Käytettävä tietoturva ja tietoturvallisuuden opetus urkintahyökkäysten torjumiseksi

Autor: Chaudhary, Sunil
Přispěvatelé: Informaatiotieteiden yksikkö - School of Information Sciences, University of Tampere
Jazyk: angličtina
Rok vydání: 2016
Předmět:
Popis: Käytettävä tietoturva ja tietoturvallisuuden opetus urkintahyökkäysten torjumiseksi Tietojen urkkija katselee sinua! Tarvitsemme nykyistä parempia tietoturvatyökaluja sekä kyberturvallisuuden opetusta, kiitos!! Oletko todella sitä mieltä, että verkkopalvelut ovat turvallisia? Kuka tarkkailee toimintojasi, kun olet verkossa ja miksi? Tietojen urkinta (phishing) on petollinen tapahtuma, joka tehdään erilaisilla tekniikoilla, kuten sähköposti, verkkosivujen etsiminen, puhelin, tekstiviesti jne. Huijausviestit vaikuttavat tulevan laillisilta ja luotettavilta osapuolilta, kuten pankeilta, verkkomaksujen välittäjiltä, sähköisilta kauppapaikoilta tai tuttavilta, kuten ystäviltä ja sukulaisilta. Mutta ovatko yhteyttä ottavat todella niitä, joita väittävät olevansa? Vai ovatko he tiedon urkkijoita ja naamioitujia? Varo liikaa itsevarmuutta!! Tyylikkäiltä vaikuttavat tiedon urkkijat saattavat huijata sinua. Urkinta on suunniteltu houkuttelemaan ihmisiä antamaan yksityistä tietoa, kuten verkkopankin tunnuksia, luottokortin tietoja ja salasanoja. Näitä voidaan käyttää petollisiin toimintoihin, kuten rahan varastamiseen. Nykyiset urkintahyökkäykset ovat ilkeämpiä, häijympiä ja pahantahtoisempia kuin koskaan aiemmin. Urkinta voi olla osa ammattimaista kyberrikollisuutta ja järjestäytynyttä rikollisuutta. Kehittyneillä urkkijoilla on tietotaitoa ja he käyttävät kehittyneitä sosiaalisen hakkeroinnin menetelmiä saadakseen ihmiset ansaan. Sosiaalisessa hakkeroinnissa manipuloidaan, muokataan ja hyväksikäytetään ihmisluontoa sekä käytetään myös psykologiaa. Sosiaalisen hakkeroinnin menetelmät saavat aikaan paniikkia, ahneutta ja uteliaisuutta, jotta ihmiset vastaavat sähköposteihin ja puhelinsoittoihin sekä paljastavat luottamuksellista tietoa. Joka vuosi maailmanlaajuisesti henkilöt, yritykset ja virastot kärsivät valtavista menetyksistä sosiaalisen hakkeroinnin ja erityisesti urkinnan vuoksi. Suorat tappiot ovat miljardeja dollareita ja epäsuoria seurauksia ovat liiketoiminnan heikentyminen, tuotannon heikentyminen ja erilaiset psykologiset seuraukset. Oletko huolestunut, että lankeat helposti urkinnan uhriksi? Tämä ei ole pelkästään omaa syytäsi!!! Urkinnan ja muiden kyberrikosten uhreja moititaan omasta tyhmyydestään ja huolimattomuudestaan, heitä arvostellaan usein kielteisesti ja heidän ajatellaan olevan perussyy tietoturvaongelmiin. Tämä voikin olla osin totta! Toisaalta tässä tutkimuksessa havaitaan, että kansalaiset ja erityisesti verkkopalveluiden käyttäjät pystyvät tehokkaasti suojautumaan urkintaa ja sosiaalista hakkerointia vastaan vain, jos he ovat perillä torjuntakeinoista. Mitä pitäisi siis tehdä? Tässä väitöskirjassa ehdotetaan, että ihmiset tulisi varustaa hyvillä taidoilla, työkaluilla ja teknologioilla, jotta he voivat tehdä oikeita ja turvallisia ratkaisuja. Erityisesti ihmisiä pitäisi a) varustaa hyvälaatuisilla urkintaa torjuvilla sovelluksilla ja b) kouluttaa tiedon urkinnasta ja sosiaalisesta hakkeroinnista. Vaikka tietoturvallisuuden opetusta ja urkinnan torjuntaohjelmia on olemassa, ne eivät vaikuta olevan kovin menestyksekkäitä erityisesti, koska ne eivät kykene huomioimaan uusia tiedon urkinnan ja sosiaalisen hakkeroinnin menetelmiä. Tiedon urkinta on jatkuvasti muuttuva ja kasvava toiminta muuttuvalla sosio-teknologisella alueella ja on olemassa todella monia vaihtelevia tilanteita, joita voidaan käyttää ihmisiä vastaan. Tämän vuoksi tässä työssä tutkittiin tapoja, tekniikoita, menetelmiä ja strategioita, joilla tietoturvallisuuden opetus ja urkinnan torjuntaohjelmat voidaan parantaa, jotta ne ovat nykyistä tehokkaampia. Tutkimuksen tulokset auttavat kyberturvallisuuden tutkijoita, ohjelmistoammattilaisia ja käytännön harjoittajia suunnittelemaan ihmiskeskeisiä urkinnan torjunnan ratkaisuja. Näin heikoimpana, mutta tietoturvallisuuden kannalta tärkeänä lenkkinä, olevien ihmisten viisautta ja tehokkuutta parannetaan. Lisäksi opetussuunnitelmien suunnittelijoiden ja poliitikoiden tulisi keskittyä suunnittelemaan menestyksekästä opetusta tulevaisuuden kansalaisille ja tietoturva-ammattilaisille. Tämän tulisi