Artykuł

Odkrywamy sztuczki socjotechników

czyli jak oszuści próbują wpłynąć na nasze zachowanie

Zacznijmy od początku. Co to jest Socjotechnika?

Socjotechnika jest jedną z metod działania cyberprzestępców polegającą na wywieraniu określonego wpływu na użytkownikach. Ataki bazujące na socjotechnice najczęściej są wymierzone masowo (ang. phishing). Jednakże pracownicy firm szczególnie narażeni są na ataki ukierunkowane (ang. spear phishing) zmierzające do zdobycia nieuprawnionego dostępu do informacji firmy.

Socjotechnik wykorzystuje te same metody przekonywania, jakich my używamy każdego dnia. Każdy z nas zetknął się w swoim życiu z plotką, kłamstwem, ubarwianiem rzeczywistości. 

Wszystkie tego typu zachowania mają w efekcie wpłynąć na czyjś sposób myślenia, zmienić postawę czy wywołać pożądane reakcje. Zapewne nikt z nas nie zastanawiał się wówczas, że takie działania to początki socjotechniki. Choć taka początkowa wersja jest niegroźna (bo prawda szybko może wyjść na jaw), to w zaawansowanej formie może nieść ze sobą bardzo groźne w skutkach konsekwencje.

Socjotechnik stosuje metody przekonywania w sposób manipulacyjny i nieuczciwy.

Obecnie w sieci dostępnych jest wiele aplikacji i produktów, zabezpieczających nas przed szkodliwymi oprogramowaniami. Jednak niezależnie od tego, jak chroniony jest nasz komputer, to my jako użytkownicy jesteśmy ostatnim ogniwem zabezpieczającym nasze dane osobowe.

Gdy w grę wchodzą techniki manipulacji psychologicznej, bardzo ważne jest, by znać sztuczki wykorzystywane przez cyberprzestępców. Warto wiedzieć, że socjotechnik wcale nie musi wykorzystywać jakiejkolwiek technologii czy komputerów do uzyskania informacji.

Dlatego należy być wyczulonym na wszelkie podejrzane zachowania, na jakie możemy się natknąć każdego dnia. Na przykład, wasze hasła mogą zostać od was wyciągnięte podczas rozmowy telefonicznej.

„Firma może wydać setki tysięcy dolarów na zapory sieciowe, szyfrowanie i inne technologie bezpieczeństwa, jednak, jeżeli atakujący znajdzie choć jedną podatną na sugestie osobę wewnątrz organizacji, i osoba ta pozwoli sobą manipulować, wszystkie te pieniądze wyłożone na ochronę będą zmarnowaną inwestycją” Kevin Mitnick.

Jedną z najpopularniejszych obecnie metod pozyskiwania poufnych informacji jest wspomniany phishing, czyli rodzaj komputerowego oszustwa, które opiera się na socjotechnice.

PHISHING-
Metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucje w celu wyłudzenia poufnych informacji, zainfekowania komputera czy też nakłonienia ofiary do określonych działań

Wiadomość od oszusta skłania nas do wykonania określonej czynności. Powinniśmy więc zwrócić uwagę, gdy w treści jesteśmy proszeni o:

Kliknięcie w link przekierowujący do zainfekowanej strony internetowej
(np. fałszywej strony logowania / oferującej ściągnięcie darmowej aplikacji na wybrany model telefonu itp.);

Pobranie zainfekowanego pliku;

Przesłanie określonych informacji pod wskazany adres e-mail;

Wypełnienie formularza z danymi osobowymi w celu wzięcia udziału w konkursie/ otrzymania nagrody itp.

 

Prawie wszyscy– choć w różnym stopniu – jesteśmy podatni na socjotechnikę.

 

Bardzo dobrym narzędziem dla phishera jest gra na emocjach- „Najskuteczniejsze phishingowe wiadomości e-mail zostały zaprojektowane w taki sposób, aby wywołać u odbiorcy pewne emocje. Może to być ciekawość lub strach, ale też poczucie palącej konieczności podjęcia szybkiej reakcji na otrzymaną wiadomość. - informuje Elżbieta Kornaś.

 

Phisher może także wykorzystać zamieszanie wokół jakiegoś tematu lub wydarzenia.

 

Aby trafić do tych użytkowników, którzy są bardziej świadomi oszustw phisherów, cyberprzestępcy używają jeszcze innego skutecznego narzędzia, posiadającego ogromny zasięg dzięki kontom przyjaciół ofiar – jak to na przykład się dzieje w przypadku sieci społecznościowych. W ostatnim czasie na pewno spotkaliście się z dziwnymi wiadomościami od znajomych z komunikatora, którzy rzekomo widzieli nas w telewizji i przesyłają link. Jest to oczywiście fałszywa informacja z fałszywym linkiem.

 

Inną owocną metodą, w wyniku której ofiary klikają odnośniki phishingowe, jest tworzenie poczucia powagi sytuacji i paniki. Zdarza się to wtedy, gdy oszust w mailu grozi swojej ofierze udostępnieniem fałszywego filmiku i każe wpłacić odpowiednią sumę pieniędzy w celu uciszenia sprawy, lub grozi zablokowaniem konta bankowego, jeśli ofiara nie ureguluje długów.

 

Jednym z głównych powodów, dlaczego phishing jest taki skuteczny, jest nieustanna ewolucja techniki phishingowej, która jest coraz bardziej wyszukana.

„To, co robiłem w młodości, teraz jest sto razy łatwiejsze. Technologia rodzi przestępstwa” – Frank William Abagnale

 

„Policja nie może chronić wszystkich. Musimy być bardziej świadomi i posiadać obszerniejszą wiedzę na temat kradzieży tożsamości. Musimy być mądrzejsi i sprytniejsi. Nie ma też nic złego w byciu sceptycznym. Jeżeli sprawimy, że coś będzie nam można łatwo ukraść, ktoś z pewnością to ukradnie” – Frank William Abagnale.

 

Jak się obronić przed phishingiem?

Zachowaj spokój, zdrowy rozsądek, miej dystans do otrzymywanych wiadomości

Zwiększ swoją czujność co do linków

Pobieraj pliki tylko z zaufanych stron

Pamiętaj, że żaden pracownik banku nie może wymagać danych karty kredytowej czy hasła do konta

Aktualizuj na bieżąco przeglądarkę internetową, aplikacje, system operacyjny oraz oprogramowanie zabezpieczające urządzenie

Weryfikuj nadawcę (np. adres e-mail), temat i treść wiadomości

Unikaj automatycznych odpowiedzi przy wypełnianiu formularzy

 

Dodatkowo, warto pamiętać, że informacje, które umieszczamy publicznie online (Facebook, Instagram itp.), mogą znacznie pomóc przestępcom w połączeniu punktów prowadzących do naszej prawdziwej tożsamości.

Coraz częściej mamy do czynienia z phishingiem ukierunkowanym, gdzie cyberprzestępcy wykorzystują szczegółowe informacje, aby dotrzeć do konkretnych odbiorców. Nawet lista życzeń w sklepie internetowym może dać socjotechnikowi narzędzie, które pozwoli na przeprowadzenie skutecznego ataku.

 


Dodaj komentarz

komentarz dodany do poczekalni



Masz ciekawy temat?

Chcesz, żebyśmy opisali Twoją historię albo zajęli się jakimś problemem?

Napisz do nas!

wspolpraca@bsafer.pl

Wyszukiwanie informacji w bazie danych