Atak socjotechniczny – czym jest i jak się przed nim bronić?

0

Na wnuczka, na policjanta, na BLIK – co chwilę słyszy się o nowych sposobach wyłudzania danych i/lub pieniędzy. Obok skimmingu karty to niestety popularny sposób kradzieży pieniędzy. Dlatego oprócz poniższego artykułu zachęcamy do przeczytania zasad bezpiecznego korzystania z rachunku bankowego. Gdy ktoś padnie ofiarą tego typu przestępstwa, osoby postronne zawsze się zastanawiają: Czy dany klient był rzeczywiście tak naiwny. Czy może to przestępcy są tak przebiegli? Z pewnością ci drudzy wiedzą, czym jest atak socjotechniczny i jak przebiega. Dodatkowo polecamy nasz artykuł – Oszustwa internetowe, czyli jak próbują nas okraść. Tam podajemy więcej praktycznych przykładów takich działań i jest to dobre uzupełnienie do poniższej teorii.

Socjotechnika – co to jest?

Pod pojęciem socjotechniki kryją się różne metody manipulacji jednostką lub grupą ludzi, które mają na celu wykreowanie pożądanego zachowania. Zazwyczaj chodzi o przekazanie informacji, ujawnienie poufnych danych (np. dane do logowania) lub podjęcie konkretnego działania.

Choć często socjotechniką posługują się cyberprzestępcy, na ataki socjotechniczne jesteśmy narażeni nie tylko w sieci. Możemy paść ich ofiarą nawet podczas zwykłej rozmowy w cztery oczy. Oszuści wykorzystują różne kanały komunikacji, by dopiąć swego. Może to być, np.:

  • rozmowa telefoniczna;
  • SMS;
  • e-mail;
  • sfałszowana strona internetowa;
  • wiadomość na portalu społecznościowym;
  • komunikator internetowy.

Przestępcy nie potrzebują zaawansowanych technologii, by pozyskać nasze dane. W przypadku ataku socjotechnicznego przydaje się wiedza, jak grać na naszych emocjach oraz umiejętności aktorskie i perswazyjne.

Kto pada ofiarą kradzieży pieniędzy z konta bankowego?

Praktycznie każdy z nas sądzi, iż jego to nie dotyczy. Przecież nie nabrałby się na tak trywialne wyłudzenie. Nic bardziej mylnego – statystyki mówią zupełnie coś innego. Ofiarami takich przestępstw nie są jedynie naiwni staruszkowie, ale cały przekrój społeczeństwa. Statystyki bankowe i policyjne jasno wskazują, iż ofiary to rozkład normalny społeczeństwa. Tym samym tak jak liczna jest dana grupa społeczna, tak liczne są ofiary tego typu przestępstw w tej grupie. Na policje zgłaszają się ludzie wykształceni, niewykształceni, starzy, młodzi, kobiety i mężczyźni. O emerytach słyszymy tak dużo, ponieważ w Polsce żyje 8,8 mln osób w wieku powyżej 60 lat. To prawie 1/4 ludności Polski. Warto mieć to na uwadzę, ponieważ jutro to my możemy iść ze zgłoszeniem na policję.

Jakie sztuczki stosują przestępcy? Typy ataków socjotechnicznych.

Świadomość tego, jakich metod używają przestępcy, może uchronić nas przed wpadnięciem w pułapkę. Poniżej podajemy przykłady najpopularniejszych rodzajów ataków socjotechnicznych.

Pretexting – atak z pretekstem

Pretexting najczęściej przybiera formę rozmowy telefonicznej, ale dotyczy także kontaktu osobistego. Napastnik może podawać się za pracownika jakiejś instytucji (banku, spółdzielni mieszkaniowej, firmy kurierskiej itp.), klienta lub nawet znajomego. Tworzy skrupulatnie zaplanowaną historię (pretekst), by zdobyć poufne informacje.

Najczęściej zbiera je stopniowo, np. najpierw potwierdzi nasze imię i nazwisko, adres e-mail, czy inne łatwo dostępne dane. Posługuje się przy tym branżowym językiem, a w tle możemy słyszeć, np. biurowe odgłosy. Dzięki temu uwiarygadnia swój pretekst i buduje zaufanie ofiary.

Phishing, czyli oszustwo mailowe

Ania właśnie odebrała e-mail ze swojego banku. Okazuje się, że dostęp do jej konta bankowego został zablokowany ze względów bezpieczeństwa. By uzyskać więcej informacji i odblokować konto, wystarczy kliknąć we wskazany link. Ania od razu chce dowiedzieć się, o co chodzi, więc postępuje według instrukcji.

