Socjotechnika, czyli sztuka zdobywania władzy nad umysłami

Pewnie każdy z nas przynajmniej raz w życiu marzył o tym, by zostać superbohaterem – lub chciał choćby posiadać jedną z ich supermocy. Jedni z nas chcieli być silni jak Hulk, inni – szybcy jak Flash, a jeszcze inni marzyli o tym, by zdobywać władzę nad ludzkimi umysłami. To właśnie tą ostatnią mocą zajmiemy się w dzisiejszym artykule. A mówiąc dokładniej - socjotechniką.

 

Powszechnie uważa się, że pojęcie socjotechniki i wszystko, co pod nim się kryje, jest narzędziem, które wykorzystują głównie hakerzy, przestępcy, czy też służby specjalne. Czy na pewno tak jest?

 

Niech każdy z nas odpowie sobie teraz na pytanie, czy kiedykolwiek stosował socjotechnikę do osiągnięcia swoich prywatnych celów? Odpowiedź pewnie brzmi: „tak”. Korzystamy z elementów socjotechniki w każdym aspekcie naszego życia, w którym wchodzimy w interakcję z drugim człowiekiem.

Dobrym przykładem jest rozmowa roczna z przełożonym, na której to Ty próbujesz wykorzystać swoje umiejętności socjotechniczne, by tak wpłynąć na swojego przełożonego, aby ten przystał np. na prośbę o podwyżkę. Jeżeli każdego roku udaje Ci się uzyskać swoje założenia w 100%, to gratuluję - jesteś mistrzem socjotechniki.

 

Socjotechnika to wszystkie sposoby wywierania wpływu na człowieka, które stosujesz przy użyciu technik komunikacyjnych – np. siła perswazji, czy intensyfikacja lęku. Mówiąc prościej, socjotechnika to umiejętność manipulowania umysłem ludzkim w taki sposób, aby finalnie uzyskać od drugiej osoby to, co my chcemy – nawet wbrew jego woli i w taki sposób, by dana osoba nie spostrzegła, że została zmanipulowana. Stosuje się je w życiu codziennym, pracy, polityce, czy też reklamie.

 

Podstawowe metody socjotechniki to np. perswazja, manipulacja, intensyfikacja lęku. Znasz te techniki? A może wykorzystujesz je nieświadomie do realizacji swoich zamiarów? Gorzej, jeśli robisz to świadomie. Oczywiście, nie zawsze intencje towarzyszące stosowaniu metod socjotechniki zasługują na potępienie – tego typu działanie jest wręcz wskazane przy kampaniach edukacyjnych, akcjach charytatywnych, czy w marketingu, (co trudno jednoznacznie nazwać nieetycznym). Wiedza o socjotechnice staje się obecnie bardzo ważna. Trzeba być świadomym jej istnienia, aby skutecznie się przed nią bronić.

 

Socjotechniki dotyczą niemal każdego aspektu naszego życia. Wyobraźmy sobie sytuacje: idziemy po chodniku, podchodzi do nas obca osoba, pyta nas o imię. Co robisz? Zdradzasz swoje imię? Czy dopytujesz? Większość z nas pewnie odruchowo odpowiedziałaby na pytanie, a dopiero później zaczęła dopytywać, po co nieznajomemu ta informacja. Nigdy nie powinniśmy zdradzać swoich danych nieznajomym, bo nawet pozornie nic nieznacząca dana w rękach hakera może być niebezpieczna. Prawdziwy mistrz socjotechniki jest zawsze o krok do przodu. Pamiętajmy o tym.  

 

Socjotechnika w IT

Przejdźmy teraz do meritum – do socjotechniki w świecie IT. Socjotechnika pozwala wykorzystywać ludzkie zachowania do złamania zabezpieczeń IT – w taki sposób, aby ofiara nie była w stanie się domyślić, że została zmanipulowana.

