Social engineering – Ihminen on aina heikoin lenkki tietoturvassa
Nykyään lähestulkoon jokainen hakkerointi / tietoturvamurto uutinen kertoo että käyttäjä on vahingossa luovuttanut omat tunnuksensa rikollisille tai käyttäjä on huijattu antamaan tiedot, joiden avulla järjestelmiin on tunkeuduttu. Nyt voisi miettiä että ”miten tyhmiä ihmiset voivat olla… antaa nyt omat tunnukset rikollisille”. Käyttäjät eivät pääsääntöisesti ole tyhmiä vaan rikolliset keksivät kokoajan uusia ja parempia keinoja.
Social engineering hyökkäykset ovat kokoajan monimutkaisempia ja niihin käytetään enemmän ja enemmän aikaa. Usko tai älä sinäkin olet todella suurella todennäköisyydellä ollut joutumassa tällaisen hyökkäyksen kohteeksi. Luultavasti olet saanut sähköpostin joltain todella kaukaiselta sukulaiselta jolla on miljoonien omaisuus ja hän tarvitsisi juuri nyt sinun apuasi, toki korvausta vastaan. Tämä on perinteinen esimerkki tietojenkalastelusta, päämääränä ainoastaan saada sinut lähettämään vaan pari kolme tonnia sitä 60 Miljoonaa euroa vastaan.
Social Engineering termin alle lukeutuu esimerkiksi seuraavia tapoja:
- Tekeytyminen toiseksi ihmiseksi
- Tietojenkalastelu
- Tietomurto
- Romanssihuijaus
- Kuvamateriaalilla kiristäminen
- Tekosyyt
- Huijaukset
Kaikki teot millä pyritään vaikuttamaan tai vaikutetaan käyttäjän tekoihin hänen ajatusmaailmaa hyväksikäyttämällä kuuluvat Social Engineeringin eli käyttäjän manipuloinnin alle.
DropBox hakkeroitiin huijausviestillä
Tiedostonjakopalvelu Dropboxilla huomattiin 14. lokakuuta 2022 että heidän GitHub tilillään on outoja kirjautumisia. Pian selvisi että hakkerit olivat onnistuneet pääsemään ohjelmistojätin ohjelmistokehityskirjastoon, missä yhtiön mukaan ei ole ollut asiakkaiden tietoja vaan kolmannen osapuolen ohjelmisto-osia, sisäisiä prototyyppejä ja muutamia turvallisuustiimin tiedostoja.
Palveluun kirjauduttiin onnistuneen Phishing (kalasteluviesti) hyökkäyksen avulla, hyökkääjä tekeytyi DropBoxin yhteistyökumppani CircleCI:ksi ja pyysi DropBoxin työntekijöitä kirjautumaan oikealta näyttävään palveluun GitHub tunnuksilla. Kirjautumisen jälkeen sivusto pyysi myös OTP (monivaiheinen tunnistauminen) avaimen työntekijältä mikä avasi rikolliselle oven GitHub palveluun.
DropBoxin henkilöstö on tekemisissä internetpalveluiden kanssa päivittäin, kehittävät varmasti isolla rahalla tietoturvaansa ja perehdyttävät työntekijöitään tietoturvaan. Mutta verkkorikolliset kehittyvät samaa tahtia ja joskus nopeamminkin. Kysymys kuuluukin että miten sinä koet? Onko teillä kaikki kunnossa tietoturvan osalta?
Jatkokysymyksenä DropBoxilta varastettuun tietoon, minkähänlaisia prototyyppejä siellä on ollut ja haittaakohan se että rikolliset voivat nyt tutkia kaikessa rauhassa ohjelmistojen koodeja omilla koneillaan ja etsiä seuraavaa aukkoa DropBoxin palveluista. Oisko sittenkin OneDrive parempi, ihan vaan varmuuden vuoksi?