Socjotechnika definiowana jako inżynieria społeczna, czyli stosowanie środków psychologicznych i metod manipulacji mających na celu przekazanie lub wyłudzenie określonych informacji, bądź nakłonienie do realizacji określonych działań. Takie działania określane są mianem socjotechniki. Inżynieria społeczna to sztuka manipulowania użytkownikiem, wywierania na niego wpływu lub oszukiwania go w celu przejęcia kontroli nad jego systemem komputerowym. Haker może użyć telefonu, poczty elektronicznej, poczty tradycyjnej lub bezpośredniego kontaktu, aby uzyskać nielegalny dostęp.
Cyberprzestępcy wykorzystują inżynierię społeczną, która jest rodzajem ataku ukierunkowanego na czynnik ludzki, a nie na system komputerowy i jego oprogramowanie. Atakujący próbuje nakłonić osobę do wykonania czynności, która pozwoli mu uzyskać dostęp do komputerów ofiar. Powszechne bycie „w kontakcie” jest domeną naszych czasów. Zatelefonować czy też napisać do nas może praktycznie każdy. Nikogo nie dziwią połączenia przychodzące od nieznanych numerów, maile z wyjątkowymi okazjami, które czekają specjalnie na nas czy poznawanie nowych osób w przestrzeni wirtualnej. Co jednak, jeśli okaże się, że po drugiej stronie jest osoba, która próbuje nas zmanipulować? Jako użytkownicy usług powinniśmy zawsze pamiętać przede wszystkim o bezpieczeństwie!
Ataki socjotechniczne są jedną z najpopularniejszych i najskuteczniejszych metod stosowanych obecnie przez hakerów, są przeprowadzane w taki sposób, aby wzbudzić w nas określone emocje, a także podjąć określone działania. Ataki te często wykorzystują relacje międzyludzkie, takie jak zaufanie i znajomość pracowników, czy fizyczną bliskość między pracownikami, a klientami, podanie się za przedstawiciela policji, urzędu czy też innej instytucji ma na celu wzbudzenie zaufania, a uwiarygodnieniu przedstawianej historii może towarzyszyć podanie szczegółów związanych z wykonywaną pracą. Oszuści przeważnie oferują pomoc i wsparcie w rozwiązaniu problemu (np. przy zablokowanym koncie bankowym lub nieopłaconej fakturze) i namawiają do podjęcia określonych czynności – np. zainstalowanie oprogramowania, kliknięcie w podesłany link. Niestety, presja czasu dodatkowo potęguję poczucie zagrożenia i nieprzemyślane działania. Pamiętajmy, że oszuści nie tylko podszywają się pod pracowników instytucji, socjotechniki używają także osoby, które próbują wyłudzić dane czy też pieniądze za pośrednictwem kont w mediach społecznościowych lub przejętych profili innych użytkowników.
Mianem socjotechniki określa się różne sposoby wywierania wpływu na człowieka, stosowane przy użyciu technik komunikacji, np. perswazji czy intensyfikacji lęku. Socjotechnika bywa także określana jako sztuka wykorzystania ludzkich zachowań do złamania zabezpieczeń bez spostrzeżenia przez daną osobę, że została zmanipulowana. Celem hakera jest nakłonienie „ofiary” do wykonania określonej aktywności, np. podania hakerowi danych logowania do konta bankowego czy haseł zabezpieczających kluczowe dane firmy. Osoby stosujące socjotechnikę często przypisują sobie fałszywą tożsamość, wykorzystują różne kanały komunikacji i dotarcia do potencjalnej ofiary, najczęściej są to:
– rozmowy telefoniczne,
– podstawione strony internetowe,
– e-maile i SMS-y,
– chaty internetowe,
– wiadomości na portalach społecznościowych.
