipuloijaa hyödyttävään suuntaan.
  • Hyväksikäyttö: Käyttäjän manipuloijat saavat haltuunsa kohteen tiedot pitkällä aikavälillä. Tyypillisesti kohde luovuttaa tiedot vapaaehtoisesti, ja manipuloijat voivat käyttää niitä hyväkseen päästäkseen käyttämään vieläkin luottamuksellisempia tietoja.
  • Irrottautuminen: Käyttäjän manipuloija päättää vuorovaikutuksen luonnollisesti. Taitava manipuloija tekee tämän siten, ettei kohde epäile mitään.

BEC-hyökkäykset erottuvat muista kyberrikoksista siten, että niissä painotetaan käyttäjän manipulointia ja huijaamista. Onnistuneet BEC-hyökkäykset maksavat organisaatioille satoja miljoonia dollareita vuosittain. Vuonna 2022 FBI:n Internet Crime Complaint Center tallensi 21 832 kirjatusta BEC-valituksesta yli USD$2.7 miljardin tappiot.4

BEC:n tärkeimpiä kohteita ovat johtajat ja muut ylemmän johdon edustajat, talousjohtajat ja henkilöstöhallinnon henkilöstö, joilla on pääsy työntekijätietoihin, kuten sosiaaliturvatunnuksiin, veroilmoituksiin tai muihin tunnistettaviin henkilötietoihin. Kohteena ovat myös uudet työntekijät, jotka ehkä vahvistavat tuntemattomia sähköpostipyyntöjä muita epätodennäköisemmin.

Miltei kaikenlaiset BEC-hyökkäykset ovat kasvussa. Yleisiä BEC-hyökkäystyyppejä ovat seuraavat:5

  • Suora sähköpostin vaarantuminen (DEC): Vaarantuneita sähköpostitilejä käytetään oman yrityksen tai kolmannen osapuolen kirjanpitorooleissa työskentelevien käyttäjien manipulointiin, jotta he tekisivät tilisiirtoja hyökkääjän pankkitilille tai muuttaisivat nykyisen tilin maksutietoja.
  • Toimittajan sähköpostin vaarantuminen (VEC): Olemassa olevan toimittajasuhteen manipulointi sieppaamalla maksuun liittyvä sähköpostiviesti ja tekeytymällä yrityksen työntekijäksi, jotta toimittaja ohjaisi maksamattoman maksun laittomalle pankkitilille.
  • Valelaskuhuijaus: Käyttäjän manipuloinnin joukkohuijaus, jossa tunnettuja tuotemerkkejä käyttämällä yritetään suostutella yrityksiä maksamaan valelaskuja.
  • Asianajajaksi tekeytyminen: Suurien ja tunnettujen lakitoimistojen luottamussuhteen hyväksikäyttö uskottavuuden luomiseksi pien- ja startup-yritysten johtajien mielissä, jotta he suorittaisivat maksamattomien laskujen maksun, etenkin ennen tarjouskilpailujen kaltaisia tärkeitä tapahtumia. Maksun uudelleenohjaus laittomalle pankkitilille tapahtuu, kun maksuehdoista on sovittu.
Octo Tempest
Octo Tempest on taloudellisesti motivoitunut, englanninkielisten uhkaavien toimijoiden kollektiivi, joka tunnetaan sellaisten laajojen kampanjoiden käynnistämisestä, joissa on näkyvästi mukana hyökkääjä keskellä (AiTM) -tekniikoita, käyttäjän manipulointia ja SIM-korttien vaihtotoimintoja.
Tietojen kalasteluskenaario: Käyttäjä syöttää salasanan, MFA, uudelleenohjaus; haitallinen välityspalvelin mukana
Diamond Sleet
Elokuussa 2023 Diamond Sleet toteutti saksalaisen ohjelmistoyrityksen, JetBrainsin, ohjelmistotoimitusketjun vaarantumisen, joka vaaransi ohjelmistojen kehitys-, testaus- ja käyttöönottoprosessit. Koska Diamond Sleet on aiemmin tunkeutunut kehitysympäristöihin menestyksekkäästi, Microsoft arvioi tämän toiminnan aiheuttavan erityisen suuren riskin vaikutuksen alaisille organisaatioille.
Sangria Tempest6
Sangria Tempest, toiselta nimeltään FIN, tunnetaan hyökkäysten kohdistamisesta ravintola-alaan varastaen maksukorttien tietoja. Yksi tehokkaimmista houkuttimista on syytös ruokamyrkytyksestä, jonka tiedot voi nähdä avaamalla haitallisen liitteen.

Pääasiassa itäeurooppalainen Sangria Tempest on käyttänyt alamaailman keskustelupalstoja englantia äidinkielenään puhuvien rekrytointiin. Heidät koulutetaan soittamaan myymälöihin sähköpostihoukuttimen yhteydessä. Ryhmä on varastanut kymmenien miljoonien maksukorttien tietoja prosessin avulla.

