Termin „socjotechnika” jest stosunkowo nowy, ale dotyczy ludzkich zachowań starszych niż można się spodziewać. Ludzie od zawsze próbowali zwieść innych dla swoich korzyści. Już w Księdze Rodzaju znajdziemy opowieść o Jakubie, który podszywając się pod starszego brata, wyłudza od ojca błogosławieństwo przeznaczone dla pierworodnego syna. Ubiera się w skóry, niewidomy Izaak wziął go za kędzierzawego Ezawa.
Biblijna historia wskazuje, że inżynieria społeczna jest stara jak świat. I wydaje się, że dziedzina ta nie zmieniła się zbytnio przez stulecia. Ludzkie słabości, takie jak łatwowierność, chciwość, strach, pożądanie czy współczucie, od wieków są bezlitośnie wykorzystywane przez oszustów. Metody zawsze są te same. Inna jest natomiast skala przestępczości związanej z oszustwami finansowymi.
Czynnik ludzki
Cyfryzacja, dostęp do internetu, media społecznościowe, upowszechnienie komunikatorów jako podstawowego narzędzia komunikacji przeniosły scamy finansowe w zupełnie inny wymiar.
– Internet, smartfony oraz bankowość mobilna otwierają przed oszustami i złodziejami szerokie możliwości działania. Cyberprzestępcy operują na ogromną skalę, w sposób zorganizowany, zyskując znaczne korzyści przy niewielkim wkładzie pracy. Zarówno przeciętni użytkownicy, jak też i duże organizacje doznają poważnych uszczerbków na reputacji i finansach, często pozostając przez dłuższy czas nieświadomi, że padli ofiarą oszustów – wskazuje mecenas Szymon Witkowski, główny legislator Pracodawców RP.
Jak podkreśla, najlepsze systemy zabezpieczające, a w Polsce, która jest krajem o nowoczesnej infrastrukturze informatycznej są one na bardzo wysokim poziomie, nie zdadzą się na nic, jeśli użytkownicy internetu, mediów społecznościowych, klienci banków nie zachowają ostrożności. Niestety, najsłabszym ogniwem w łańcuchu bezpieczeństwa pozostaje człowiek, podatny na manipulacje emocjonalne i szybko tracący głowę w obliczu różnych sztuczek.
– Ludzie o złych intencjach sięgają po nasze dane osobowe i oszczędności w coraz bardziej podstępny sposób. Przykładem jest phishing, jedna z najskuteczniejszych forma ataku, gdzie fałszywe e-maile, niemal nieodróżnialne od autentycznych, podszywają się pod zaufane instytucje. Imitacje są coraz lepsze. Wystarczy chwila nieuwagi, żeby wejść na fałszywą stronę do złudzenia przypominającą oryginał i przekazać przestępcom wrażliwe informacje na swój temat – tłumaczy Szymon Witkowski.
Zwraca uwagę, że dzielimy się swoimi danymi na portalach społecznościowych z lekkomyślnością, często nie zdając sobie sprawy, że mogą zostać użyte przeciwko nam.
– Nie tylko zwykli konsumenci, ale również duże korporacje dają się nabrać - mówi mecenas Witkowski.
Jedną z najgroźniejszych metod przestępczych jest Business Email Compromise, która polega na podszywaniu się pod korespondencję firmową w celu wyłudzenia dużych sum pieniędzy. Przestępcy uzyskują dostęp do poczty nie wskutek włamu hakerskiego, ale stosując phishing, czyli zainfekowane złośliwym oprogramowaniem mejle, lub chwyty socjotechniczne, odwołujące się wewnętrznych schematów działania każdej korporacji.
Technologie i edukacja
Jaka jest na to rada? Firmy, instytucje finansowe, konsumenci muszą zachować szczególną ostrożność w kontaktach z podejrzanymi, nieznajomymi osobami. Warto inwestować w systemy big data, które analizują zarówno wzorce zachowań w sieci, jak też i potencjalne fizyczne manipulacje. Należy także pomyśleć o zmianie sposobów działania centrów operacji bezpieczeństwa.
– Pracownicy, których zadaniem było tylko wizualne monitorowanie przestrzeni fizycznej, są teraz często odpowiedzialni również za analizowanie ogromnej liczby danych cyfrowych i informacji wywiadowczych. Oczekuje się od nich, że będą biegli w wykorzystywaniu mocy sztucznej inteligencji i zaawansowanych analiz, aby wykrywać anomalie i potencjalne naruszenia bezpieczeństwa – wyjaśnia Adam Bojarski, trener i ekspert cyberbezpieczeństwa z HackerU Polska.
Solidne mechanizmy uwierzytelniania, zabezpieczenia technologiczne, regularne audyty i przeglądy infrastruktury technologicznej to obecnie elementarz każdej firmy. Rozwijanie coraz bardziej zaawansowanych systemów ochrony jednak nie wystarczy. Konieczna jest edukacja na temat bezpieczeństwa cyfrowego.
– Ludzie są najbardziej zawodnym elementem w ekosystemie IT. Dlatego też niezbędne jest promowanie kultury czujności i sceptycyzmu. Firmy muszą prowadzić szkolenia pracowników, co rusz przypominać im o zasadach bezpieczeństwa i tworzyć plany reagowania na incydenty – akcentuje Szymon Witkowski.
Vishing (ang. voice phishing): phishing głosowy – to tani, prosty i niezwykle korzystny dla atakującego patent. Co więcej, wykorzystanie fikcyjnego numeru i połączenia międzynarodowego sprawia, że wykrycie i schwytanie osoby stosującej tę metodę jest prawie niemożliwe.
Phishing – najpowszechniejsza metoda ataku znana w środowisku
znawców socjotechniki. Pozwala na zatrzymywanie pracy fabryk, hakowanie komisji wyborczych, włamanie się do instytucji rządowych i dziesiątek wielkich korporacji oraz wykradanie milionów złotych.
SMiShing – tak, taka nazwa istnieje. To skrót od SMS phishing, co oznacza korzystanie z metod phishingowych przy użyciu wiadomości tekstowych
Spoofing – oszuści wykorzystują technologię, aby w najbardziej przekonujący sposób podszyć się pod określone instytucje, używając sfałszowanych identyfikatorów dzwoniącego lub adresów e-mail. W ten sposób, kiedy ofiara odbiera telefon od rzekomego pracownika banku, jest całkowicie przekonana o autentyczności połączenia, widząc na ekranie dokładną nazwę swojego banku czy innej instytucji, z którą ma styczność. To samo dotyczy mejli, gdzie adres nadawcy wydaje się być w pełni zgodny z tym, którego oczekujemy.
Niezależnie od coraz bardziej zaawansowanych narzędzi technologicznych, które wykorzystują cyberprzestępcy, podstawą ich działania jest uderzenie w najsłabsze ogniwo, jakim jest człowiek i jego emocje. Wykorzystują ślady pozostawiane przez nas w sieci i nie tylko, by odkrywać nasze potrzeby, problemy lub lęki, a następnie zaoferować pozornie atrakcyjne rozwiązanie.
Jak wynika z sierpniowego raportu PZU o świadomości Polaków w zakresie cyberbezpieczeństwa, aż 91 proc. osób zdarza się przynajmniej czasem podejmować ryzykowne zachowania, jak odbieranie połączeń z nieznanych numerów, korzystanie z bankowości poprzez publiczne sieci wi-fi, otwieranie wszystkich maili z załącznikami itp. Choć nasze badanie potwierdza, że wiedza Polaków na temat zagrożeń jest spora i rośnie, to wciąż nie do końca pojmujemy, jak bardzo wysublimowanymi socjotechnikami potrafią się dziś posługiwać przestępcy. Pewnie już mało kto nabiera się na maile od rzekomego nigeryjskiego nafciarza, który odziedziczył miliony i chętnie się z nimi podzieli, jeśli tylko pomożemy mu zapłacić podatek od spadku.
