Käyttäjän manipulointi – Social Engineering

Social Engineering onnistuu lähes aina ennemmin tai myöhemmin
Social Engineering onnistuu lähes aina ennemmin tai myöhemmin

 

Käyttäjän manipulointi (sosiaalinen manipulointi, Social Engineering) on menetelmä, jolla uhri huijataan antamaan pääsy salattuihin tietoihin. Jos tavoitteena on identiteetin selvittäminen, uhri ohjataan tekemään toimenpiteitä, joilla esimerkiksi sijainti ja ip-osoitetiedot paljastuvat.

Manipuloinnin tavoitteena voi olla tietojenkalastelun lisäksi haittaohjelman asentaminen uhrin koneelle.

Sosiaalinen manipulointi perustuu luottamukseen hyökkääjää kohtaan. Luottamus syntyy esiintymällä tunnettuna tahona: valtiollisena palveluna, pankkina, teleoperaattorina, vakuutusyhtiönä tai yhteistyökumppanina. Toinen tapa on esiintyä tuttuna henkilönä tai niin yllättävänä tahona, että uhri avaa sähköpostin tai pikaviestin liitetiedoston, tai siirtyy kehotuksesta jollekin valesivustolle.

Yksinkertaiset tiedonkalastelut on helppo välttää. Kenellekään ei tule antaa puhelinsoiton tai sähköpostin perusteella henkilötietoja, tilinumeroita, käyttäjätunnuksia tai salasanoja. Liitetiedostoja ei tule avata epäilyttäviltä sivustoilta tai tuntemattomista sähköposteista. Sähköpostien linkit tai lyhennetyt linkit tulisi tarkistaa ennen niiden avaamista.

Seuraavana esimerkkejä kohdennetun sosiaalisen manipuloinnin ja teknologioiden yhdistelmistä – näkökulmana kirjautumistietojen hankinta, anonymiteetin rikkominen tai haittaohjelmien asennus.

Sähköpostin liitetiedosto tai linkki
  • Kohdennetuissa hyökkäyksissä sähköposti voidaan laatia vaikkapa teleoperaattorin yritysilmeen mukaiseksi. Lähettäjä on uskottava osoite, ja sisältönä vaikkapa päivitys palvelusopimuksen ehtoihin. Mukana on pdf-asiakirja ja linkki verkkosivulle, jossa tiedotteen voi lukea asiakirjaa avaamatta. Asiakirjaan ja valesivulle upotetaan vakoiluohjelma, joka asentuu avauksen yhteydessä.
  • Uhri saa verkkokaupasta tilausvahvistuksen, joka houkuttaa avaamaan sähköpostin, koska uhri ei ole tilausta tehnyt. Viestissä on aidon näköisen tilausvahvistuksen lisäksi linkki, josta voi tarkistaa tilauksen yksityiskohdat. Linkki ohjaa käyttäjän valesivustolle, josta asentuu haittaohjelma.
  • Uhrin tunteman henkilön sähköposti on kaapattu, tai hyökkääjä luo tutun henkilön nimellä sähköpostin. Uhrille lähetetään viesti, jossa näkyy latauslinkki valokuvaan. Kun valokuvaa klikkaa, avautuu selaimen toiseen välilehteen sivu, jossa kuvan pitäisi näkyä. Tilalla onkin sähköpostin sisäänkirjautumissivu. Käyttäjä uskoo, että sähköpostin kirjautuminen on jostain syystä vanhentunut ja antaa salasanansa. datauriOsoiterivillä on uskottavasti accounts.google.com, mutta sen edestä puuttuu https. Nopealla vilkaisulla jää huomaamatta, että kyseessä on pitkä scripti, joka luo näkyviin sivun ja lähettää tiedot hyökkääjälle.gmail-data-uri-sign-in-pageAito kirjautumissivu olisi https-suojattu vihreällä värillä:gmail-phishing-secure-accounts-google-com-data-uri
  • Ammatillisessa sosiaalisessa mediassa aletaan vähitellen tarjota houkuttelevaa työpaikkaa yksityisviesteillä. Viikkojen yksityisviestittelyn jälkeen uhri ohjataan sivustolle, jossa tehdään hakemus. Uhri luo sivustolle tunnuksen ja salasanan. Ihmisillä on tapana käyttää samaa salasanaa useissa palveluissa, ja hyökkääjä pääsee salasanalla uhrin muihin verkkopalveluihin. Sivusto voi sisältää haittaohjelman asennuksenkin.
  • Uhri osallistuu aktiivisesti jonkin verkkofoorumin keskusteluihin. Foorumin ylläpito lähettää asiakastiedotteen, jossa kerrotaan foorumin joutuneen tietomurron kohteeksi. Käyttäjiä pyydetään vaihtamaan salasanansa uskottavalla valesivustolla, josta hyökkääjä saa kirjautumistiedot.
  • Gmail-sähköpostiin saapuu aidon näköinen ilmoitus epäilyttävästä kirjautumisosoitteesta. Change Password -linkki johtaa saastutetulle valesivustolle. Vaikka sivu olisi tyhjä, voidaan sen avulla asentaa vakoiluvirus.

Fyysiset laitteet
  • Työpaikan autotallista tai asunnon oven lähettyviltä löytyy USB-muistitikku. Uhri poimii tikun, ja ennemmin tai myöhemmin uteliaisuudesta tutkii tikun sisältöä. Tikulla ei ole tiedostoja, mutta koneelle on asentunut vakoiluohjelma.
Tor tai VPN käyttäjän identiteetin selvittäminen
  • Uhrille lähetetään TOR-sähköpostiin tai pikaviestimeen liitetiedostona kiinnostava asiakirja. Uhri avaa liitteen, josta asentuu haittaohjelma.
  • Uhrille lähetetään TOR-sähköpostiin tai pikaviestimeen linkki kiinnostavaan blogikirjoitukseen. Sivusto hyödyntää selaimen JavaScript-haavoittuvuutta, ja lähettää todellisen ip-osoitteen hyökkääjälle.
  • Uhrille lähetetään TOR-sähköpostiin tai Wickr-messengeriin viesti, jossa linkki kiinnostavalle avoimen verkon sivustolle. Uhri avaa sivun Tor-selaimella, ja sivusto ilmoittaa: ”Käytät Tor verkkoa. Väärinkäytösten välttämiseksi yhteytesi on estetty”. Koska sivuston sisältökuvaus vaikuttaa kiinnostavalta, uhri päättää tämän kerran avata sen avoimen verkon selaimella. Sivusto tallentaa käyttäjän todellisen IP-osoitteen tai mobiililaitteen identiteetin. Tor-käyttäjän tai Wickr-käyttäjätunnuksen todellinen ip-osoite on siis selvitetty uhria varten räätälöidyllä valesivustolla.

Sosiaalinen manipulointi perustuu ihmisen hyväuskoisuuteen, joten aukkojen paikkaamiseen ei ole päivityspaketteja. Tor-käyttäjän tulisi avata epäilyttävät linkit ja tiedostot Tails Käyttöjärjestelmässä Windowsin sijasta.