Większości osób wydaje się, że jest zbyt przebiegła i świadoma, by paść ofiarą ataku socjotechnicznego. Jak się jednak okazuje, przestępcy stosujący socjotechniki wciąż mają się dobrze. Inżynieria społeczna wykorzystuje bowiem zaawansowane metody manipulacyjne i nie tylko. Dowiedz się, jak rozpoznać próbę ataku i co zrobić, by nie wpaść w pułapkę oszusta.
Spis treści
Inżynieria społeczna to zjawisko, które można również spotkać pod mianem „socjotechnika”. Definicja pojęcia mówi o tym, że jest to sztuka przekonywania osób do podjęcia pewnych działań – nawet wbrew ich własnemu dobru. Oszuści posługujący się socjotechnikami osiągają swoje cele, wykorzystując naturalne ludzkie wrażenia i odczucia – stres, zaufanie czy chciwość.
Chociaż postępujący rozwój technologii przynosi wiele dobrego, to stanowi on również pole do popisu dla przestępców wykorzystujących właśnie inżynierię społeczną. Nierzadko wiąże się to z wykorzystaniem złośliwego oprogramowania. Jakie są rodzaje ataków socjotechnicznych, jak je rozpoznać oraz jak się przed nimi uchronić?
Phishing to socjotechnika polegająca na rozsyłaniu wiadomości elektronicznych przez oszustów podszywających się pod organizacje społeczne, banki czy różnego rodzaju zaufane instytucje. Celem cyberprzestępców wykorzystujących phishing jest nakłonienie ofiary do pobrania złośliwego oprogramowania zawartego w załączniku maila bądź otworzenia podejrzanego odnośnika. Wirusy i fałszywe strony internetowe nierzadko wykradają poufne informacje, dane logowania, a nawet numery kart płatniczych.
Oto najpowszechniej występujące elementy e-maili phishingowych:
Zawsze korzystaj z aplikacji NordVPN, by chronić swoje poufne dane online. Usługa szyfruje informacje w ruchu, kryjąc je przed dostawcami Internetu i instytucjami rządowymi.
Kup NordVPNSpear phishing to socjotechnika będąca podtypem phishingu. Jaka jest różnica między tymi dwoma pojęciami? Podczas gdy maile phishingowe są skierowane do setek lub tysięcy użytkowników, wiadomości spear phishingowe bywają „skrojone na miarę”. Stworzenie skutecznej kampanii spear phishingowej wymaga od oszusta poświęcenia bardzo dużej ilości czasu i energii, ale efekty nierzadko przynoszą mu ogromne korzyści. Maile spear phishingowe są skierowane do małych grup albo nawet pojedynczych użytkowników. Ich nadawcy podszywają się pod osoby godne zaufania – współpracowników, kadrę kierowniczą czy znajomych.
Skąd cyberprzestępcy wiedzą, kto jest szefem ich ofiar? Media społecznościowe stanowią w tym wypadku prawdziwe kopalnie wiedzy – niektórzy ludzie udostępniają w nich więcej cennych informacji niż im się wydaje. Jeśli chwalisz się na Instagramie, że pracujesz w dużej korporacji – znalezienie nazwiska jej prezesa i skierowanie do Ciebie spersonalizowanego maila z prośbą o podanie poufnych danych nie stanowi problemu dla oszusta.
Jak rozpoznać maila wysłanego przez fałszywego nadawcę?
Pretexting (gra słów; ang. pretext – pretekst, text – wysyłać wiadomość tekstową) to socjotechnika podobna do phishingu. Oszust wykorzystujący tę metodę inżynierii społecznej buduje dobre stosunki z ofiarą i jej zaufanie.
Pretexting wymaga bardzo dużego zaangażowania w research ze strony cyberprzestępców. Niektórzy z nich udają znajomych lub współpracowników swoich ofiar, wymyślając skomplikowane scenariusze i posługując się branżowym językiem po to, by zdobyć zaufanie docelowych osób. Stopień skomplikowania kampanii pretextingowych sprawia, że trudno od razu rozpoznać próbę oszustwa. Jeśli jednak Twój kolega prosi Cię o podanie poufnych danych – nie bój się skontaktować z nim poprzez inny kanał komunikacji i zapytać, czy to rzeczywiście on.
Vishing jest odmianą socjotechniki, będącą jednocześnie podtypem phishingu. Różnica polega na wykorzystaniu innego kanału komunikacji – podczas gdy oszuści phishingowi wysyłają maile, osoby stosujące vishing kontaktują się ze swoimi ofiarami telefonicznie, podszywając się pod organizacje godne zaufania. Mogą wysyłać SMS-y albo wykonywać połączenia, imitując numery telefonów należące do korporacji lub nawet korzystając z syntezatorów mowy maskujących ich prawdziwy głos.
