Miksi olemme alttiita kyberrikollisten ansoille?

Kun toiseen ihmiseen pyritään vaikuttamaan ja teettämään toimenpiteitä, jotka ovat vastoin henkilön omaa etua, puhutaan käyttäjän manipuloinnista (social engineering). Digimaailmassa käyttäjiä manipuloidaan käyttämällä heitä tiedonhankinnan kanavana ja onkimalla heidän hallussaan olevia luottamuksellisia tietoja rikollista käyttötarkoitusta varten. Tiedot voivat olla henkilökohtaisia tai esimerkiksi organisaatioon liittyviä.

Manipuloinnille altistutaan erityisesti siksi, että ihmiset eivät odota tulevansa hyökkäysten kohteiksi.

Arjen kiireet ja rutiininomainen toiminta yhdistettynä tietämättömyyteen parantavat rikollisten mahdollisuutta onnistua aikomuksissaan. Turvallisuuden tunteeseen tuudittaudutaan, sillä itsellä hallussa olevan tiedon ei koeta olevan arvokasta.

Hyvä esimerkki hyökkäyksestä on massasähköpostina toteutettu tietojenkalastelu (phishing) tai tiettyyn henkilöön tai organisaatioon kohdennettuna tietojenkalasteluna (spear phishing). Kohteeseen liittyviä tietoja on saatettu etukäteen tutkia ja kerätä useista lähteistä. Hyökkääjät ovat taitavia hyödyntämään henkilöistä ja organisaatioista selville saamiaan taustatietoja sekä ihmisten henkilökohtaisia motiiveja ja olemassa olevia toimintamalleja.

Manipuloijat esiintyvät usein auktoriteettina tai luotettavana tahona, kuten viranomaisena tai johtajana. Uhria voidaan pyytää tekemään jokin tehtävä tai palvelus.

Pyynnöt voivat liittyä salasanoihin ja järjestelmän käyttäjätunnuksiin. Ne voivat olla päivityskehotuksia tai pyyntöjä laskun kiireelliseen ja luottamukselliseen maksamiseen. Ihmisiin vedotaan ja vaikutetaan myös uhkaamalla ja pelottelemalla tai uskottelemalla, että jokin ainutlaatuinen tilaisuus lipuu ohi, ellei siihen heti tartu. Auttavaiseen mieleemme voi vedota myös joku fiktiivinen avun tarpeessa oleva osapuoli.

Parempi tietoisuus ja osaaminen auttavat suojautumaan digimaailman ansoilta.

Vastuuntuntoiset palveluntarjoajat eivät pyydä koskaan sähköpostilinkkien kautta

• asiakkaiden tunnuksia,
• salasanoja tai
• muita luottamuksellisia tietoja.

Palveluihin kohdistuviin muutoksiin reagoiminen on aina syytä tehdä palveluntarjoajan omassa palvelussa vahvoilla tunnuksilla. Jos yhteydenotto vaikuttaa hiemankin epäilyttävältä, kannattaa kiinnittää huomiota lähettäjään ja viestin sisällön oikeaoppiseen kieleen. Jos saa rahansiirtoon liittyvän viestin yllättäen tutun henkilön nimissä, on syytä tarkistaa vielä puhelimitse, mistä on kysymys. Normaaleista käytännöistä poikkeavat toimintapyynnöt ja -kehotukset ovat aina pysähtymisen ja lisätarkastelun arvoisia.