Socjotechnika swoją skuteczność zawdzięcza temu, że jesteśmy ludźmi. Ataki opierające się na wykorzystaniu socjotechniki bazują na tym, że popełniamy błędy. Jesteśmy podatni na manipulacje, naiwnie wierzymy, że to nie my padniemy ofiarą oszustwa. Jesteśmy czasami leniwi i nie sprawdzamy pozyskiwanych informacji. Tymczasem ciekawość, uprzejmość, poczucie winy, ale i wspomniana wcześniej chciwość, bezmyślność, wstyd – wszystko to są emocje, które cyberprzestępcy wykorzystują do osiągnięcia swoich celów. Ataki bazujące na socjotechnice nie muszą opierać się na ogromnych zdolnościach technicznych sprawców. Główną rolę odgrywa w nich psychologia, a w szczególności sztuka manipulacji ofiarą, która, aby atak mógł zakończyć się sukcesem, musi wcześniej wykonać określone czynności, np. umożliwiając atakującemu pozyskanie określonych informacji np. dane do logowania w bankowości elektronicznej.
Osoby odporne na ataki inżynierii społecznej są zazwyczaj sumienne, introwertyczne
i mają wysokie poczucie własnej skuteczności. Osoby sumienne najprawdopodobniej będą
w stanie oprzeć się oszustwom socjotechnicznym poprzez skupienie się na własnych potrzebach i pragnieniach i są też mniej skłonne do podporządkowania się wymaganiom innych. Introwertycy są zwykle mniej podatni na zewnętrzną manipulację, ponieważ poświęcają czas dla siebie i cieszą się samotnością, co oznacza, że rzadziej ulegają wpływom wskazówek społecznych lub nachalnych ludzi, którzy próbują na nich wpływać. Samoskuteczność jest ważna, ponieważ pomaga nam wierzyć w siebie, więc mamy większą pewność, że możemy oprzeć się presji innych lub wpływom zewnętrznym.
Oszustwa socjotechniczne wykorzystują sześć specyficznych podatności w ludzkiej psychice i są to:
– wzajemność- to chęć odwdzięczenia się w naturze. Czujemy się dłużnikami osób, które nam pomogły, czujemy, że naszym obowiązkiem jest im pomóc. Dlatego, gdy ktoś prosi nas o coś ; hasło, dostęp do dokumentów finansowych lub cokolwiek innego – jesteśmy bardziej skłonni spełnić prośbę, jeśli ktoś już wcześniej nam pomógł.
– zaangażowanie i konsekwencja- mamy tendencję do robienia rzeczy w czasie, a nie tylko raz, jesteśmy bardziej skłonni zgodzić się na prośbę, jeśli już wcześniej zgodziliśmy się na jeden
z jej elementów – lub nawet na kilka. Jeśli ktoś już wcześniej prosił o dostęp do Twoich dokumentów finansowych, być może ponowna prośba nie jest aż tak wielkim problemem!
– dowód społeczny – jest to technika oszustwa, która opiera się na fakcie, że mamy tendencję do podążania za przykładem osób z naszego otoczenia, na przykład, pracownicy mogą zostać przekonani przez osobę stwarzającą zagrożenie, która przedstawia fałszywe dowody na to, że inny pracownik spełnił prośbę.
– lubienie – lubimy ludzi, którzy sprawiają wrażenie, że rządzą; tak więc haker może wysłać na Twój adres e-mail wiadomość, która wygląda jak od Twojego szefa lub Twojego przyjaciela,
a nawet eksperta w dziedzinie, którą się interesujesz. Wiadomość może mówić coś w stylu: „Hej! Wiem, że pracujesz nad tym projektem i potrzebujemy pomocy. Czy możemy się kiedyś spotkać?”. Zazwyczaj prosi o pomoc – a zgadzając się, zdradzasz wrażliwe informacje.
– autorytet – ludzie zazwyczaj podporządkowują się autorytetom, ponieważ postrzegamy je jako „właściwe” osoby, za którymi należy podążać i których należy słuchać. W ten sposób taktyka inżynierii społecznej może wykorzystać naszą skłonność do ufania tym, którzy wydają się autorytetem, aby uzyskać od nas to, czego chcą.
– skąpstwo – to ludzki instynkt, który jest zakodowany w naszym mózgu, to uczucie „potrzebuję tego teraz” lub „powinienem to mieć”. Dlatego też, gdy ludzie są oszukiwani przez inżynierów społecznych, będą odczuwali pilną potrzebę oddania swoich pieniędzy lub informacji tak szybko, jak to możliwe.
Co powinno nas zaniepokoić? Oszuści w rozmowach telefonicznych lub wiadomościach, które do nas wysyłają najczęściej proszą o:
– dane osobowe,
– loginy i hasła,
– kody autoryzacyjne,
– wygenerowanie kodów płatności (np. BLIK),
– prośby o zainstalowanie dodatkowych aplikacji,
– zlecenie przelewu.
W jaki sposób powinniśmy reagować, gdy otrzymamy wiadomość bądź telefon
z jednym z powyższych zapytań? Cyberprzestępcy wykorzystują naszą łatwowierność oraz naiwność. Wiedza i zachowanie zdrowego rozsądku jest najlepszą metodą obrony przed atakami hakerskimi. Przede wszystkim zachowaj spokój i nie podejmuj nagłych działań. Postaraj się nie panikować i na chłodno ocenić sytuację. Jeśli coś wzbudza Twoją wątpliwość, nie musisz podejmować żadnych działań, które w jakikolwiek sposób zagrażają bezpieczeństwu Twoich danych. Podążanie za poleceniami oszustów, którzy podszywają się pod kogoś może skończyć się kradzieżą danych, a nawet utratą środków finansowych zgromadzonych na kontach. Możesz zweryfikować tożsamość osoby, z którą rozmawiasz lub sprawdzić adres mailowy, z którego przyszła wiadomość. Banki lub inne instytucje same starają się dbać o bezpieczeństwo i wysyłają powiadomienia dotyczące ataków na ich klientów, dlatego warto je przeczytać, by nie stać ich ofiarą. Nie podawaj swoich danych poufnych, niezależnie od tego, kto Cię o to prosi. Nawet jeżeli o pomoc zwraca się Twój znajomy, postaraj się do niego zadzwonić czy skontaktować się w inny sposób, by zweryfikować, czy naprawdę potrzebuje pomocy finansowej. Nie klikaj w linki umieszczone w podejrzanie brzmiących mailach i pamiętaj o tym, by regularnie zmieniać hasła do skrzynki mailowej, bankowości internetowej czy portali społecznościowych.
Aby nie paść ofiarą oszustów, pamiętaj:
– w przypadku połączeń telefonicznych zakończ rozmowę i samodzielnie skontaktuj się
z instytucją, której rzekomy pracownik dzwonił do Ciebie,
– nigdy nie oddzwaniaj na numer, który do Ciebie dzwonił – wybierz go na klawiaturze samodzielnie,
– w przypadku wiadomości (np. za pośrednictwem komunikatora) zawsze weryfikuj, kim jest osoba po drugiej stronie. Jeśli pisze do Ciebie ktoś znajomy z prośbą o pieniądze, sprawdź, czy na pewno rozmawiasz z tą osobą, np. poprzez kontakt telefoniczny,
– zawsze sprawdzaj, kto jest nadawcą wiadomości. Zweryfikuj, czy pochodzą od prawdziwego nadawcy,
– zawsze weryfikuj adres strony internetowej, na której się znajdujesz.
Nasze dane są informacjami szczególnie cennymi, które powinniśmy chronić. Dane osobowe wraz z loginami i hasłami czy też danymi kart kredytowych powinniśmy zawsze zachować dla siebie, nie przekazywać ich innym. Jak się chronić? Przede wszystkim – włączyć myślenie. Cyberataki oparte o socjotechnikę bazują głównie na ludzkich słabościach.
W ochronie przed cyberatakami wykorzystującymi socjotechnikę może pomóc oprogramowanie antywirusowe i mechanizmy wbudowane w systemy poczty elektronicznej czy innych usług, z których korzystamy na co dzień – to nie są jednak wystarczające środki, by czuć się w pełni bezpiecznie.
Najlepszą ochroną przed cyberatakami socjotechnicznymi jest edukacja, tylko sukcesywne zwiększanie świadomości użytkowników może pomóc uchronić się przed manipulacją w coraz szerszym cyfrowym wszechświecie, za którego rozwojem, a tym samym, ewolucją metod, którymi posługują się przestępcy, niekiedy trudno nadążyć nawet najlepszym specjalistom.