Midnight Blizzard
Midnight Blizzard on Venäjällä toimiva uhkaava toimija, joka tunnetaan pääasiassa hyökkäysten kohdistamisesta valtionhallintoihin, diplomaattitahoihin, kansalaisjärjestöihin sekä IT-palveluntarjoajiin etenkin Yhdysvalloissa ja Euroopassa.

Midnight Blizzard hyödyntää Teams-viestejä lähettääkseen houkuttimia, joiden tarkoituksena on varastaa kohdeorganisaation tunnistetiedot olemalla yhteydessä käyttäjään ja saamalla monimenetelmäisen todentamisen kehotteiden hyväksynnän.

Tiesitkö tämän?
Microsoftin uhkaavien toimijoiden nimeämisen strategia on siirtynyt uuteen nimeämistaksonomiaan, jota inspiroi säähän liittyvät teemat.
Luonnollisten ja kyberuhkien luettelo

Vaikka käyttäjän manipulointihyökkäykset voivat olla kehittyneitä, voit auttaa estämään niitä.7 Jos hoidat suojauksen ja tietosuojan fiksusti, voit voittaa hyökkääjät heidän omassa pelissään.

Opasta ensin käyttäjiä pitämään henkilökohtaiset tilinsä henkilökohtaisina eikä sekoittamaan niitä työsähköpostin tai työhön liittyvien tehtävien kanssa.

Muista myös pakottaa monimenetelmäisen todentamisen käyttö. Käyttäjän manipuloijat tavoittelevat tyypillisesti kirjautumistietojen kaltaisia tietoja. Ottamalla monimenetelmäisen todentamisen käyttöön hyökkääjä ei pääse käyttämään tilejä tai henkilötietoja, vaikka hän saisi haltuunsa käyttäjänimen ja salasanan.8

Älä avaa epäilyttävistä lähteistä lähetettyjä sähköpostiviestejä tai liitteitä. Jos ystäväsi lähettää sinulle linkin, joka tulee kiireellisesti avata, varmista ystävältäsi, lähettikö hän todella viestin. Pysähdy hetkeksi ja kysy itseltäsi ennen minkään napsauttamista, onko lähettäjä todella kyseinen henkilö.

Pysähdy ja tarkista

Ole varovainen sellaisten tarjousten suhteen, jotka vaikuttavat liian hyviltä ollakseen totta. Et voi voittaa arvontaa, johon et ole osallistunut, eikä yksikään ulkomaalainen kuninkaallinen tule jättämään sinulle suurta summaa rahaa. Jos jokin vaikuttaa liian houkuttelevalta, nopean haun avulla voit määrittää, onko tarjous oikea vai ansa.

Älä jaa liikaa verkossa. Käyttäjän manipuloijat tarvitsevat kohteidensa luottamuksen, jotta huijaus toimii. Jos sosiaalisen median profiileistasi löytyy henkilökohtaisia tietoja, he voivat hyödyntää niitä ja saada huijaukset vaikuttamaan aidoilta.

Suojaa tietokoneet ja laitteet. Käytä virustorjuntaa, palomuureja ja sähköpostisuodattimia. Jos uhka pääsee kuin pääseekin laitteellesi, tiedot pysyvät turvassa suojaustoimien ansiosta.

"Jos vastaanotat kyseenalaisen puhelun tai sähköpostiviestin, tärkeintä on hidastaa vauhtia ja tarkistaa tilanne. Ihmiset tekevät virheitä toimiessaan liian nopeasti. Onkin tärkeää muistuttaa työntekijöille, että tällaisissa tilanteissa eri tarvitse reagoida heti."
Jack Mott – Microsoft Threat Intelligence

Opi lisää organisaation suojaamisesta katsomalla Luottamuksen riski: Käyttäjän manipulointiuhat ja kyberturva.

Aiheeseen liittyviä artikkeleita

Asiantuntijaneuvoja kyberturvallisuuden kolmeen pysyvimpään haasteeseen

Microsoft Security Researchin Principal Group Manager Justin Turner kuvailee kolmea pysyvää haastetta, joita hän on nähnyt koko kyberturvauransa ajan: määritysten hallinta, korjaustiedostojen asentaminen ja laitteiden näkyvyys

CaaS (kyberrikollisuus palveluna) aiheuttaa 38 prosentin kasvun yritysten sähköpostihuijauksiin

Yrityssähköpostin vaarantuminen (BEC) on nousussa, sillä kyberrikolliset voivat nyt peittää hyökkäysten lähteen ja toimia entistä uhkaavammin. Lue lisää CaaS-ilmiöstä (Cyber-Crime-as-a Service eli kyberrikoksia palveluina) sekä organisaatiosi suojaamisesta.

Microsoft, Amazon ja kansainväliset lainvalvontaviranomaiset yhdistävät voimansa teknisen tuen petosten torjunnassa

Katso, miten Microsoft ja Amazon yhdistivät ensimmäistä kertaa voimansa Intian laittomien teknisen tuen puhelinpalvelukeskusten lopettamiseksi.