Kiedy oszust dzwoni lub pisze z informacją, że „ktoś właśnie czyści twoje konto”, aktywuje się w naszym mózgu prymitywny, biologiczny protokół „fight or flight” (walcz lub uciekaj). W ułamku sekundy stres wyłącza analityczne myślenie, a jedynym celem staje się natychmiastowa neutralizacja zagrożenia. Właśnie dlatego ludzie posłusznie podają kody z SMS-ów – presja czasu omija ich naturalne filtry krytyczne.
Drugim potężnym wektorem ataku jest granie na obietnicy szybkiego zysku, co świetnie tłumaczy efekt Dunninga-Krugera. Ludzie masowo wpadają w pułapki „gwarantowanych inwestycji”, ponieważ podświadomie uważają się za wystarczająco bystrych, by wykorzystać okazję. „Przecież znam się na tym, zasługuję na ten zysk”. Im wyższe mniemanie o własnym sprycie w temacie, w którym de facto jesteśmy laikami, tym łatwiej uwierzyć w precyzyjnie skonstruowaną iluzję.
Lubimy się śmiać z prymitywnych maili pełnych literówek, pisanych łamaną polszczyzną czy wygenerowanych przez słabej jakości translatory. Powszechnie dyskutuje się, czy te błędy to celowy filtr odsiewający osoby ostrożne, ale prawda często opiera się po prostu na statystyce masowych wysyłek. Bazy adresów pochodzą z darknetowych wycieków, a operacja jest na tyle tania, że ułamek procenta złapanych ofiar z nawiązką pokrywa koszty przestępców. Niestety ta powszechna, niska jakość „masówki” usypia naszą czujność przed prawdziwym zagrożeniem: atakami celowanymi.
W dzisiejszym ekosystemie oszustw scamy potrafią być nieodróżnialne od oryginałów. Przestępcy bez problemu podrabiają numery telefonów – na ekranie widzisz nazwę swojego banku, choć rozmawiasz z oszustem. Korzystają też z zaawansowanej analityki mediów społecznościowych. Wystarczy odpowiednio sprofilować kampanię reklamową, aby trafiała do osób zainteresowanych rynkiem finansowym. Co gorsza, potrafią wgrać do menedżera reklam bazę maili osób, które już wcześniej oszukali, i targetować na nich reklamy fałszywych „kancelarii prawnych” obiecujących odzyskanie utraconych środków. To czysta, zimna socjotechnika wykorzystująca rozpacz ofiary.
Jak nie zostać dawcą kapitału w tym systemie? Odpowiedzią jest wdrożenie w życiu codziennym zasady ograniczonego zaufania (Zero Trust) bez jakiejkolwiek taryfy ulgowej:
- Ignoruj linki z powiadomień: Niezależnie od tego, czy to SMS od kuriera, czy mail od dostawcy prądu – nigdy nie klikaj w link. Wpisz adres instytucji ręcznie w przeglądarce i tam sprawdź status konta.
- Uważaj na nagłe wylogowania: Zanim w pośpiechu wpiszesz login i hasło na stronie, która rzekomo cię wylogowała, zatrzymaj się. Sprawdź dokładnie adres URL. Często to moment, w którym przekazujesz dane na fałszywej nakładce.
- Weryfikuj innym kanałem (Out-of-band): Ktoś prosi o przelew BLIK przez komunikator? Zadzwoń do niego na zwykły numer telefonu. Wymagaj weryfikacji głosowej.
- Zasada „zbyt piękne, by było prawdziwe”: W internecie nie ma magii ani dróg na skróty. Jeśli oferta wydaje się idealna, niemal na pewno jest pułapką.
Zamiast wierzyć we własną nieomylność, zacznijmy po prostu kwestionować każdy cyfrowy komunikat, który próbuje wymusić na nas pośpiech lub wywołuje silne emocje.
Partnerem publikacji jest XTB