 

Zdefiniujmy sobie pojęcie hakera na potrzebę tego artykułu. Przyjmijmy, że haker to osoba, która zna tajniki świata IT, jest wybitnym specjalistą w dziedzinie socjotechniki i wykorzystuje jej metody do łamania zabezpieczeń w świecie IT. Dobry haker to przede wszystkim mistrz socjotechniki. Najważniejszym aspektem sukcesu każdego ataku jest „złamanie” człowieka, – bo bardzo często to ludzie są najsłabszym ogniwem w łańcuchu zabezpieczeń IT.

 

Celem hakera jest nakłonienie ofiar do tego, aby wykonały określone czynności – np. podały dane logowania do konta bankowego, dane osobowe, czy też hasła jednorazowe/autoryzacyjne. To od nas samych zależy, czy staniemy się ofiarami ataku. Każdy z nas jest firewallem – tarczą obronną, która zatrzymuje próby ataku.

 

Hakerzy w atakach socjotechnicznych bardzo często przypisują sobie fałszywą tożsamość, podszywając się pod pracowników służb mundurowych, banków, serwisów, firm kurierskich, czy też innych instytucji. By dopiąć swego, wykorzystują różne kanały dotarcia do potencjalnych ofiar.

 

Do przykładowych kanałów komunikacji możemy zaliczyć:

  1. Rozmowy telefoniczne
  2. Podstawione strony www
  3. E-maile
  4. SMS-y
  5. Chaty internetowe
  6. Wiadomości na portalach społecznościowych

Trudno wskazać jeden kanał, który najczęściej wykorzystują hakerzy. Możemy przyjąć, że wszystkie wymienione kanały komunikacyjne wykorzystywane przez hakerów są równie popularne, a ich częstotliwość wykorzystania zmienia się w czasie.  

 

Pytanie konkursowe: Który z poniższych ataków hakerskich jest nieprawdziwy:

  1. Phishing
  2. Vishing
  3. Fishing
  4. Smishing

Oczywiście nie istnieje atak typu fishing. Jest to po prostu sport, który polega na łowieniu ryb. 

 

Phishing

Większość z nas bez wątpienia spotkała się z pojęciem phishing. Sam wyraz – phishing – jest kombinacją słów password (z ang. hasło) i fishing (z ang. łowić), co można przetłumaczyć, wprost jako łowienie haseł. O phishingu jest mowa, kiedy pozornie godna zaufania wiadomość e-mail nakłania Cię do przekazania danych osobowych – często za pomocą gróźb lub poczucia pilności, aby skłonić Cię do szybkiego działania bez zastanowienia.

W niektórych przypadkach oszuści mogą stworzyć fałszywą stronę internetową o adresie podobnym do oryginalnej witryny i wykorzystać techniki z zakresu optymalizacji wyszukiwarek, aby upewnić się, że dany adres pojawia się w pierwszej dziesiątce dowolnych wyszukiwań w przeglądarce. Wszelkiego rodzaju linki umieszczone w otrzymanych phishingowych wiadomościach przekierowują do sfałszowanych stron www, których jedynym celem jest wykradzenie Twoich danych.

 

Smishing

Jeżeli za kanał komunikacyjny został wybrany SMS, wtedy mamy do czynienia ze smishingiem. Wyraz smishing powstał z połączenia dwóch słów: „sms” i „phishing”.  Jest to nic innego, jak wyłudzanie danych za pomocą SMS-ów.  Najczęściej oszuści wysyłają w SMS-ie link do fałszywej strony banku i proszą o pilne zalogowanie się do konta. Osoba, która w ten sposób zaloguje się do bankowości, przesyła wrażliwe dane w ręce złodziei. Drugim popularnym scenariuszem w tym wypadku jest link prowadzący do aplikacji, którą haker zaleca nam zainstalować.

 

Dlaczego phishing i smishing są tak skuteczne?

