Digihuijaus onnistuu ihmismieltä manipuloimalla

Kun toiseen ihmiseen pyritään vaikuttamaan ja teettämään toimenpiteitä, jotka eivät ole henkilön oman edun mukaisia, puhutaan käyttäjän manipuloinnista (social engineering). Tässä digihuijaamisen muodossa pahaa-aavistamatonta kohdetta käytetään esimerkiksi tiedonhankinnan kanavana, tavoittelemalla henkilön hallussa olevia luottamuksellisia tietoja rikollista käyttötarkoitusta varten. Nämä tiedot voivat olla henkilökohtaisia tai esimerkiksi organisaatioon liittyviä tietoja.

Miksi olemme alttiita manipuloinnille?

Vastaamme yllättävän herkästi erilaisiin klikkaus- ja tiedonantopyyntöihin, sillä ihminen on luonnostaan luottavainen, velvollisuudentuntoinen, utelias ja ahne; tarvitaan vain sopiva hetki ja luottamusta herättävä kysyjä.

  • Arjen kiireet ja rutiininomainen toiminta yhdistettynä tietämättömyyteen parantavat rikollisten mahdollisuutta onnistua aikomuksissaan
  • Jätämme jatkuvasti jälkiä itsestämme digitaaliseen maailmaan ja someen; erilaisia taustatietoja, tietoja henkilökohtaisista motiiveista ja olemassa olevista toimintamalleista
  • Tuudittaudumme turvallisuuden tunteeseen; itsellä hallussa olevan tiedon ei koeta olevan arvokasta. Emme odota tulevamme hyökkäysten kohteiksi.

Miten käyttäjän manipulointia ilmenee?

  • Välineenä voidaan käyttää sähköpostia, tekstiviestiä tai somen viestipalvelua
  • Viesti lähetetään useille kohteille massapostina toteutettuna tietojenkalasteluna (phishing) tai tiettyyn henkilöön tai organisaatioon kohdennettuna tietojenkalasteluna (spear phishing), jolloin kohteeseen liittyviä tietoja on saatettu etukäteen tutkia ja kerätä useista lähteistä
  • Manipuloijat esiintyvät usein auktoriteettina tai luotettavana tahona, kuten viranomaisena tai johtajana, tai avun tarpeessa olevana henkilönä
  • Uhria voidaan pyytää tekemään jokin tehtävä tai palvelus. Pyynnöt voivat liittyä salasanoihin ja järjestelmän käyttäjätunnuksiin. Ne voivat olla päivityskehotuksia tai pyyntöjä laskun kiireelliseen ja luottamukselliseen maksamiseen. Ihmisiin vedotaan ja vaikutetaan myös uhkaamalla ja pelottelemalla tai uskottelemalla, että jokin ainutlaatuinen tilaisuus lipuu ohi, ellei siihen heti tartu.

Parempi tietoisuus ja osaaminen auttavat suojautumaan käyttäjän manipuloinnilta, joten muista ainakin nämä asiat

  • Vastuuntuntoiset palveluntarjoajat eivät pyydä koskaan sähköpostilinkkien kautta asiakkaiden tunnuksia, salasanoja tai muita luottamuksellisia tietoja
  • Palveluihin kohdistuviin muutoksiin reagoiminen on aina syytä tehdä palveluntarjoajan omassa palvelussa vahvoilla tunnuksilla
  • Jos yhteydenotto vaikuttaa hiemankin epäilyttävältä, kannattaa kiinnittää huomiota lähettäjään ja viestin sisällön oikeaoppiseen kieleen
  • Jos saa rahansiirtoon liittyvän viestin yllättäen tutun henkilön nimissä, on syytä tarkistaa vielä puhelimitse, mistä on kysymys
  • Normaaleista käytännöistä poikkeavat toimintapyynnöt ja -kehotukset ovat aina pysähtymisen ja lisätarkastelun arvoisia
  • On myös hyvä pysähtyä aika-ajoin pohtimaan, minkälaisia tietoja itsestään, läheisistään tai edustamastaan organisaatiosta digitaaliseen maailmaan vuotaa

Lataa ja tulosta infokortti käyttäjän manipuloinnista

Lue erilaisista huijaustyypeistä aiheesta lisää cyberdi.fi/tietopankki -sivuilta, opi huijausten tunnusmerkit ja kuinka suojautua niiltä.