Oszuści posługujący się vishingiem korzystają z różnorakich pretekstów do pozyskania danych osobowych ofiar – informują na przykład o podejrzanej aktywności na koncie bankowym albo niespłaconych rachunkach czy wygranych w nieistniejących konkursach. Jak upewnić się, że nie dzwoni do Ciebie naciągacz?
Catfishing to popularna technika inżynierii społecznej, w której oszuści wykorzystują cudze zdjęcia i dane osobowe do kreowania profili w mediach społecznościowych. Takie fałszywe profile mogą posłużyć do nękania innych osób albo wprowadzania ich w błąd (na przykład na portalach randkowych). Niektórzy przestępcy stosują stworzone przez siebie profile także do wyłudzania pieniędzy od nowo poznanych ludzi.
Nawiązywanie przyjaźni przez Internet jest proste i przyjemne, ale warto pamiętać o podstawowych zasadach bezpieczeństwa. Nigdy nie podawaj poufnych danych świeżo poznanym osobom i zwracaj uwagę na potencjalne sygnały ostrzegawcze, takie jak:
Baiting (ang. zastawianie przynęty) to metoda socjotechniczna polegająca na zastawianiu pułapki w celu zainfekowania urządzenia złośliwym oprogramowaniem. Dawniej, gdy nośniki USB cieszyły się dużą popularnością, cyberprzestępcy celowo zostawiali pendrive’y w publicznych miejscach. Dyski przenośne były opatrzone takimi etykietami jak Pensje 2015 czy Filmy. Ofiara, która znalazła pamięć USB, podłączała ją do swojego komputera kierowana zwyczajną ciekawością. Pendrive’y oczywiście nie zawierały raportów firmowych ani filmów, lecz złośliwe oprogramowanie.
Chociaż pamięć USB jest mniej popularna niż dawniej, oszuści wciąż stosują baiting. Jako przynętę wykorzystują na przykład pliki udostępniane przez sieć P2P. Pobieranie plików przez Internet zawsze wiąże się z ryzykiem, ale możesz je nieco zmniejszyć, upewniając się, że korzystasz z bezpiecznych stron, a nie fałszywych mirrorów, czyli „lustrzanych odbić” łudząco przypominających zaufane witryny. Ponadto nie zapomnij o sprawdzeniu typu pobieranego pliku oraz regularnym aktualizowaniu oprogramowania antywirusowego.
Atak quid pro quo (łac. coś za coś) polega na manipulowaniu ofiarą w taki sposób, by przekonać ją do podjęcia jakiegoś działania, oferując pewną korzyść. Znane oszustwo na „nigeryjskiego księcia” było właśnie atakiem quid pro quo – ofiary otrzymywały wiadomość informującą je o tym, że zostały spadkobiercą księcia z Nigerii. Aby otrzymać pieniądze, miały podać nadawcy swoje dane bankowe.
Chociaż ten rodzaj przekrętu brzmi zabawnie, to cyberprzestępcy wciąż nabierają niczego nieświadome ofiary na przekazywanie danych osobowych w zamian za skorzystanie z jakiejś usługi. Popularne jest oferowanie napraw informatycznych (aktualizacji oprogramowania, przyspieszania urządzenia). Oszust informuje użytkownika o tym, że by rozwiązać problem, musi otrzymać pozwolenie na zdalny dostęp do komputera – stąd natomiast już prosta droga do pozyskania cennych plików i poufnych danych lub zainstalowania złośliwego oprogramowania.
Tzw. contact spamming to stara, lecz skuteczna metoda inżynierii społecznej. Posługujący się nią przestępcy dokonują włamań do poczt elektronicznych oraz profili społecznościowych swoich ofiar, a następnie kierują wiadomości do ich znajomych i zapisanych kontaktów. Notatki są zazwyczaj krótkie i proste – może to być zwykłe zdanie w stylu Obejrzyj ten filmik i dołączony do niego odnośnik.
Linki zawarte w fałszywych wiadomościach oczywiście nie kierują do zabawnych filmików, lecz zawierają złośliwe oprogramowanie. Urządzenie ofiary, która wejdzie w odnośnik, zostaje zainfekowane wirusem, a ten może powodować rozpowszechnianie wiadomości do kolejnych osób.
Bezpieczeństwo online zaczyna się od jednego kliknięcia.
Zachowaj bezpieczeństwo, wybierając VPN dominujący na całym świecie