Sosiaalinen hakkerointi
Turvallisuus on loppujen lopuksi vain illuusio. Ja turvallisuuden illuusio saa ihmiset laiskaksi.
Stanley Mark Rifkin teki yhden maailman suurimmista pankkiryöstöistä ilman asetta, väkivaltaa tai uhkailua. Hän tienasi yli kymmenen miljoonaa dollaria vain parilla puhelinsoitolla. Rifkin työskenteli IT-yritykselle, jossa hänen työnkuvaansa kuului varmuuskopiojärjestelmien asentaminen eri yrityksille. Eräänä päivänä hän teki asennuksia pankille, jossa siirrettiin miljardeja dollareita päivässä. Asentaessaan varmuuskopiointijärjestelmiä Rifkin oppi, että pankin työntekijät saivat joka aamu nelinumeroisen pin-koodin, jonka avulla siirtoja valtuutettiin. Työntekijät eivät jaksaneet opiskella koodia joka päivä uudelleen, joten he olivat ottaneet tavaksi kirjoittaa sen lapulle huoneeseen, jossa tilisiirrot tehtiin ja johon Rifkinin oli tarkoitus laitteet asentaa.
Rifkin opetteli päivän koodin ulkoa ja meni kotiinsa. Hän otti puhelimen käteen, soitti pankkiin ja esitteli itsensä Mike Hanseniksi, kyseisen pankin kansainvälisestä osastosta. Pankin virkailija kysyi osaston numeroa. Tämä oli perustoimenpide, johon Rifkin oli varautunut kotiläksynsä tehneenä.
“286.”
“Ja mikä oli koodi?”
“4789.”
Tämän jälkeen Rifkin, siis Hansen, pyysi virkailijaa siirtämään aiemmin avaamalleen tilille kymmenen miljoonaa kaksisataatuhatta dollaria. Pari päivää myöhemmin Rifkin lensi Sveitsiin nostamaan rahat.
FBI pääsi miehen jäljille huijaamalla huijaria. FBI järjesti harhautusoperaation, jossa Rifkin houkuteltiin tekemään toinen rikos. Kiinnijäämisen myötä myös aiempi huijaus saatiin selvitettyä ja todisteet kasattua.
Rifkin huijasi rahat käyttämällä tekniikkaa nimeltä social engineering. Termi on suomennettu käyttäjän manipuloinniksi, mutta itse suosin mieluummin vapaata käännöstä sosiaalinen hakkerointi. Sosiaalinen hakkerointi on tekniikka, jossa hakkeroija saa toisen ihmisen tekemään asioita, joista hän hyötyy, yleensä taloudellisesti. Sosiaalinen hakkeroija huijaa uhrejaan yleensä esittäen jotakuta toista. Usein kyseessä on valheellinen auktoriteettihahmo, joka luo illuusion luotettavuudesta.
Käytimme sosiaalisen hakkeroinnin metodeja kollegojeni Johannes Malkamäen ja Tommi Lahden kanssa tehdessämme videosarjaa Huijarit Nelonen Medialle vuonna 2017. Testasimme, kuinka helppo yrityksiltä on huijata ilmaisia vaatteita, hotellihuoneita, autoja tai pelikonsoleita kepulikonstein ja sosiaalista hakkerointia käyttämällä. Itse huijaukset olivat lopulta helppoja, jopa niin helppoja, että kokemus oli tällaiselle paatuneellekin vedättäjälle silmiä avaava: yhteiskuntamme perustuu keskinäiseen luottamukseen. Rikolliset jäävät kiinni, koska tekevät rötöksensä yleensä humalassa ja suunnittelematta.
Yhdessä vedätyksessä halusimme testata, kuinka helposti saisimme vaatekaupoista vaatteita pelkästään puhelinsoitolla. Soitimme eri vaatekauppoihin ja kysyimme myymäläpäällikköä puhelimeen. Oli tärkeää saada linjan toiseen päähän ihminen, joka oli sellaisessa asemassa, että pystyisi itsenäisesti tekemään päätöksiä. Tavallinen myyjä todennäköisesti menisi tarkastamaan asiaa esimieheltään. Tämä loisi heti epäilystä, emmekä pystyisi hyödyntämään yhtä tärkeimmästä sosiaalisen hakkeroinnin keinoista: kiirettä.
Saatuamme myymäläpäällikön puhelimeen esitimme tietyn vaatemerkin edustajaa ja kerroimme, että meillä oli ongelma. Olimme järjestämässä kuvauksia Tampereella, mutta assistenttimme oli unohtanut joitain vaatteita. Kysyimme, löytyisikö liikkeestä tietyt kengät, housut, paita ja takki tarvitsemassamme koossa. Myyjä tarkisti asian ja kertoi, että vaatteet löytyvät liikkeestä. Kerroimme, että assistenttimme noutaa vaatteet lainaan hetken kuluttua ja palautamme ne kuvausten jälkeen.
Saimme useasta vaateliikkeestä vaatteita usealla tuhannella eurolla vain parilla puhelinsoitolla. Tämä ei tarkoita, että myymäläpäälliköt olisivat olleet tyhmiä tai helppouskoisia. Tämä kertoo siitä, että yhteiskuntamme perustuu luottamukseen ja luottamus luo aukkoja, joita taitava huijari voi hyödyntää. Jokaisella työpaikalla olisi hyvä järjestää henkilökunnalle koulutus siitä, mitä sosiaalinen hakkerointi on ja kuinka huijarit voivat hyödyntää luottamusta saadakseen ilmaisia vaatteita, rahaa tai vaikkapa hotellihuoneita. Koulutuksen lisäksi olisi syytä rakentaa pelisäännöt tällaisia tapauksia varten. Pelkästään huijauksen tiettyjen rakenteiden ymmärtäminen auttaisi pitkälle.
Ote Jose Ahosen kirjasta "Ajattele kuin mentalisti” (2020). Mentalisti, taikuri ja kouluttaja Jose Ahonen on kouluttanut vuorovaikutustaitoja ja ihmismielen kummallisuuksia lentokenttien turvakouluttajista poliiseihin, esimiehistä myyjiin. Luennot räätälöidään kohderyhmälle sopiviksi.