lauantai 21. elokuuta 2010

Sosiaalinen hakkerointi – oletko sinä kohde?

Monet julkaisuistamme sivuavat yleistyvää ilmiötä nimeltä sosiaalinen hakkerointi (social engineering). Jos ilmiö ei ole tuttu, tarjoamme tässä lyhyesti johdannon aiheeseen ja muutamaan perusasian, joista voit epäillä olevasi kohteena.

Kuten edellisessä artikkelissa totesin, Sosiaalisella hakkeroinnilla tarkoitetaan sitä, kun teknisten järjestelmien sijasta pyritään manipuloimaan ihmisiä toimimaan halutulla tavalla. Tekniset suojaukset ovat monessa yrityksessä jo ajan tasalla ja useimmat ovat suojanneet jo yrityksensä teknisesti riittävällä tasolla. Tämä on pakottanut epärehellisissä aikeissa toimivat ihmiset miettimään uusia keinoja. Teknisten suojausjärjestelmien ansiosta täsmäiskujen tekeminen, jonkin ennalta määritellyn tiedon hankkiminen, on myös vaikeutunut. Arvokkaammat, siis myös kiinnostavimmat, osat on jo yleensä melko tehokkaasti suojattu. Mutta järjestelmäpäivitysten lisäksi olisi hyvä päivittää myös henkilöstön osaaminen

Sosiaalinen hakkerointi voi tapahtua puhelimitse, verkossa, yrityksen tiloissa tai jopa vapaa-ajallasi, mikäli työsuhteesi ja harrastuksesi voidaan päätellä julkisista lähteistä. Ja julkisista lähteistähän löytyy sinusta lähes kaikki tarpeellinen tieto, niin kuin Taloussanomien artikkelissahuhtikuussa todettiin. Siihen voit aina luottaa, että epärehellisissä aikeissa lähestyvä henkilö on aina tehnyt kotiläksynsä hyvin. Puhelimitse lähestyessä käytetään näennäisesti rehellisiä tekosyitä. Henkilö esittelee soittavansa oikealta yhteistyökumppanilta tai asiakkaalta, hänen tarinansa on uskottava ja hän näyttää pintapuolisen keskustelun perusteella tuntevan organisaatiosi ja sen toimintatavat hyvin. Yrityksen tiloihin saapuva vaikuttaa olevan oikealla asialla; sähkömiehellä on haalarit ja atk-huollon kaveri vaikuttaa varmasti nörtiltä ja hänellä on vähintään jonkin suuren IT-brändin paita päällään. Vapaa-ajalla peitetarina voi olla melkein mitä tahansa, mutta jotain piirteitä siitäkin on tunnistettavissa. Kohdehenkilön valinnassa hakkeri pyrkii välttämään päättävässä asemassa olevia tai erityisvastuussa olevia henkilöitä, joilla on eniten menetettävää.

Sosiaalinen hakkeri on aina kohtelias. Hän hoitaa asiansa jämäkästi, vaikuttaa itsevarmalta ja tuntuu tietävän mitä haluaa, mutta esiintyy nöyrästi ja mahdollisesti käyttää jopa imartelua apunaan. Hän tarjoaa sinulle aina jotain. Jos hän arvioi, ettei kehuminen riitä, se voi olla jokin pieni lahja joko sinulle tai yrityksellesi – ylimääräinen ateriakuponki, kilpailun voittopalkinto tai mikä tahansa muu asia, joka asettaa sinut kiitollisuuden velkaan. Hän haluaa sinulta jotain, mahdollisesti jopa hyvin pientä palvelusta. Varmaa on se, että selitys tälle hänellä on aina valmiina. Hänen pyyntönsä suostumatta jättäminen ei vaikuttaisi haittaavan muuten, mutta saattaisi esimerkiksi johtaa sosiaalisesti epämiellyttävään tilanteeseen joko sinun tai hänen näkökulmastaan. Hän vetoaa lähes aina tunteisiin. Painostaminen tai uhkailu on harvinaista, vaikka sitäkin voi esiintyä.

Kaikille tilanteille yhteistä on kuitenkin se, että yksityiskohdat eivät täsmää. Henkilökortti puuttuu, jokin tieto puuttuu, jokin on eri tavalla kuin yleensä, kyseessä on ”vakituisen työntekijän sijainen”, tai mikä tahansa muu syy sille, että jokin oleellinen tieto tai pääsyoikeus puuttuu. Yleensä kannattaa luottaa omiin vaistoihinsa, sillä vaikka syytä ei heti tunnista, ihminen yleensä vaistoaa poikkeavat tilanteet. Uskalla käyttää aikaa ja kysyä itseltäsi: ”Mikä minua tässä tilanteessa vaivaa?”

Ei kommentteja:

Lähetä kommentti