Miksi joku lankeaa
"nigerialaisprinssien" kirjehuijauksiin?
Tietoturvatekniikka on ollut varustekilpailussa verkkomaailman rikollisten kanssa kommunikaatioteknologian synnystä lähtien. Jokainen teknologian innovaatio tuo uudet haasteensa ja niihin on runsaasti tarjolla myös ratkaisuja. Viimeisin näistä lienee paljoa puhuttaneet pilvipalvelut ja niiden tuomat tietoturvariskit aina valtiotasolla saakka. Ihmismieli on kuitenkin pysynyt yhtä houkuttelevana kohteena hyökkäyksille, eikä siihen näytä olevan tarjolla turvapäivitystä. Ainakaan lähitulevaisuudessa.
Kilpajuoksu synnyttää joka vuosi messuilla ja uutuuspalstoilla näkyvillä olevia puolustussovelluksia, järjestelmiä ja tietoturvalaitteistoa, joilla yritysten ja ihmisten kallisarvoista tieto-omaisuutta pyritään pitämään pois vääristä käsistä. Yhtä tämän riskienhallintaketjun lenkkiä kohtaan hyökätään kuitenkin vielä samoilla keinoilla kuin kymmenen vuotta sitten. Pahaa-aavistamattomia käyttäjiä pyritään edelleen juksaamaan antamaan salaisia tietojaan kolmansille osapuolille huijausviesteillä.
”Huijausviestejä liikkeellä”-otsikko lienee kaikille internetin käyttäjille tuttu uutisista ja jokainen suomalainen nettipankkia käyttävä on lukenut tiedotteen, jossa pankki muistuttaa, ettei missään olosuhteissa kysy pankkitunnuksia asiakkailtaan pankin oman sisääntulokirjauksen ulkopuolella.
Itse törmäsin tähän ilmiöön kahdesti laittaessani autoni myyntiin suositulle oikotie.fi-sivustolle. Ensimmäiset kaksi yhteydenottoa sivuston kautta osoittautuivat urkintaviestiksi.
Molemmat olivat englanninkielisiä ja ensimmäisessä yhteydenotossa kysyttiin aivan tavallisia asioita, kuten onko auto vielä myynnissä ja voisiko hinnasta neuvotella. Kieli oli kehnoa. Näiden kysymysten jälkeen tulikin jo viesti, että kaupat tehdään autoa sen kummemmin näkemättä. Ulkomailla asuvat autonharrastajat, molemmat toki lääkäreitä, maksaisivat auton PayPal-palvelulla etukäteen ja järjestäisivät itse auton kuljetuksen pois maasta kuriirin kautta. Tämä kuulosti jo koomiselta. Pienen etsinnän jälkeen kirjoitukset löytyivätkin lukuisilta internetin varoituspalstoilta.
Lähestymistapa on yleinen. Otetaan ensin yhteyttä jonkun palvelun kautta ja peli avataan aivan normaalilla kanssakäymisellä. Seuraava vaihe onkin jo nigerialaiskirjeistä tuttu tapa tarjota jonkinlaista etukäteismaksua epäilysten häivyttämiseksi. Vaikka en itse ollut enää yhteydessä kalastajiin, tiedän mitä seuraavaksi olisi tullut: yhteydenotto, jossa olisi ollut linkki tutulta näyttävään palveluun kuten PayPal:in kloonisivulle, jonne kirjautuessani salasanani olisi kaapattu.
Phishing – taktiikkaa ja psykologiaa
Tällaisella kalastusstrategialla on kaksi yleistä komponenttia: taktinen ja psykologinen.
Nigerialaiskirjeiden huono kieliasu pistää usein peruskäyttäjää silmään ja tämä saa jo monen hälytyskellot soimaan. Ensireaktio onkin ihmetellä, millainen hölmöläinen ikinä astuisi niin tökeröltä näyttävään ansaan. Vaikka Nigerian ruhtinailta on saatu jo postia vuosikymmeniä, löytyy moderneistakin versioista usein lähetysmaana nimenomaan Nigeria.
Freakonomics-kirjasarjan tekijät, toimittaja Stephen J. Dubner ja taloustieteilijä Steven D. Levitt, käsittelevät tätä tökeryyttä taktisena tekona uusimmassa kirjassaan How To Think Like A Freak.
Kuva: Morburre via Wikimedia
Kalastajat joutuvat käyttämään energiaa ja aikaa huijauskirjeisiin vastanneisiin ihmisiin. Jos ensikosketus tehdään liian vakuuttavasti, vastaa siihen runsas määrä ihmisiä. Nämä voivat hämääntyä ensimmäisestä kirjeestä, mutta ovat kuitenkin aivan liian valveutuneita antamaan arkaluontoisia tietoja kenellekään viime kädessä. Tökerö alkukontakti voi karsia vastaajat vain niihin helppouskoisiin, joita eivät valtaosaa hämäävät seikat häiritse. Näissä vastanneissa on suuremmalla todennäköisyydellä mukana myös niitä henkilöitä, jotka lankeavat loppuansaan. Tekemällä esikarsintaa vähentää aktiivinen huijari työtuntiensa määrää keskittymällä vain niihin helppoihin kohteisiin, jotka vaikuttavat naiiveilta jo ensi askeleilta lähtien.
Psykologisena komponenttina löytyy usein vastavuoroisuuden herättäminen. Ihmisillä on luontainen taipumus vastata heille tehtyihin palveluihin vastapalveluilla ja pienetkin eleet meidän hyväksemme jättävät takaraivoon velantunteen, joka ohjaa monesti huomaamatta toimintaamme.
Tämän tarpeen valjastaminen on synnyttänyt tapoja kuten tarjoilijoiden tuomat jälkiruokakarkit, jotka nostavat juomarahakulttuureissa mitattavasti tarjoilijoille jätettyä tippiä sekä markkinointimiesten antamat yrityslahjat.
Ilmiötä on tutkittu paljon. Sosiaalipsykologian maailmassa törmää usein esimerkkeihin kuten Phillip Kunzin 1974 tekemään tutkimukseen, jossa tutkija lähetti 600 joulutervehdyksen täysin satunnaisesti tuntemattomille ihmisille. Jopa kolmannes vastasi tutkijalle. Toisena yleisenä esimerkkinä voidaan pitää Dennis Reganin 1971 tehtyä tutkimusta, jossa yksinkertainen lahjana annettu alle taalan maksava limupullo nosti ihmisten arpajaislippujen ostohalukkuutta. Tutkimuskohteet ostivat lahjan antajalta enemmän arpalappuja kuin mitä limupullot maksoivat. Ero oli huomattava kontrolliryhmään verrattuna, joille lahjaa ei tarjottu ennen arpalippujen ostamista.
Luottamusta ja vastavuoroisuutta yritetään kylvää lupauksilla ennakkomaksuista ja esimerkiksi treffi-sivustojen kautta tehtävissä hyökkäyksissä fyysisillä lahjoilla. Suomalaisillakin treffisivustoilla vaanivat Casanova-kalastajat saattavat lähettää kohteelleen yllätyksenä kukkalähetyksen tai muun konkreettisen hellyydenosoituksen henkilöä kertaakaan näkemättä. Lahja madaltaa monen suojamuureja ja rahan tai tietojen urkinta helpottuu huomattavasti.
Sisäänrakennettu strategia
Vastavuoroisuudesta on pidemmän päälle meille lajina hyötyä. Pystymme kauppaa tekemällä ja työtä jakamalla valjastaa suhteellisen hyödyn periaatteen, jonka ansiosta jaetun työn kaikille osapuolille jää enemmän käteen, vaikka yksi osapuolista olisikin toista tehokkaampi työn tekemisessä.
Vapaamatkustajat, eli toisia hyväksi käyttävät, ovat aina tämän sosiaalisen sopimuksen varjopuoli, jonka takia moni moraalikäsityksemme on varmasti saanut alkunsa. Lievä huijareiden sieto on kuitenkin evolutiivisesti tehokasta. Tätä mekanismia on tutkittu muun muassa peliteorian maailmassa. Monen pelaajan yhteistyöpeleissä, jossa toista on mahdollista huijata, mutta peli on pitkäkestoinen, pääsee niin sanotulla ”tit for two tats”-strategialla parhaaseen tulokseen. Siinä peilataan toisen tekoja, mutta annetaan ensimmäinen takinkääntö anteeksi, mikäli väärintekijä heti korjaa oman strategiansa petoksesta vastavuoroiseksi.
Teknologisen kilpavarustelun kiihtyessä ja turvapalveluiden tuottajien määrän kasvaessa ei ole maalaisjärjellä ajateltuna yllättävää, että ihmisluontoa vastaan käyvät hyökkäykset kasvavat. Forbes-lehti ennakoi viime vuoden artikkelissaan ICT-turvabisneksen kasvavan kymmenkertaisesti seuraavan kymmenen vuoden aikana, koska niin moni yritys ja organisaatio on turvatekniikkatasoltaan 2000-luvun alussa. Uusia muureja hyökkääjiä vastaan rakennetaan niin virtuaalikoneiden sisäisillä torjuntaohjelmilla kuin applikaatioiden uniikeilla rakennemutaatioillakin. Samaan aikaan ihmisiin kohdistuvat phishing- eli tietojenkalasteluhyökkäykset ovat pysyneet hyvin samanlaisina.
Lieneekö aina niin, että riskienhallintaketjun heikoin lenkki syntyy omasta vapaasta tahdostamme?
Huijauspostien lyhyt historia SeekerNetworkin kertomana.