Sosiaalinen hakkerointi käytännössä

Selvitetään aluksi mitä sosiaalinen hakkerointi tarkoittaa, jonka jälkeen käsitellään itse esimerkkitapaus. Näin esimerkkitapauksen kokonaiskuva hahmottuu paremmin.

Mitä on sosiaalinen hakkerointi?

Hakkeroinnilla (/krakkeroinnilla) tarkoitetaan yleisesti esimerkiksi tietojärjestelmien heikkouksien hyödyntämistä luvattoman pääsyn hankkimiseksi.

Sosiaalisessa hakkeroinnissa on tarkoituksena saada kohteena oleva ihminen esimerkiksi luovuttamaan tietoja hyökkääjälle, joita kohde ei yleensä kolmansille osapuolille luovuttaisi. Tyyppiesimerkkinä tästä on vaikkapa esiintyä työntekijänä, joka on kadottanut salasanansa, ja soittaa it-tukeen uuden salasanan saamiseksi. Mikäli hyökkääjä on tarpeeksi uskottava, saattaa hän saada huijattua it-tuesta itselleen pääsyn järjestelmiin, joihin hänellä ei normaalisti olisi pääsyä.

Sosiaalinen hakkerointi etenee yleensä siten, että ensin kerätään taustatietoa kohteesta, sitten keksitään jonkinlainen taustatarina johon nojaudutaan ja lopuksi pyritään toteuttamaan ”hakkerointi”, sekä hankkimaan halutut tiedot hyökkäyksen kohteelta.

 

Käytännön esimerkki sosiaalisesta hakkeroinnista

Helsingin sanomat uutisoi 1.7.2012 rikollisista, jotka ovat tyhjentäneet yritysten tilejä kaappaamalla puhelinliittymiä.

HS:n uutisen mukaan rikolliset etenivät seuraavalla tavalla:

1. Rikolliset valitsivat tietyt yritykset ja selvittivät niistä tarkempia tietoja.
2. Rikolliset laativat väärennetyn hallituksen kokouksen pöytäkirjan, jossa yrityksen tilin käyttöoikeudet päätetään siirtää henkilölle X.
3. Rikolliset ilmoittavat teleoperaattorille, että yrityksen hallituksen puheenjohtajan sim-kortti on rikki/kadonnut.
4. Teleoperaattoria pyydetään ohjaamaan hallituksen puheenjohtajan puhelut toiseen numeroon. Numero on tietysti rikollisten käytössä.
5. Henkilö X menee pankkiin nostamaan rahoja yrityksen tililtä.
6. Pankkivirkailija tarkistaa pöytäkirjan (tai muun vastaavan dokumentin) ja tekee varmistussoiton yritysen hallituksen puheenjohtajalle.
7. Koska puhelu siirtyy rikollisten numeroon, niin heidän on helppo vahvistaa dokumentin aitous.
8. Rikollinen saa rahat…ainakin osassa tapauksista. Uutisen mukaan parhaimmillaan jopa kymmeniä tuhansia euroja.

Rikolliset siis toteuttivat ensin taustatietojen tarkistusta (yrityksen nimi, puheenjohtaja jne), joiden perusteella he laativat taustatarinat (pöytäkirjat). Itse hakkerointi on tässä tapauksessa pankkivirkailijan luottamuksen hankkimista ja sen vahvistamista puheluun (kohta 7.) vastaamalla.

Pankit ja operaattorit ovat sen verran isoja toimijoita, että asiakkaan näkökulmasta heihin ei voi oikein muuta kuin luottaa. Pienemmille yrityksille luottamuspula voi kuitenkin aiheuttaa sellaisen kolhun liiketoimintaan, että koko toiminta voi loppua.

Oli kyseessä sitten iso tai pieni yritys, tulisi sosiaaliseen hakkerointii varautua edes jotenkin. Tunnetusti ihminen on tietoturvan heikoin kohta. Aihe on kuitenkin hankala, koska ihmiseen ei voi asentaa esimerkiksi palomuuria, joka estää asiattomat kyselyt ihmismieleen.

Sen sijaan jos ihminen pystyy tunnistamaan hankalan tilanteen, pystyy hän todennäköisesti toimimaan siinä myös paremmin. Kouluttaminen ja tietoturvatietoisuuden lisääminen ovat siis olennaisessa osassa sosiaalisen hakkeroinnin torjunnassa.