| Yhteenveto: | Tässä tutkielmassa käydään läpi käyttäjän manipulaatiota, (engl. social
engineering) tarkemmin sanottuna miten se ilmenee käytännössä ja miksi se on
niin tehokas tapa tehdä tietoturvahyökkäys, sekä miten siihen voidaan varautua.
Käyttäjän manipulaatio -hyökkäyksessä pyritään pääsemään käsiksi esimerkiksi
organisaation tietokantaan tai yksityisen ihmisen tietoihin. Hyökkäys kohdistuu
tietokoneiden ja muiden laitteiden sijasta käyttäjään, jota hyökkääjä pyrkii
manipuloimaan saadakseen haluamansa. Nämä manipulaatiohyökkäykset
perustuvat psykologiaan ja ihmisten perusominaisuuksiin, tehden niistä
tehokkaita ja vaikeita ja joissain tilanteissa mahdottomia havaita ennen kuin on
myöhäistä. Tutkielmassa kuvaillaan muun muassa käyttäjän manipulaatioon
liittyviä erilaisia psykologisia tekijöitä, hyökkäysmetodeja ja hyökkäysten
peruspiirteitä. Tämä tutkielma pyrkii avaamaan syitä sille, miksi käyttäjän
manipulaatio on suuri ja verrattain tuntematon uhka. Käyttäjän manipulointi on
suuri ongelma, koska uhri voi olla yksityinen henkilö tai yritys ja menetykset
kummassakin tapauksessa voivat olla huomattavia. Esimerkiksi internet on
pullollaan käyttäjän manipulointiin pyrkiviä pop up -mainoksia ja
huijaussähköposteja. Yksi suurimmista ongelmista liittyen käyttäjän
manipulaation on kyseisten hyökkäysten/huijausten tunnistaminen. Siksi onkin
tärkeää tutkia aihetta ja ottaa selville, miten käyttäjän manipuloinnista syntyviä
menetyksiä ja haittoja saadaan vähennettyä, sekä millaiset hyökkäykset ovat
kaikista menestyksekkäimpiä. Tämän kirjallisuuskatsauksen tuloksena on
katsaus käyttäjän manipulaatiosta, sekä siitä miksi se on tehokas hyökkäystapa
ja miten mahdollisesti sitä voitaisiin ehkäistä. Tutkielman tuloksista voidaan
päätellä, että käyttäjän manipulaatio ei saa sen vaatimaa huomiota tietoturvan
suhteen, sekä, että sen aiheuttamat vahingot vuosittain ovat massiiviset. Ainoa
tapa päästä näistä hyökkäyksistä eroon on loppujen lopuksi valistaa ihmisiä
niiden vaaroista, mutta hyökkäysten monimuotoisuuden vuoksi se on
käytännössä mahdotonta.
In this report, we will go through social engineering and how it manifests itself
in practice and why it is such an effective way to attack as well as how can one
prepare against such attack. In social engineering attacks the attacker aims to acquire access for example to an organisations database or private citizens personal
information. Instead of focusing on computers or other electronic devices, the
attack targets the user, which the attacker attempts to manipulate to acquire what
(s)he wants. These social engineering attacks are based on human psychology
and basic human characteristics, making them effective and difficult and in some
cases impossible to detect before it is too late. This report describes the different
psychological factors related to social engineering as well as different attack
methods and different features that the attacks hold. This report aims to clarify,
why social engineering is such an immediate and rather unknown threat. For
example, the internet is filled with pop up ads and spam that aim to manipulate
the user. One of the biggest problems regarding social engineering is the detection of the attacks and scams. Thus, it is important to research and find out how
the losses accumulating from social engineering can be reduced and what kinds
of attacks are the most successful. The result of this report is an examination of
social engineering and why it is such an effective avenue of attack as well as how
it could be prevented. From the results we can conclude, that social engineering
does not get the attention it needs regarding information security and that the
losses it causes are massive. In the end the only real way to get rid of these attacks
is to educate people about the dangers of social engineering, but due to the complexity and multiple different methods, it is impossible in practice.
|
|---|