perustua nykyisille ja tulevaisuuden tietoturvatarpeille sekä huomioida ihmisten oppimistavat ja ajattelumallit. Big Phisher Watches ...YOU! Better information security tools and cyber-security education, …Pleeeease!! Do you REALLY think that your online activities are secure? WHO is watching your steps when you are online, and WHY? Phishing is a fraudulent activity that is carried out using techniques such as email, website search, phone-call, SMS, and other ways. These techniques appear to come from legitimate and trusted parties, such as banks, online payment services, e-commerce services or personal acquaintances that sometimes can be friends and relatives. But are the senders really the ones who claim to be? Or are they just phishers and masquerades? WATCH OUT, overconfident people!! Stylish phishers can fool you. Phishing activities are mainly designed to allure people in order to provide sensitive personal information such as online banking details, credit card data, and passwords, which will, ultimately, be used to commit fraudulent activities online and, in many cases, steal money. Nowadays, phishing attacks are mean and more vicious and malicious than ever. Phishing can be arranged by professional cyber-criminals as organized (cyber) crime. Sophisticated phishers have the skills and know-how, and use advanced social engineering techniques to make people fall into their trap. Social engineering is about manipulating and exploiting the vulnerabilities of human nature using also psychology. Social engineering techniques induce panic, greed or curiosity in people in order to urge them to respond to the phishing emails or phone calls, and disclose their confidential information. Every year, individuals, businesses organizations, and government agencies world-wide experience big losses because of social engineering and phishing in particular. These losses are directly in terms of billions of dollars and indirectly in terms of reduction in business, loss of productivity, and various psychological sufferings. Are you worried and frustrated that you can so easily fall for the phishing baits? It is NOT all YOUR fault!!! In phishing and other types of cybercrime, people (who are normally online services’ users) are often condemned for their stupidity and carelessness, and are often criticized negatively, considered to be as the root cause of online security problems. This could be partially true! On the other hand, this research study perceives the current citizens, and online service users in particular, as strong countermeasures against phishing and social engineering, only if they can act knowledgeably. So, WHAT should be done? This doctoral dissertation advocates that in order to enable people make safe and secure decisions in the cyberspace, people should be equipped with suitable and effective knowledge, tools and technology. In particular, people could be a) facilitated by good quality anti-phishing applications and b) educated about phishing and social engineering. Albeit security education and anti-phishing applications exist, they do not seem to be so successful, essentially because they are not sufficiently updated to cater for new and emerging phishing and social engineering attacks. Phishing is an ever-changing and ever-growing activity for vulnerable people in a continually altering socio-technical domain and there exist so many varying situations that can be used for people’s exploitation by intelligent phishers. Therefore, this research study investigated ways, techniques, methods and strategies through which security education and anti-phishing applications can be updated and enhanced and, thus, become more helpful against phishing and social engineering. The outcomes of this study can assist cyber-security researchers and software professionals and practitioners to design human-centered anti-phishing solutions; thus increase the wisdom and effectiveness of the people, who are the weakest link but also the main stakeholders in the information security domain. Additionally, educational curricula designers and policy makers should focus to design education for future citizens and information security professionals, based on the current and future needs for security and considering people’s learning preferences and thinking styles.
Databáze: OpenAIRE
Externí odkaz: