Co to jest inżynieria społeczna?

Inżynieria społeczna to zjawisko, które można również spotkać pod mianem „socjotechnika”. Definicja pojęcia mówi o tym, że jest to sztuka przekonywania osób do podjęcia pewnych działań – nawet wbrew ich własnemu dobru. Oszuści posługujący się socjotechnikami osiągają swoje cele, wykorzystując naturalne ludzkie wrażenia i odczucia – stres, zaufanie czy chciwość.

Chociaż postępujący rozwój technologii przynosi wiele dobrego, to stanowi on również pole do popisu dla przestępców wykorzystujących właśnie inżynierię społeczną. Nierzadko wiąże się to z wykorzystaniem złośliwego oprogramowania. Jakie są rodzaje ataków socjotechnicznych, jak je rozpoznać oraz jak się przed nimi uchronić?

Phishing to socjotechnika polegająca na rozsyłaniu wiadomości elektronicznych przez oszustów podszywających się pod organizacje społeczne, banki czy różnego rodzaju zaufane instytucje. Celem cyberprzestępców wykorzystujących phishing jest nakłonienie ofiary do pobrania złośliwego oprogramowania zawartego w załączniku maila bądź otworzenia podejrzanego odnośnika. Wirusy i fałszywe strony internetowe nierzadko wykradają poufne informacje, dane logowania, a nawet numery kart płatniczych.

Oto najpowszechniej występujące elementy e-maili phishingowych:

• załączniki – maile phishingowe mogą zawierać fałszywe faktury, potwierdzenia zamówień czy zaproszenia na wydarzenia. Otwarcie phishingowego załącznika może skutkować na przykład pobraniem na urządzenie złośliwego oprogramowania, którego celem jest wykradanie poufnych danych. Jeśli nie jesteś pewien, czy mail, który otrzymałeś, jest godny zaufania, osobiście skontaktuj się z nadawcą, dzwoniąc lub wysyłając nową wiadomość e-mail (ale nie używając opcji Odpowiedz przy potencjalnie sfałszowanej wiadomości);
• odnośniki – niektórzy cyberprzestępcy stosujący socjotechniki korzystają ze specjalnie utworzonych witryn internetowych, które imitują inne, godne zaufania i popularne strony. Oszuści wysyłają hurtowe wiadomości z linkami do złośliwych witryn, prosząc odbiorców o zalogowanie się do profilu albo potwierdzenie danych osobowych. Fałszywe strony internetowe najczęściej wykradają podane dane albo zawierają złośliwe oprogramowanie. Jak chronić się przed tym rodzajem ataku? Najprościej najechać kursorem na link i sprawdzić, czy wygląda normalnie. Podrobione odnośniki mogą zawierać literówki (np. Netflx zamiast Netflix) albo nie mieć przedrostka „https” informującego o zabezpieczeniach witryny;
• fałszywi nadawcy – ustawienie nazwy nadawcy w opcjach poczty elektronicznej nie jest trudne. Oszuści podszywający się pod firmy i organizacje korzystają z tej opcji, nadając sobie nazwy budzące zaufanie – Netflix, Amazon i inne. Jak sprawdzić, czy mail został wysłany przez uczciwą firmę? Wystarczy najechać kursorem na pole Nadawca, by podejrzeć adres mailowy wysyłającego wiadomość. Adresy z końcówką gmail.com czy o2.pl najpewniej należą do osób prywatnych – korporacje korzystają bowiem z własnych domen.

Spear phishing to socjotechnika będąca podtypem phishingu. Jaka jest różnica między tymi dwoma pojęciami? Podczas gdy maile phishingowe są skierowane do setek lub tysięcy użytkowników, wiadomości spear phishingowe bywają „skrojone na miarę”. Stworzenie skutecznej kampanii spear phishingowej wymaga od oszusta poświęcenia bardzo dużej ilości czasu i energii, ale efekty nierzadko przynoszą mu ogromne korzyści. Maile spear phishingowe są skierowane do małych grup albo nawet pojedynczych użytkowników. Ich nadawcy podszywają się pod osoby godne zaufania – współpracowników, kadrę kierowniczą czy znajomych.

Skąd cyberprzestępcy wiedzą, kto jest szefem ich ofiar? Media społecznościowe stanowią w tym wypadku prawdziwe kopalnie wiedzy – niektórzy ludzie udostępniają w nich więcej cennych informacji niż im się wydaje. Jeśli chwalisz się na Instagramie, że pracujesz w dużej korporacji – znalezienie nazwiska jej prezesa i skierowanie do Ciebie spersonalizowanego maila z prośbą o podanie poufnych danych nie stanowi problemu dla oszusta.

Jak rozpoznać maila wysłanego przez fałszywego nadawcę?

• zadaj sobie pytanie, czy treść maila brzmi wiarygodnie (zastanów się na przykład, czy prezes Twojej firmy prosiłby Cię o przekazanie mu funduszy);
• sprawdź adres nadawcy;
• jeśli wszystko wygląda dobrze, ale masz wątpliwości – skontaktuj się osobiście z nadawcą bez używania opcji Odpowiedz w potencjalnie szkodliwym mailu.

Pretexting (gra słów; ang. pretext – pretekst, text – wysyłać wiadomość tekstową) to socjotechnika podobna do phishingu. Oszust wykorzystujący tę metodę inżynierii społecznej buduje dobre stosunki z ofiarą i jej zaufanie.

Pretexting wymaga bardzo dużego zaangażowania w research ze strony cyberprzestępców. Niektórzy z nich udają znajomych lub współpracowników swoich ofiar, wymyślając skomplikowane scenariusze i posługując się branżowym językiem po to, by zdobyć zaufanie docelowych osób. Stopień skomplikowania kampanii pretextingowych sprawia, że trudno od razu rozpoznać próbę oszustwa. Jeśli jednak Twój kolega prosi Cię o podanie poufnych danych – nie bój się skontaktować z nim poprzez inny kanał komunikacji i zapytać, czy to rzeczywiście on.

Vishing jest odmianą socjotechniki, będącą jednocześnie podtypem phishingu. Różnica polega na wykorzystaniu innego kanału komunikacji – podczas gdy oszuści phishingowi wysyłają maile, osoby stosujące vishing kontaktują się ze swoimi ofiarami telefonicznie, podszywając się pod organizacje godne zaufania. Mogą wysyłać SMS-y albo wykonywać połączenia, imitując numery telefonów należące do korporacji lub nawet korzystając z syntezatorów mowy maskujących ich prawdziwy głos.

Oszuści posługujący się vishingiem korzystają z różnorakich pretekstów do pozyskania danych osobowych ofiar – informują na przykład o podejrzanej aktywności na koncie bankowym albo niespłaconych rachunkach czy wygranych w nieistniejących konkursach. Jak upewnić się, że nie dzwoni do Ciebie naciągacz?

• Zastanów się, czy kojarzysz organizację, która się z Tobą kontaktuje i czy masz z nią cokolwiek wspólnego.
• Przemyśl czy osoba dzwoniąca proponuje Ci realistyczny zysk – być może wcale nie brałeś udziału w żadnym konkursie albo wygrana brzmi podejrzanie.
• Jeśli potencjalny oszust informuje Cię o zaległościach w spłacie długów czy rachunków – zastanów się, czy takie zobowiązania są możliwe w Twoim wypadku. Jeśli nie jesteś pewien, skontaktuj się z instytucją osobiście.

Catfishing to popularna technika inżynierii społecznej, w której oszuści wykorzystują cudze zdjęcia i dane osobowe do kreowania profili w mediach społecznościowych. Takie fałszywe profile mogą posłużyć do nękania innych osób albo wprowadzania ich w błąd (na przykład na portalach randkowych). Niektórzy przestępcy stosują stworzone przez siebie profile także do wyłudzania pieniędzy od nowo poznanych ludzi.

Nawiązywanie przyjaźni przez Internet jest proste i przyjemne, ale warto pamiętać o podstawowych zasadach bezpieczeństwa. Nigdy nie podawaj poufnych danych świeżo poznanym osobom i zwracaj uwagę na potencjalne sygnały ostrzegawcze, takie jak:

• nagminne rezygnowanie z osobistych spotkań w ostatniej chwili,
• tworzenie łzawych historii z prośbami o przekazanie funduszy,
• powtarzające się unikanie rozmów z użyciem kamerki internetowej, telefonu czy czatu głosowego,
• proponowanie pierwszego spotkania w domu zamiast w miejscu publicznym.

Baiting (ang. zastawianie przynęty) to metoda socjotechniczna polegająca na zastawianiu pułapki w celu zainfekowania urządzenia złośliwym oprogramowaniem. Dawniej, gdy nośniki USB cieszyły się dużą popularnością, cyberprzestępcy celowo zostawiali pendrive’y w publicznych miejscach. Dyski przenośne były opatrzone takimi etykietami jak Pensje 2015 czy Filmy. Ofiara, która znalazła pamięć USB, podłączała ją do swojego komputera kierowana zwyczajną ciekawością. Pendrive’y oczywiście nie zawierały raportów firmowych ani filmów, lecz złośliwe oprogramowanie.

Chociaż pamięć USB jest mniej popularna niż dawniej, oszuści wciąż stosują baiting. Jako przynętę wykorzystują na przykład pliki udostępniane przez sieć P2P. Pobieranie plików przez Internet zawsze wiąże się z ryzykiem, ale możesz je nieco zmniejszyć, upewniając się, że korzystasz z bezpiecznych stron, a nie fałszywych mirrorów, czyli „lustrzanych odbić” łudząco przypominających zaufane witryny. Ponadto nie zapomnij o sprawdzeniu typu pobieranego pliku oraz regularnym aktualizowaniu oprogramowania antywirusowego.

Atak quid pro quo (łac. coś za coś) polega na manipulowaniu ofiarą w taki sposób, by przekonać ją do podjęcia jakiegoś działania, oferując pewną korzyść. Znane oszustwo na „nigeryjskiego księcia” było właśnie atakiem quid pro quo – ofiary otrzymywały wiadomość informującą je o tym, że zostały spadkobiercą księcia z Nigerii. Aby otrzymać pieniądze, miały podać nadawcy swoje dane bankowe.

Chociaż ten rodzaj przekrętu brzmi zabawnie, to cyberprzestępcy wciąż nabierają niczego nieświadome ofiary na przekazywanie danych osobowych w zamian za skorzystanie z jakiejś usługi. Popularne jest oferowanie napraw informatycznych (aktualizacji oprogramowania, przyspieszania urządzenia). Oszust informuje użytkownika o tym, że by rozwiązać problem, musi otrzymać pozwolenie na zdalny dostęp do komputera – stąd natomiast już prosta droga do pozyskania cennych plików i poufnych danych lub zainstalowania złośliwego oprogramowania.

Tzw. contact spamming to stara, lecz skuteczna metoda inżynierii społecznej. Posługujący się nią przestępcy dokonują włamań do poczt elektronicznych oraz profili społecznościowych swoich ofiar, a następnie kierują wiadomości do ich znajomych i zapisanych kontaktów. Notatki są zazwyczaj krótkie i proste – może to być zwykłe zdanie w stylu Obejrzyj ten filmik i dołączony do niego odnośnik.

Linki zawarte w fałszywych wiadomościach oczywiście nie kierują do zabawnych filmików, lecz zawierają złośliwe oprogramowanie. Urządzenie ofiary, która wejdzie w odnośnik, zostaje zainfekowane wirusem, a ten może powodować rozpowszechnianie wiadomości do kolejnych osób.

• Zachowaj czujność – zawsze sprawdzaj tożsamość osoby, która się z Tobą kontaktuje. Zwracaj uwagę na adresy mailowe.
• Zadawaj pytania – jeśli nie masz pewności co do tożsamości nadawcy wiadomości – skontaktuj się z nim inną drogą. Nawet jeżeli wydaje Ci się, że osoba brzmi na godną zaufania – nie bój się zadawać pytań.
• Nie bagatelizuj znaczenia oprogramowania – dbaj o regularne aktualizowanie systemów na swoich urządzeniach, zaopatrz się w porządny program antywirusowy, zainstaluj wtyczki do przeglądarek.
• Zapoznaj się z metodami inżynierii społecznej – jeśli kontrolujesz zespół pracowników, zadbaj o ich szkolenie w zakresie cyberbezpieczeństwa. Łatwiej uniknąć zagrożenia wtedy, gdy wie się, jak je rozpoznać.
• Uważnie czytaj wiadomości – korporacje wysyłające maile biznesowe zawsze sprawdzają je pod kątem poprawności gramatycznej i interpunkcyjnej. Hakerzy – niekoniecznie. Jeśli otrzymałeś wiadomość od Amazon i znalazłeś w niej błędy ortograficzne – wspomniana firma prawdopodobnie nie jest nadawcą.
• Zwracaj uwagę na to, co udostępniasz – nie dziel się całym swoim życiem z Internetem. Niektóre informacje – takie jak dokładne miejsce zamieszkania czy pracodawca – powinny pozostać prywatne. Przestępcy mogą je łatwo wykorzystać do stworzenia spersonalizowanego oszustwa.
• Korzystaj z usługi VPN – VPN pomoże zamaskować Twoją tożsamość i przeszkodzi hakerom chcącym pozyskać Twoje dane – szczególnie podczas korzystania z publicznych sieci Wi-Fi.
  Dodatkowo funkcja Threat Protection, zaprojektowana przez NordVPN, potrafi rozpoznawać potencjalnie szkodliwe witryny i w porę powiadomić użytkownika o zagrożeniach. Co więcej — za każdym razem, kiedy pobierzesz plik, zostanie on przeskanowany pod kątem złośliwego oprogramowania, aby ochronić Twoje urządzenie. Dowiedz się więcej na temat aplikacji anti-malware.