Kun näppärästi suunniteltu tietoja kalasteleva viesti tai puhelinsoitto (phishing) löytää sopivan ihmisen sopivalla hetkellä, yllättävän suurella todennäköisyydellä kohde erehtyy noudattamaan kyberrikollisten ohjeita. Hiljattain tehty tutkimus havaitsi jopa 30 prosentin yrityksistä onnistuvan kun kalastelua tehdään riittävän kauan. Tällaiseen tulokseen päätyi Sveitsissä ETH Zurich yliopisto raportissaan Phishing in Organizations: Findings from a Large-Scale and Long-Term Study.
Tarkka luku rikollisten onnistumisprosentille oli 32,10, joka vaikuttaa melkoisen korkealta – lähes kolmannes ihmisistä on harhautettavissa. Tutkijat löysivät tähän syyn: kun samoja ihmisiä lähestytään tarpeeksi kauan, jossain vaiheessa varovainenkin verkon käyttäjä erehtyy. Zürichin yliopiston tutkimus on merkittävä koska he saivat luvan testata tietojen kalastelua oikeassa työympäristössä. Tutkijat sopivat suuren monialayhtiön johdon kanssa, että he saivat lähestyä 14 733 työntekijää ja johtajaa peräti 15 kuukauden ajan. Kohteet valittiin mahdollisimman kattavasti ikä, kokemus ja asema huomioonottaen.
25,43% tutkimukseen osallistuneista työntekijöistä seurasi tietojen kalastelijoiden antamia ohjeita, ja toteutti heidän pyytämät toimenpiteet. Mikäli oikeat rikolliset olisivat olleet tämän takana, lopputulos olisi ollut lohduton.
Korkean onnistumisprosentin lisäksi varsin huolestuttava löydös oli se, että jotkut työntekijät eivät oppineet tunnistamaan vaarallisia viestejä. He erehtyivät kerta toisensa jälkeen. Kaikista niistä, jotka noudattivat tietojen kalastelijoiden ohjeita, peräti 30% teki sen useammin kuin kerran.
Kaikista nuorimmat ja vanhimmat työntekijät olivat herkimpiä haksahtamaan kalasteluyrityksiin. Ihmiset, joilla on tietotekniikan osaamista, jotka ovat kohdanneet tietojen kalastelua aiemmin, tai ovat korkealla organisaation hierarkiassa osasivat parhaiten välttää kalasteluyritykset.
Tietojen kalastelun estämistapoja
Tietojen kalastelusta on tullut erityisesti tietokoneita lukitsevien ransomware-rikollisten suosikkimenetelmä. Urkkimalla käyttäjätunnuksia ja salasanoja tai harhauttamalla kohde asentamaan haitallinen sovellus tietokoneelle rikolliset ottavat laitteen ohjaukseensa. He voivat lukita tietokoneen ja vaatia lunnaita sen palauttamiseksi toimintakuntoon, asentaa vakoiluohjelman, tai tehdä siitä työkalun muita rikoksia varten.
Ei siis näytä hyvältä jos kolmannes ihmisistä on harhautettavissa tekemään mitä rikolliset haluavat.
Onneksi Zürichin yliopiston raportti Phishing in Organizations antaa toivoa, että paljonkin on tehtävissä tietojen kalastelun estämiseksi. Tutkijat kokeilivat muutamia tapoja, joista saadut kokemukset olivat lupaavia.
Lyhyet haitallisiin viesteihin lisätyt varoitustekstit vähensivät vastaanottajien harhautumista huonoille teille. Tutkijoiden lähettämiä kalasteluviestejä uskottiin kolme kertaa useammin silloin kun niissä ei ollut varoitustekstiä. Tutkijat todennäköisesti lisäsivät varoitukset viesteihin manuaalisesti, mutta jatkossa sen tehtävän voi siirtää roskapostia tunnistavalle ohjelmalle tai tekoälysovellukselle. Tässä kokeilussa varoitukset olivat yksinkertaisesti seuraava lause lisättynä aivan viestin alkuun: ”Ole varovainen! Tämä viesti saattaa yrittää varastaa henkilökohtaisia tietojasi.”
Joukkoistaminen (crowdsourcing) haitallisten viestien tunnistamisessa havaittiin toimivaksi. Ihmiset, jotka vastaanottavat haitallisia viestejä ja tunnistavat ne voivat helposti tehdä ilmoituksen meneillään olevasta kampanjasta. Tutkimuskohteessa yhtiön sähköpostisovellukseen lisättiin nappula, jota painamalla pystyi vähällä vaivalla raportoimaan vaarasta.
Kenties hieman yllättävä tulos tutkimuksesta oli, että koulutuksella ei ollut hyödyllistä vaikutusta työntekijöihin. Erityisesti sapiskaa sai perinteinen verkkokurssi, jossa työntekijöiden tuli lukea aiheesta laadittu aineisto ja vastata sen jälkeen kysymyksiin. Lupaavammaksi tavaksi lisätä valmiutta havaittiin peliä muistuttava simulaatio, jossa voi kokea miten todellinen hyökkäys ja tietojen hyväksikäyttö verkossa etenee.
Konkreettisia vinkkejä löytyy artikkelista mitä on hyvä huomioida jos epäilee puhelimen toisessa päässä olevan tietokonetukihenkilön tarkoitusperiä.