Dziś oszuści potrafią prowadzić wieloetapowe działania, budując stopniowo głębokie relacje z ofiarami, dobierając do ich charakterystyki metody ataku. Samotne osoby wciągają w pozorne romanse, gdzie na końcu pojawia się próba wyłudzenia pieniędzy lub danych. Seniorów mamią wizją wyjątkowych produktów inwestycyjnych lub oszczędnościowych, uwiarygadnianych poprzez spreparowane witryny, profile lub reklamy wideo z wykorzystaniem logotypów znanych marek, a nawet wizerunków członków zarządów tych firm. Żerują na trosce rodziców o dzieci, oferując wyciągnięcie ich z rzekomych kłopotów, co oczywiście kosztuje. Wykorzystują też najprostsze emocje, które wyłączają naszą uważność, jak choćby niecierpliwość osoby oczekującej na zamówione online towary, preparując fałszywe powiadomienia od rzekomych firm kurierskich.
Musimy mieć świadomość, że pomimo codziennego zabiegania trzeba być ciągle czujnym i stosować zasadę ograniczonego zaufania, a także wiedzieć, czego konkretnie nie robić albo co robić, by nie dać się podejść oszustom. Prawdziwy klucz do bezpieczeństwa nie tkwi w programie antywirusowym w naszym komputerze czy smartfonie, lecz w naszej głowie. Dlatego tak mocno zwracaliśmy uwagę na ten aspekt w październikowej kampanii edukacyjno-informacyjnej PZU na temat cyberbezpieczeństwa „A kto tu się podszywa?”.
Mimo rozwoju zabezpieczeń informatycznych skala cyberataków wciąż przybiera na sile, a za ich skuteczność odpowiadają w dużej mierze różne formy psychologicznej manipulacji. Świadomość, jakie triki socjotechniczne stosują oszuści, jest równie ważna, jak przestrzeganie zasad cyberhigieny, bowiem stosowanie manipulacji ma na celu odwrócenie uwagi ofiary od podstawowych zasad bezpieczeństwa. Zazwyczaj po to, aby wykorzystać łatwowierność, naiwność ofiary oraz jej naturalne zachowania i odruchy, w tym tzw. odruchy dobrego serca. Najczęściej przepustką do wyłączenia racjonalnego myślenia jest wzbudzanie strachu, ciekawości czy poczucia obowiązku lub empatii.
Jak działają te mechanizmy najlepiej wyjaśnić na konkretnych przykładach. Wzbudzanie niepokoju może przybierać np. formę wiadomości z informacją odłączeniu energii elektrycznej za rzekomo niezapłacone rachunki. Obecnie ten trik socjotechniczny wzbudzania niepokoju jest widoczny przede wszystkim w oszustwach telefonicznych. Jednym z częstszych scenariuszy jest telefoniczne podszywanie się pod pracownika banku, w którym klientom banków przedstawiana jest historia o próbie wyłudzenia kredytu na ich dane, o nieautoryzowanej transakcji czy zagrożonych pieniądzach. Celem jest przestraszenie i wyłączenie racjonalnego myślenia tak, aby skłonić ofiarę do słuchania „porad” telefonującego, który pozycjonuje się jako osoba, która chce „pomóc w zapobieżeniu oszustwa”. Podobny trik jest widoczny w podszywaniu się pod funkcjonariusza organów ścigania. W tym scenariuszu oszuści opowiadają mrożące krew żyłach historie, np. informację o wypadku osoby bliskiej, która to opowieść może budzić duży szok i również ma pomóc w dalszej manipulacji ofiarą. Innym częstym trikiem oszustów jest wzbudzanie ciekawości bądź oferowanie korzyści osobie manipulowanej. Ten element działania na podświadomość jest dziś świetnie widoczny w proponowanych fałszywych inwestycjach, w których opisywane są niebotycznie duże zyski bez konieczności ponoszenia ryzyka. To dziś najczęstszy motyw działania przestępców, co pokazuje, że duże pieniądze niezmiennie działają na ludzką wyobraźnię. Kolejną manipulacyjną sztuczką jest wzbudzanie poczucia obowiązku bądź empatii. Oszustom wysyłającym fałszywe wiadomości o konieczności zapłaty nieistniejącego mandatu łatwiej przekonać osoby odpowiedzialne i sumienne, a na fałszywe prośby o pomoc finansową bardziej podatne są osoby empatyczne.
O tym, czy atak oszusta ostatecznie się powiedzie, decyduje wiele czynników, także indywidualnych: aktualna sytuacja życiowa potencjalnej ofiary, cechy charakteru, odporność na presję czasu i stres czy gotowość do bezwarunkowego przyjęcia punktu widzenia autorytetów. Tym samym wszyscy powinniśmy sobie zdać sprawę, że zrozumienie procesów odpowiedzialnych za podejmowanie decyzji czy ocenę zagrożenia – uświadomienie sobie mechanizmów działania na emocje i trików manipulacyjnych jest dziś jednym z kluczowych kroków do wzięcia odpowiedzialności za własne bezpieczeństwo w sieci.
Cyberprzestępstwa to nasza codzienność, a nie odosobnione przypadki, o których słyszymy w mediach. Fałszywe maile, SMS-y, wiadomości głosowe czy telefony – to narzędzia oszustów, którzy grają na emocjach i wykorzystują psychologiczne sztuczki, aby nas zmanipulować.
Skuteczność zagrywek cyberprzestępców tkwi w tworzeniu historii, które wydają się autentyczne i zmuszają do natychmiastowej reakcji. Wyobraźmy sobie sytuację: księgowa w firmie otrzymuje pilną prośbę o przelew od swojego szefa. Wiadomość wygląda wiarygodnie – ton, styl, sposób zwracania się do pracownika. Ale jest jeden drobny szczegół, który może umknąć uwadze – adres e-mail różni się minimalnie od oryginalnego. Wyjaśnienie? „To prywatna skrzynka, sprawa jest pilna”. Efekt? Pieniądze zostają przelane, a oszuści znikają z gotówką.
Podobnie wygląda sytuacja w życiu prywatnym. Otrzymujemy wiadomość od przyjaciela na innym komunikatorze niż zazwyczaj, z prośbą o pożyczkę. Z pozoru wszystko wygląda w porządku – imię znajome, sposób pisania dokładnie taki sam jak zwykle. Ale coś nie pasuje: czemu nagle używa innego komunikatora? Albo inaczej: dlaczego nagle dzwoni, a nie pisze? Jeśli przymkniemy oko na takie szczegóły, możemy stracić pieniądze w kilka minut.
Jak się chronić przed tego typu oszustwami? Kluczowa jest czujność. Zwracajmy uwagę na szczegóły: nieznane adresy e-mail, nietypowe prośby, nowe formy kontaktu. Każda sytuacja, która wymaga natychmiastowego działania, powinna wzbudzić naszą podejrzliwość. To, co inne, nietypowe powinno wzbudzić naszą czujność. Prosta weryfikacja przez telefon lub inny kanał może uratować nasze pieniądze i dane.
Metody stosowane przez cyberprzestępców ewoluują. Niemniej jednak bardzo często opierają się na manipulacji, podszywaniu się pod konkretne instytucje czy pracownika banku. W mBanku wprowadziliśmy szereg rozwiązań, które chronią klientów przed tego typu atakami. Wspomnę chociażby o mobilnej autoryzacji rozmowy z pracownikiem banku czy wizualnej identyfikacji nadawcy wiadomości e-mail. Jednak niezwykle ważne jest również budowanie świadomości użytkowników o zagrożeniach i sposobach, jakie stosują oszuści. W mBanku wiemy o tym doskonale, byliśmy pierwszym bankiem, który rozpoczął kampanie edukacyjne w zakresie bezpieczeństwa w sieci i prowadzimy je regularnie. Wystarczy wspomnieć naszą ubiegłoroczną kampanię „Samoobrona w sieci” czy tegoroczny, drugi już sezon naszego słuchowiska „Jazgot Historie”. W obu tych działaniach staramy się przedstawić użytkownikom w przystępny sposób metody, jakie stosują oszuści i sposoby, jak się przed nimi chronić. Wiedza to nasza najlepsza tarcza.