Ania właśnie padła ofiarą phishingu. Polega on na rozsyłaniu masowych e-maili, które na pierwszy rzut oka wyglądają na prawdziwe. Przestępca udaje zaufanego adresata (bank, Urząd Skarbowy, GUS, dostawca usług, kurier itp.), by wyłudzić informacje i/lub zainfekować urządzenie. Ania, kierując się strachem o swoje oszczędności, tak naprawdę podała je przestępcom na tacy.

Istnieje kilka odmian phishingu:

Spear phishing lub whaling, czyli phishing ukierunkowany (spersonalizowany)

E-mail zawiera szczegóły dotyczące odbiorcy. Chodzi bowiem o dotarcie do konkretnej ofiary, która w oczach przestępcy jest bardziej wartościowa. Najczęściej ataki kierowane są w stronę celebrytów, osób wysoko postawionych lub tych, które odpowiadają w firmie za wysokokwotowe przelewy

Vishing, czyli phishing głosowy

Vishing polega na wyłudzaniu informacji podczas rozmowy telefonicznej i/lub skłonieniu do podjęcia działania. Wyobraźmy sobie sytuację, że dzwoni do nas osoba podająca się za pracownika banku. Pyta, czy potwierdzamy przelew na taką i taką kwotę. Kiedy zaskoczeni mówimy, że nie wysyłaliśmy żadnego przelewu, nasz rozmówca informuje nas o sposobie na zatrzymanie transakcji. Trzeba, np. natychmiast podać dane do logowania, zainstalować konkretną aplikację, kliknąć w link w e-mailu itp.

Smishing, czyli SMS-y phishingowe

Jednym z popularniejszych przykładów tego typu ataku są wiadomości o dopłacie drobnej kwoty, np. za przesyłkę, by mogła ruszyć dalej w drogę lub za zaległości podatkowe, by uniknąć egzekucji. Podczas pandemii koronawirusa popularne były fałszywe SMS-y (niby z Ministerstwa Zdrowia) ze skierowaniem na kwarantannę lub dotyczące wsparcia żywieniowego.

Ataki phishingowe mogą dotyczyć także:

  • komunikatorów internetowych, np. Messenger – przestępca podszywa się pod znajomego (jego konto zostało wcześniej zhakowane) i prosi o pożyczkę lub wysyła, np. filmik, który można zobaczyć po kliknięciu w załączony link (czyt. wirus).
  • portali ogłoszeniowych (np. OLX, Vinted) – potencjalny zainteresowany chętnie zakupi przedmiot, jeśli płatność zostanie zrealizowana poza serwisem (np. podsuwa link, gdzie można przeprowadzić transakcję).

Spoofing

Przestępcy przy pomocy różnych technik i narzędzi „wypożyczają” numery telefonu, domeny, adresy e-mail i podszywają się pod wybraną osobę, firmę, bank, czy instytucję państwową w celu wyłudzenia informacji i/lub pieniędzy.

Wyobraźmy sobie sytuację, że dzwoni do nas pracownik Urzędu Skarbowego. Numer telefonu jest taki sam jak na oficjalnej stronie internetowej. Informuje nas o zaległościach podatkowych. Jeśli nie uregulujemy ich w ciągu 48h – sprawa trafi do komornika. Za chwilę proponuje nam pomoc w rozwiązaniu sytuacji przez telefon. Wystarczy, że podamy dane karty lub uregulujemy płatność przez podany link/aplikację.

Jeśli przestraszymy się i damy sobie „pomóc”, napastnik przejmie kontrolę nad naszym urządzeniem, a następnie wyczyści konto bankowe.

To tylko jeden z wielu możliwych scenariuszy. Ten rodzaj ataku socjotechnicznego jest trudny do wykrycia, ponieważ połączenia, wiadomości, czy strony internetowe wyglądają jak prawdziwe. W rzeczywistości są spreparowane.

Oszustwa romansowe

Atakujący przyjmuje fałszywą tożsamość w Internecie. Próbuje wzbudzić zaufanie i rozkochać w sobie ofiarę. Stosuje przy tym różne techniki manipulacyjne, by zdobyć informacje i/lub okraść swój „cel”. Świetnym przykładem takiego działania był Simon Leviev (Oszust z Tindera), o którym netflix nakręcił serial dokumentalny

Przynęta (baiting)

Ten typ ataku może przypominać phishing, jednak przestępca próbuje zachęcić swoją ofiarę kuszącą obietnicą (np. bon na zakupy, pieniądze) w zamian za dane.

Na pewno każdy z nas chociaż raz dostał SMS-a z informacją o wylosowaniu głównej nagrody w loterii (mimo że nie braliśmy w niej udziału). Wystarczy tylko wypełnić formularz, by ją odebrać. W rzeczywistości nie kryją się za tym dla nas żadne profity.

Atak za pomocą przynęty może przyjąć różne formy. Uważajmy nie tylko na podejrzane wiadomości i rozmowy telefoniczne, ale także na wyskakujące reklamy w Internecie.

Po czym poznać atak socjotechniczny?

Choć przestępcy próbują różnymi sposobami opanować umysł swojej ofiary, często da się rozpoznać atak socjotechniczny. Czerwona lampka powinna się nam zapalić, gdy:

  1. Wiadomość zaczyna się ogólnym zwrotem takim jak: „Szanowny kliencie”; „Drogi kliencie” itp.

Taki wstęp jest typowy dla e-maili, czy SMS-ów rozsyłanych masowo. Zazwyczaj legalne instytucje znają podstawowe dane swoich klientów i  zwracają się do nich po imieniu (czasem dołączają także nazwisko).

  • E-mail został wysłany z dziwnego adresu.

Adresy popularnych firm, banków, czy instytucji państwowych mają proste adresy e-mail. Jeśli adres nadawcy jest nieskładnym zlepkiem znaków, lepiej zignorować taką wiadomość. Przestępcy są, jednak sprytni. Potrafią używać podobnie brzmiących adresów, zmieniając jedynie szyk wyrazów, duplikując lub usuwając litery, np. alllegro zamiast allegro itp.

  • Jesteśmy proszeni o zainstalowanie jakiegoś oprogramowania, podanie danych do logowania, danych karty lub innych poufnych informacji.

Pracownik banku lub urzędnik musi przestrzegać procedur bezpieczeństwa. Nigdy nie poprosi o podanie informacji, które powinien znać wyłącznie klient.

  • Musimy natychmiast podjąć działanie pod groźbą przykrych konsekwencji.

Działając pod presją czasu, tracimy zdrowy rozsądek i podejmujemy pochopne decyzje (ujawniamy hasło, klikamy w link). Właśnie o to chodzi napastnikowi.

  • Rozmówca chce pomóc „na siłę”.

Najpierw atakujący przedstawia problem, straszy konsekwencjami, a następnie oferuje swoją pomoc. Nalega mimo naszej odmowy.

  • Wiadomość zawiera błędy.

Cyberprzestępcy mogą pochodzić z różnych stron świata. Rozsyłane przez nich komunikaty często zawierają błędy ortograficzne, gramatyczne i składniowe.

  • Coś wygląda zbyt pięknie, żeby było prawdziwe.

Obietnica łatwego zysku małym kosztem w rzeczywistości może mieć wysoką cenę, np. w postaci oszczędności całego życia.

Kontrola podstawą zaufania, czyli jak bronić się przed atakiem socjotechnicznym?

Nie da się uchronić przed atakami socjotechnicznymi, ale można je skutecznie odpierać. „Najlepszą obroną jest atak”, ale nie w tym przypadku :). Tu potrzebny będzie zdrowy rozsądek i zasada ograniczonego zaufania. Jak wdrożyć to w praktyce? Przedstawiamy kilka sposobów.

  1. Zakończ rozmowę, jeśli coś Cię zaniepokoi (po prostu się rozłącz).
  2. Nie klikaj w linki i nie instaluj oprogramowania nieznanego pochodzenia.
  3. Nigdy nie podawaj danych do logowania ani innych poufnych informacji, które powinieneś znać tylko Ty.
  4. Nie akceptuj ofert, jeśli nie prosiłeś o nie (zwłaszcza jeśli są podejrzanie korzystne).
  5. Dokładnie przyglądaj się adresom mailowym, z których wysłano wiadomość.
  6. Nie ufaj ślepo autorytetom. Nawet jeśli osoba podaje się za policjanta, czy pracownika bankowego zachowaj czujność. Najpierw sprawdź dokładnie nadawcę. W razie potrzeby skontaktuj się z firmą lub instytucją (np. zadzwoń na infolinię lub udaj się osobiście do placówki).
  7. Dokładnie czytaj wiadomości. Legalne instytucje dbają o poprawność językową swoich komunikatów.
  8. Uważaj na to, co udostępniasz w sieci. Przestępcy mogą wykorzystać szczegóły z Twojego życia, by zdobyć Twoje zaufanie.
  9. Korzystaj z programów antywirusowych.
  10. Jeśli ktoś (nawet członek rodziny) wysyła Ci wiadomość lub dzwoni z prośbą o pieniądze, nie reaguj natychmiast. Najpierw zweryfikuj jego tożsamość innym kanałem kontaktu.
  11. Na bieżąco aktualizuj oprogramowanie na swoich urządzeniach.
  12. Używaj mocnych haseł i nie stosuj tego samego hasła do wszystkich kont.
  13. Korzystaj z uwierzytelniania wieloskładnikowego.

Co robić, gdy padniemy ofiarą ataku socjotechnicznego?

Przestępcy zrobią wiele, by skłonić swoją ofiarę do popełnienia błędu. Jeśli zorientujemy się, że właśnie daliśmy się oszukać warto działać bardzo szybko. Natychmiastowy kontakt z bankiem może np. pozwolić na cofniecie przelewu. Dodatkowo możemy od razu złożyć reklamację bankową, co pozwoli ewentualnie podjąć odpowiednie kroki. W przypadku gdy obciążenie dotyczy karty debetowej lub karty kredytowej, zawsze możemy skorzystać z procedury chargeback. W następnym kroku powinniśmy:

  • zgłosić sprawę na policję;
  • natychmiast zmienić wszystkie hasła i włączyć weryfikację dwuetapową (najlepiej korzystając z innego urządzenia, niż to, które brało udział w ataku);
  • monitorować, czy ktoś nie posługuje się naszymi danymi, np. nie zaciągnął kredytu lub nie podszywa się pod nas na różnych portalach;

Atak socjotechniczny – podsumowanie

Warto zaznaczyć, że czym większy bank, tym częstsze ataki na klientów. Przykładowo oszuści wolą spreparować stronę internetową znanej instytucji ze względu na większą ilość potencjalnych ofiar. Dlatego klienci banków z rankingu kont osobistych będą znacznie częściej atakowani niż np. klienci banków spółdzielczych. Jednak każdy musi uważać na to co robi w internecie oraz z kim się kontaktuję. Jednocześnie zalecamy dywersyfikacje miejsc, w których trzymamy pieniądze. Nie tylko ze względu na potencjalne oszustwa, ale też kwestię ochrony oszczędności w przypadku upadłości danej instytucji finansowej, i ewentualnej wypłaty gwarancji BFG.

FAQ

Co to atak socjotechniczny?

Atak socjotechniczny jest próbą skłonienia ofiary do ujawnienia poufnych informacji i/lub podjęcia określonego działania (np. kliknięcia w link). Przestępcy wykorzystują różne techniki manipulacyjne, by zawładnąć jej umysłem i osiągnąć swój cel.

Czy ataki socjotechniczne mogą polegać na bezpośrednim kontakcie?

Na ataki socjotechniczne jesteśmy narażeni nie tylko w sieci. Przestępcy mogą próbować skontaktować się z nami bezpośrednio za pomocą rozmowy telefonicznej lub nawet osobistej wizyty.

Dlaczego cyberprzestępcy często stosują ataki socjotechniczne?

Ataki socjotechniczne wymierzone są w człowieka, czyli najsłabsze ogniwo każdego systemu zabezpieczeń. Nie trzeba stosować zaawansowanych technologii, by wejść w posiadanie cennych informacji i wyłudzić pieniądze. Napastnik musi jedynie stworzyć wiarygodny scenariusz i wzbudzić zaufanie odbiorcy. Czasem wystarczy po prostu zasiać lęk lub wykorzystać ludzką ciekawość.

Mamy nadzieję, że ten artykuł był dla Ciebie pomocny :)
4.5/5 (Ilość ocen: 4)
Autor artykułu
Z wykształcenia finansista. Posiada wieloletnie doświadczenie w instytucjach finansowych i bankach. Czuwa nad merytorycznymi aspektami artykułów. Potrafi w jasny i prosty sposób wyjaśnić nawet zawiłe aspekty świata finansów. Na bieżąco śledzi nowości w świecie Fintechów i podpowiada jak najlepiej wykorzystywać funkcje poszczególnych z nich. Lubi Podróże, zainteresowany jest światem inwestycji i jest pasjonatem Lotnictwa.
Komentarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *