Käyttäjien manipulointi internetin yhteisöpalveluissa: Systemaattinen kirjallisuuskatsaus

Internetin yhteisöpalveluiden käyttäjien avoimuus ja sosiaalisuus altistavat heidät monenlaisille riskeille. “Social engineering” eli käyttäjien manipulointi on uhka, joka liittyy informaation hankkimiseen perinteisen kanssakäymisen kautta, mutta yhä enenevissä määrin myös internetissä. Kun kanssakäyminen tapahtuu internetin välityksellä, käyttäjien manipuloijat hyödyntävät yhteisöpalveluita yhteydenpitoon uhrien kanssa sekä paljon käyttäjäinformaatiota sisältävänä alustana. Tämän tutkielman tarkoitus on löytää internetin yhteisöpalveluiden ja käyttäjien manipuloinnin välinen yhteys. Tämä päämäärä saavutettiin etsimällä vastauksia kysymyksiin kuten: Mitkä ovat tyypilliset hyökkäystyypit? Miksi informaatiolla on niin suuri rooli? Mitä seurauksia ilmiöllä on ja miten hyökkäyksiltä on mahdollista suojautua? Vastaukset kysymyksiin löydettiin toteuttamalla systemaattinen kirjallisuuskatsaus. Katsaus muodostui yhdistämällä tärkeimmät löydökset 60 tarkoin valitusta ilmiötä käsittelevästä artikkelista. Käyttäjien manipuloinnin huomattiin olevan hyvin laaja ja monimutkainen ilmiö internetin yhteisöpalveluissa. Huomattiin, että manipulointia ilmenee sivustoilla useissa erilaisissa muodoissa, joita ovat muun muassa tietojen kalastelu, profiilien yhdistäminen, sosiaaliset sovellukset, roskaposti, haitalliset linkit, identiteettivarkaudet, tietovuodot ja erilaiset huijaukset, jotka hyödyntävät sekä ihmisluonnon että sivustojen perusominaisuuksia. Haavoittuvuus ja luottamus havaittiin myös tärkeiksi aspekteiksi, sillä ne yhdistävät informaation merkityksen ja ihmisluonnon, jotka molemmat ovat avaintekijöitä sekä manipuloinnissa että yhteisöpalvelusivustoilla. Vaikka ilmiön seurausten huomattiin olevan negatiivisia niin käyttäjien olemukselle internetissä kuin todellisessakin elämässä, havaittiin myös, että ilmiön ymmärtäminen ja tunnistaminen helpottaa siltä suojautumista

The openness and sociality of online social network users expose them to many kinds of risks. Social engineering is an issue related to gaining information and access through interactions which traditionally happen face-to-face but also more and more online. When the interactions happen online, social engineers can utilize online social network sites as a way to approach their victims or as an information pool to achieve data the users share. The goal of this thesis is to examine the relationship between online social networks and social engineering. The aim was approached with the following questions: What are the typical attacks? Why does information have such an important role? What are the consequences and how to be protected? The answers to these questions were retrieved by conducting a systematic literature review. The review was formed by combining the key findings of 60 carefully selected articles focused on social engineering and online social networks. Based on the findings of this study, social engineering in online social networks is a broad and complex concept. It was found that social engineering appears in online social networks in several different forms such as phishing, cross-profiling, social applications, spamming, harmful links, identity thefts, information leakage and different scams, frauds and hoaxes that utilize the basic characteristics of both users and the platform sites. Vulnerability and trust were found to be important aspects as they combine the importance of information and human nature which are key factors in both online social networks and social engineering attacks. Even though the consequences were found to be harmful both for the users’ online appearance as well as their real lives, it was noticed that by understanding the phenomenon protecting against it becomes much easier and in addition requires merely common sense.