Na wnuczka, na policjanta, na BLIK – co chwilę słyszy się o nowych sposobach wyłudzania danych i/lub pieniędzy. Obok skimmingu karty to niestety popularny sposób kradzieży pieniędzy. Dlatego oprócz poniższego artykułu zachęcamy do przeczytania zasad bezpiecznego korzystania z rachunku bankowego. Gdy ktoś padnie ofiarą tego typu przestępstwa, osoby postronne zawsze się zastanawiają: Czy dany klient był rzeczywiście tak naiwny. Czy może to przestępcy są tak przebiegli? Z pewnością ci drudzy wiedzą, czym jest atak socjotechniczny i jak przebiega. Dodatkowo polecamy nasz artykuł – Oszustwa internetowe, czyli jak próbują nas okraść. Tam podajemy więcej praktycznych przykładów takich działań i jest to dobre uzupełnienie do poniższej teorii.
Pod pojęciem socjotechniki kryją się różne metody manipulacji jednostką lub grupą ludzi, które mają na celu wykreowanie pożądanego zachowania. Zazwyczaj chodzi o przekazanie informacji, ujawnienie poufnych danych (np. dane do logowania) lub podjęcie konkretnego działania.
Choć często socjotechniką posługują się cyberprzestępcy, na ataki socjotechniczne jesteśmy narażeni nie tylko w sieci. Możemy paść ich ofiarą nawet podczas zwykłej rozmowy w cztery oczy. Oszuści wykorzystują różne kanały komunikacji, by dopiąć swego. Może to być, np.:
Przestępcy nie potrzebują zaawansowanych technologii, by pozyskać nasze dane. W przypadku ataku socjotechnicznego przydaje się wiedza, jak grać na naszych emocjach oraz umiejętności aktorskie i perswazyjne.
Praktycznie każdy z nas sądzi, iż jego to nie dotyczy. Przecież nie nabrałby się na tak trywialne wyłudzenie. Nic bardziej mylnego – statystyki mówią zupełnie coś innego. Ofiarami takich przestępstw nie są jedynie naiwni staruszkowie, ale cały przekrój społeczeństwa. Statystyki bankowe i policyjne jasno wskazują, iż ofiary to rozkład normalny społeczeństwa. Tym samym tak jak liczna jest dana grupa społeczna, tak liczne są ofiary tego typu przestępstw w tej grupie. Na policje zgłaszają się ludzie wykształceni, niewykształceni, starzy, młodzi, kobiety i mężczyźni. O emerytach słyszymy tak dużo, ponieważ w Polsce żyje 8,8 mln osób w wieku powyżej 60 lat. To prawie 1/4 ludności Polski. Warto mieć to na uwadzę, ponieważ jutro to my możemy iść ze zgłoszeniem na policję.
Świadomość tego, jakich metod używają przestępcy, może uchronić nas przed wpadnięciem w pułapkę. Poniżej podajemy przykłady najpopularniejszych rodzajów ataków socjotechnicznych.
Pretexting najczęściej przybiera formę rozmowy telefonicznej, ale dotyczy także kontaktu osobistego. Napastnik może podawać się za pracownika jakiejś instytucji (banku, spółdzielni mieszkaniowej, firmy kurierskiej itp.), klienta lub nawet znajomego. Tworzy skrupulatnie zaplanowaną historię (pretekst), by zdobyć poufne informacje.
Najczęściej zbiera je stopniowo, np. najpierw potwierdzi nasze imię i nazwisko, adres e-mail, czy inne łatwo dostępne dane. Posługuje się przy tym branżowym językiem, a w tle możemy słyszeć, np. biurowe odgłosy. Dzięki temu uwiarygadnia swój pretekst i buduje zaufanie ofiary.
Ania właśnie odebrała e-mail ze swojego banku. Okazuje się, że dostęp do jej konta bankowego został zablokowany ze względów bezpieczeństwa. By uzyskać więcej informacji i odblokować konto, wystarczy kliknąć we wskazany link. Ania od razu chce dowiedzieć się, o co chodzi, więc postępuje według instrukcji.
Ania właśnie padła ofiarą phishingu. Polega on na rozsyłaniu masowych e-maili, które na pierwszy rzut oka wyglądają na prawdziwe. Przestępca udaje zaufanego adresata (bank, Urząd Skarbowy, GUS, dostawca usług, kurier itp.), by wyłudzić informacje i/lub zainfekować urządzenie. Ania, kierując się strachem o swoje oszczędności, tak naprawdę podała je przestępcom na tacy.
Istnieje kilka odmian phishingu:
E-mail zawiera szczegóły dotyczące odbiorcy. Chodzi bowiem o dotarcie do konkretnej ofiary, która w oczach przestępcy jest bardziej wartościowa. Najczęściej ataki kierowane są w stronę celebrytów, osób wysoko postawionych lub tych, które odpowiadają w firmie za wysokokwotowe przelewy
Vishing polega na wyłudzaniu informacji podczas rozmowy telefonicznej i/lub skłonieniu do podjęcia działania. Wyobraźmy sobie sytuację, że dzwoni do nas osoba podająca się za pracownika banku. Pyta, czy potwierdzamy przelew na taką i taką kwotę. Kiedy zaskoczeni mówimy, że nie wysyłaliśmy żadnego przelewu, nasz rozmówca informuje nas o sposobie na zatrzymanie transakcji. Trzeba, np. natychmiast podać dane do logowania, zainstalować konkretną aplikację, kliknąć w link w e-mailu itp.
Jednym z popularniejszych przykładów tego typu ataku są wiadomości o dopłacie drobnej kwoty, np. za przesyłkę, by mogła ruszyć dalej w drogę lub za zaległości podatkowe, by uniknąć egzekucji. Podczas pandemii koronawirusa popularne były fałszywe SMS-y (niby z Ministerstwa Zdrowia) ze skierowaniem na kwarantannę lub dotyczące wsparcia żywieniowego.
Ataki phishingowe mogą dotyczyć także:
Przestępcy przy pomocy różnych technik i narzędzi „wypożyczają” numery telefonu, domeny, adresy e-mail i podszywają się pod wybraną osobę, firmę, bank, czy instytucję państwową w celu wyłudzenia informacji i/lub pieniędzy.
Wyobraźmy sobie sytuację, że dzwoni do nas pracownik Urzędu Skarbowego. Numer telefonu jest taki sam jak na oficjalnej stronie internetowej. Informuje nas o zaległościach podatkowych. Jeśli nie uregulujemy ich w ciągu 48h – sprawa trafi do komornika. Za chwilę proponuje nam pomoc w rozwiązaniu sytuacji przez telefon. Wystarczy, że podamy dane karty lub uregulujemy płatność przez podany link/aplikację.
Jeśli przestraszymy się i damy sobie „pomóc”, napastnik przejmie kontrolę nad naszym urządzeniem, a następnie wyczyści konto bankowe.
To tylko jeden z wielu możliwych scenariuszy. Ten rodzaj ataku socjotechnicznego jest trudny do wykrycia, ponieważ połączenia, wiadomości, czy strony internetowe wyglądają jak prawdziwe. W rzeczywistości są spreparowane.
Atakujący przyjmuje fałszywą tożsamość w Internecie. Próbuje wzbudzić zaufanie i rozkochać w sobie ofiarę. Stosuje przy tym różne techniki manipulacyjne, by zdobyć informacje i/lub okraść swój „cel”. Świetnym przykładem takiego działania był Simon Leviev (Oszust z Tindera), o którym netflix nakręcił serial dokumentalny
Ten typ ataku może przypominać phishing, jednak przestępca próbuje zachęcić swoją ofiarę kuszącą obietnicą (np. bon na zakupy, pieniądze) w zamian za dane.
Na pewno każdy z nas chociaż raz dostał SMS-a z informacją o wylosowaniu głównej nagrody w loterii (mimo że nie braliśmy w niej udziału). Wystarczy tylko wypełnić formularz, by ją odebrać. W rzeczywistości nie kryją się za tym dla nas żadne profity.
Atak za pomocą przynęty może przyjąć różne formy. Uważajmy nie tylko na podejrzane wiadomości i rozmowy telefoniczne, ale także na wyskakujące reklamy w Internecie.
Choć przestępcy próbują różnymi sposobami opanować umysł swojej ofiary, często da się rozpoznać atak socjotechniczny. Czerwona lampka powinna się nam zapalić, gdy:
Taki wstęp jest typowy dla e-maili, czy SMS-ów rozsyłanych masowo. Zazwyczaj legalne instytucje znają podstawowe dane swoich klientów i zwracają się do nich po imieniu (czasem dołączają także nazwisko).
Adresy popularnych firm, banków, czy instytucji państwowych mają proste adresy e-mail. Jeśli adres nadawcy jest nieskładnym zlepkiem znaków, lepiej zignorować taką wiadomość. Przestępcy są, jednak sprytni. Potrafią używać podobnie brzmiących adresów, zmieniając jedynie szyk wyrazów, duplikując lub usuwając litery, np. alllegro zamiast allegro itp.
Pracownik banku lub urzędnik musi przestrzegać procedur bezpieczeństwa. Nigdy nie poprosi o podanie informacji, które powinien znać wyłącznie klient.
Działając pod presją czasu, tracimy zdrowy rozsądek i podejmujemy pochopne decyzje (ujawniamy hasło, klikamy w link). Właśnie o to chodzi napastnikowi.
Najpierw atakujący przedstawia problem, straszy konsekwencjami, a następnie oferuje swoją pomoc. Nalega mimo naszej odmowy.
Cyberprzestępcy mogą pochodzić z różnych stron świata. Rozsyłane przez nich komunikaty często zawierają błędy ortograficzne, gramatyczne i składniowe.
Obietnica łatwego zysku małym kosztem w rzeczywistości może mieć wysoką cenę, np. w postaci oszczędności całego życia.
Nie da się uchronić przed atakami socjotechnicznymi, ale można je skutecznie odpierać. „Najlepszą obroną jest atak”, ale nie w tym przypadku :). Tu potrzebny będzie zdrowy rozsądek i zasada ograniczonego zaufania. Jak wdrożyć to w praktyce? Przedstawiamy kilka sposobów.
Przestępcy zrobią wiele, by skłonić swoją ofiarę do popełnienia błędu. Jeśli zorientujemy się, że właśnie daliśmy się oszukać warto działać bardzo szybko. Natychmiastowy kontakt z bankiem może np. pozwolić na cofniecie przelewu. Dodatkowo możemy od razu złożyć reklamację bankową, co pozwoli ewentualnie podjąć odpowiednie kroki. W przypadku gdy obciążenie dotyczy karty debetowej lub karty kredytowej, zawsze możemy skorzystać z procedury chargeback. W następnym kroku powinniśmy:
Warto zaznaczyć, że czym większy bank, tym częstsze ataki na klientów. Przykładowo oszuści wolą spreparować stronę internetową znanej instytucji ze względu na większą ilość potencjalnych ofiar. Dlatego klienci banków z rankingu kont osobistych będą znacznie częściej atakowani niż np. klienci banków spółdzielczych. Jednak każdy musi uważać na to co robi w internecie oraz z kim się kontaktuję. Jednocześnie zalecamy dywersyfikacje miejsc, w których trzymamy pieniądze. Nie tylko ze względu na potencjalne oszustwa, ale też kwestię ochrony oszczędności w przypadku upadłości danej instytucji finansowej, i ewentualnej wypłaty gwarancji BFG.
FAQ
Atak socjotechniczny jest próbą skłonienia ofiary do ujawnienia poufnych informacji i/lub podjęcia określonego działania (np. kliknięcia w link). Przestępcy wykorzystują różne techniki manipulacyjne, by zawładnąć jej umysłem i osiągnąć swój cel.
Na ataki socjotechniczne jesteśmy narażeni nie tylko w sieci. Przestępcy mogą próbować skontaktować się z nami bezpośrednio za pomocą rozmowy telefonicznej lub nawet osobistej wizyty.
Ataki socjotechniczne wymierzone są w człowieka, czyli najsłabsze ogniwo każdego systemu zabezpieczeń. Nie trzeba stosować zaawansowanych technologii, by wejść w posiadanie cennych informacji i wyłudzić pieniądze. Napastnik musi jedynie stworzyć wiarygodny scenariusz i wzbudzić zaufanie odbiorcy. Czasem wystarczy po prostu zasiać lęk lub wykorzystać ludzką ciekawość.