Ponieważ haker wie, że nie zwracamy uwagi na szczegóły otrzymywanych wiadomości.  Wszelkiego rodzaju komunikatory internetowe, social media i język, jaki jest w nich używany, powoduje, że zatracamy czujność. Używamy prostych zwrotów językowych, które bardzo często nie są zgodne z zasadami języka polskiego. Nie jesteśmy przez to w stanie zauważyć, że język w wiadomościach nie jest poprawny – występują błędy ortograficzne i interpunkcyjne.

Dodatkowo bardzo często nie czytamy też treści wiadomości. Wyszukujemy w nich kod autoryzacyjny i – nie czytając, do czego on służy – czym prędzej chcemy go wprowadzić. Dzieje się tak, ponieważ zwyczajnie szkoda nam kilku sekund życia na przeczytanie krótkiej treści wiadomości. A to w wielu przypadkach mogłoby uratować nasze finanse. Podobnie dzieje się w przypadku linków, w które wchodzimy bez zastanowienia, nie zwracając uwagi na to, jak są one skonstruowane i do jakiej strony faktycznie nas odsyłają. Hakerzy o tym wiedzą i to wykorzystują. Pamiętajmy o tym i nie pozwalajmy się oszukać. Czytajmy wiadomości, zwracajmy uwagę, jak skonstruowane są linki i gdzie nas odsyłają.  Pamiętajmy, że sami jesteśmy najlepszą linią obrony przed atakami hakerów.

Vishing

Rzadziej spotykaną metodą ataku, ale w ostatnich czasach zyskującą popularność, jest vishing, czyli wyłudzanie danych w trakcie rozmowy telefonicznej. W tym przypadku definicja stanowi wariację na temat słów „voice” (z ang. głos) i „fishing”. Żartobliwie możemy nazwać tę metodę łowieniem głosów.

Wyobraź sobie, że pewnego dnia odbierasz telefon od osoby, która podaje się za pracownika banku. Używając skomplikowanych branżowych określeń, dzwoniący próbuje przekonać Cię, że właśnie jesteś atakowany i ktoś przelewa pieniądze z Twojego konta. Jak nietrudno zgadnąć, specjalista oferuje pomoc i ponownie – używając skomplikowanych, niezrozumiałych określeń – krok po kroku przeprowadza Cię przez kolejne czynności, udowadniając istnienie zagrożenia. Ostatnim etapem jest zazwyczaj prośba o zainstalowania oprogramowania, które ma zagwarantować zdalną pomoc ze strony banku. Przestępca może chcieć przeprowadzić rozmowę w taki sposób, aby uzyskać dane logowania do Twojego konta. Oczywiście te działania wcale nie działają na Twoją korzyść – wręcz przeciwnie.

Jak rozpoznać złośliwe ataki?

Nie ma jednego przepisu, jak rozpoznać takie ataki,  jednak pewne cechy łączą je wszystkie:

  • Podawanie wrażliwych danych takich jak: dane do logowania do banku, hasła, numery kart kredytowych wraz z kodem CVV oraz datą ważności. Pamiętaj, nawet pracownik banku nie będzie Cię pytać o te dane.
  • Próba wywołania presji na ofierze – za pośrednictwem mejla, rozmowy telefonicznej lub SMS-a. Przestępcy mogą mówić, że jesteś właśnie atakowany, ktoś kradnie Twoje pieniądze. Takie naciski ze strony hakera sprzyjają utracie czujności po stronie ofiary i podejmowaniu decyzji pod wpływem impulsu. Niestety, takie działanie mogą mieć długofalowe nieprzyjemne dla ofiary konsekwencje.
  • Niespodziewane wiadomości, które nie wynikają z Twojej prośby wraz z propozycją pomocy. Jeśli ktoś chce pomóc Ci na siłę, możesz przypuszczać, że jego zamiary nie są uczciwe.
  • Wiadomości i SMS-y od nieznanych nadawców – z linkami do zewnętrznych stron www. Przy SMS-ach dodatkowo wyświetla się numer telefonu nadawcy, a nie nazwa (np. ING). Takie wiadomości powinny wzbudzić naszą szczególną uwagę. Jeżeli nadawca wiadomości wyświetlany będzie jako numer telefonu, to zwróć uwagę na to, jak skonstruowany jest numer (np. gdy numer nie zaczyna się od +48, oznacza, że jest zarejestrowany za granicą – wtedy ryzyko ataku jest wysokie).

Samoobrona?

Podstawową zasadą ochrony przed atakami socjotechnicznymi jest zasada ograniczonego zaufania. Szczególnie wtedy, gdy ktoś do Ciebie dzwoni albo wysyła niespodziewane wiadomości, w których wywiera presję. Co możemy z tym zrobić?

  • Jeśli odbierzesz telefon (np. z banku lub innych instytucji), który wzbudzi Twoje podejrzenia, nie wykonuj żadnych działań. Nie instaluj żadnego oprogramowania, nawet jeśli prosi Cię o to przedstawiciel departamentu bezpieczeństwa Twojego banku (banki nigdy nie proszą o takie rzeczy),
  • Nie pozwalaj na zdalny dostęp do komputera,
  • Nie podawaj wrażliwych danych,
  • Aby sprawdzić wiarygodność rozmówcy, zapisz jego imię i nazwisko oraz nazwę firmy, którą reprezentuje. Następnie rozłącz się i zadzwoń do tej firmy na numer infolinii podany na stronie internetowej - poproś o potwierdzenie, że taki pracownik tam pracuje i, że faktycznie był wykonany do Ciebie telefon,
  • Nie podawaj nikomu danych logowania do bankowości internetowej,
  • Nie podawaj nikomu danych Twoich kart kredytowych,
  • Jeżeli za pośrednictwem portalu społecznościowego znajomy poprosi Cię o pomoc finansową, aby potwierdzić, czy rzeczywiście potrzebuje pomocy, skontaktuj się z nim osobiście lub przez telefon. Istnieje duże prawdopodobieństwo, że jego konto zostało zainfekowane lub dostało się w niepowołane ręce,
  • Nie reaguj na niespodziewane wiadomości i nie zgadzaj się na pomoc, o którą nie prosiłeś,
  • Nie klikaj w linki otrzymane mejlem lub SMS-em,
  • Stosuj różne hasła do swoich kont w internecie,
  • Tam, gdzie jest to możliwe, włącz podwójne uwierzytelnianie,
  • Aktualizuj na bieżąco system operacyjny - program antywirusowy i wszystkie aplikacje na swoim urządzeniu.

 

Bo liczą się ludzie!

Żadne, nawet najbardziej zaawansowane i najdroższe zabezpieczenia IT, nie pozwolą nam uniknąć wszystkich zagrożeń. Jedyną skuteczną metodą obrony przed atakami – a w szczególności atakami socjotechnicznymi – jesteśmy my sami. To od nas zależy, czy staniemy się ofiarami ataku socjotechnicznego.  Pamiętaj, „You are the firewall” – to Ty jesteś najlepszym mechanizmem obrony przed atakami socjotechnicznymi. Myśl – nie klikając zbyt szybko, patrz – zwracając uwagę na szczegóły w otrzymywanych wiadomościach, zatrzymaj się – kiedy coś sprawia wrażenie podejrzanego, zgłoś – jeżeli podejrzewasz oszustwo. Wszystko zależy od Twojej czujności.

 

Jak często spotykamy się z próbami oszustwa i czy umiemy się przed nimi bronić? Odpowiedzi na te i inne pytania poznaliśmy dzięki najnowszym badaniom konsumenckim przeprowadzonym przez Grupę ING -> ZOBACZ RAPORT

 

Zobacz też naszą infografikę dotyczącą Polaków i cyberbezpieczeństwa -> INFOGRAFIKA

Komentarze