Pewnie każdy z nas przynajmniej raz w życiu marzył o tym, by zostać superbohaterem – lub chciał choćby posiadać jedną z ich supermocy. Jedni z nas chcieli być silni jak Hulk, inni – szybcy jak Flash, a jeszcze inni marzyli o tym, by zdobywać władzę nad ludzkimi umysłami. To właśnie tą ostatnią mocą zajmiemy się w dzisiejszym artykule. A mówiąc dokładniej - socjotechniką.
Powszechnie uważa się, że pojęcie socjotechniki i wszystko, co pod nim się kryje, jest narzędziem, które wykorzystują głównie hakerzy, przestępcy, czy też służby specjalne. Czy na pewno tak jest?
Niech każdy z nas odpowie sobie teraz na pytanie, czy kiedykolwiek stosował socjotechnikę do osiągnięcia swoich prywatnych celów? Odpowiedź pewnie brzmi: „tak”. Korzystamy z elementów socjotechniki w każdym aspekcie naszego życia, w którym wchodzimy w interakcję z drugim człowiekiem.
Dobrym przykładem jest rozmowa roczna z przełożonym, na której to Ty próbujesz wykorzystać swoje umiejętności socjotechniczne, by tak wpłynąć na swojego przełożonego, aby ten przystał np. na prośbę o podwyżkę. Jeżeli każdego roku udaje Ci się uzyskać swoje założenia w 100%, to gratuluję - jesteś mistrzem socjotechniki.
Socjotechnika to wszystkie sposoby wywierania wpływu na człowieka, które stosujesz przy użyciu technik komunikacyjnych – np. siła perswazji, czy intensyfikacja lęku. Mówiąc prościej, socjotechnika to umiejętność manipulowania umysłem ludzkim w taki sposób, aby finalnie uzyskać od drugiej osoby to, co my chcemy – nawet wbrew jego woli i w taki sposób, by dana osoba nie spostrzegła, że została zmanipulowana. Stosuje się je w życiu codziennym, pracy, polityce, czy też reklamie.
Podstawowe metody socjotechniki to np. perswazja, manipulacja, intensyfikacja lęku. Znasz te techniki? A może wykorzystujesz je nieświadomie do realizacji swoich zamiarów? Gorzej, jeśli robisz to świadomie. Oczywiście, nie zawsze intencje towarzyszące stosowaniu metod socjotechniki zasługują na potępienie – tego typu działanie jest wręcz wskazane przy kampaniach edukacyjnych, akcjach charytatywnych, czy w marketingu, (co trudno jednoznacznie nazwać nieetycznym). Wiedza o socjotechnice staje się obecnie bardzo ważna. Trzeba być świadomym jej istnienia, aby skutecznie się przed nią bronić.
Socjotechniki dotyczą niemal każdego aspektu naszego życia. Wyobraźmy sobie sytuacje: idziemy po chodniku, podchodzi do nas obca osoba, pyta nas o imię. Co robisz? Zdradzasz swoje imię? Czy dopytujesz? Większość z nas pewnie odruchowo odpowiedziałaby na pytanie, a dopiero później zaczęła dopytywać, po co nieznajomemu ta informacja. Nigdy nie powinniśmy zdradzać swoich danych nieznajomym, bo nawet pozornie nic nieznacząca dana w rękach hakera może być niebezpieczna. Prawdziwy mistrz socjotechniki jest zawsze o krok do przodu. Pamiętajmy o tym.
Przejdźmy teraz do meritum – do socjotechniki w świecie IT. Socjotechnika pozwala wykorzystywać ludzkie zachowania do złamania zabezpieczeń IT – w taki sposób, aby ofiara nie była w stanie się domyślić, że została zmanipulowana.
Zdefiniujmy sobie pojęcie hakera na potrzebę tego artykułu. Przyjmijmy, że haker to osoba, która zna tajniki świata IT, jest wybitnym specjalistą w dziedzinie socjotechniki i wykorzystuje jej metody do łamania zabezpieczeń w świecie IT. Dobry haker to przede wszystkim mistrz socjotechniki. Najważniejszym aspektem sukcesu każdego ataku jest „złamanie” człowieka, – bo bardzo często to ludzie są najsłabszym ogniwem w łańcuchu zabezpieczeń IT.
Celem hakera jest nakłonienie ofiar do tego, aby wykonały określone czynności – np. podały dane logowania do konta bankowego, dane osobowe, czy też hasła jednorazowe/autoryzacyjne. To od nas samych zależy, czy staniemy się ofiarami ataku. Każdy z nas jest firewallem – tarczą obronną, która zatrzymuje próby ataku.
Hakerzy w atakach socjotechnicznych bardzo często przypisują sobie fałszywą tożsamość, podszywając się pod pracowników służb mundurowych, banków, serwisów, firm kurierskich, czy też innych instytucji. By dopiąć swego, wykorzystują różne kanały dotarcia do potencjalnych ofiar.
Do przykładowych kanałów komunikacji możemy zaliczyć:
Trudno wskazać jeden kanał, który najczęściej wykorzystują hakerzy. Możemy przyjąć, że wszystkie wymienione kanały komunikacyjne wykorzystywane przez hakerów są równie popularne, a ich częstotliwość wykorzystania zmienia się w czasie.
Pytanie konkursowe: Który z poniższych ataków hakerskich jest nieprawdziwy:
Oczywiście nie istnieje atak typu fishing. Jest to po prostu sport, który polega na łowieniu ryb.
Większość z nas bez wątpienia spotkała się z pojęciem phishing. Sam wyraz – phishing – jest kombinacją słów password (z ang. hasło) i fishing (z ang. łowić), co można przetłumaczyć, wprost jako łowienie haseł. O phishingu jest mowa, kiedy pozornie godna zaufania wiadomość e-mail nakłania Cię do przekazania danych osobowych – często za pomocą gróźb lub poczucia pilności, aby skłonić Cię do szybkiego działania bez zastanowienia.
W niektórych przypadkach oszuści mogą stworzyć fałszywą stronę internetową o adresie podobnym do oryginalnej witryny i wykorzystać techniki z zakresu optymalizacji wyszukiwarek, aby upewnić się, że dany adres pojawia się w pierwszej dziesiątce dowolnych wyszukiwań w przeglądarce. Wszelkiego rodzaju linki umieszczone w otrzymanych phishingowych wiadomościach przekierowują do sfałszowanych stron www, których jedynym celem jest wykradzenie Twoich danych.
Jeżeli za kanał komunikacyjny został wybrany SMS, wtedy mamy do czynienia ze smishingiem. Wyraz smishing powstał z połączenia dwóch słów: „sms” i „phishing”. Jest to nic innego, jak wyłudzanie danych za pomocą SMS-ów. Najczęściej oszuści wysyłają w SMS-ie link do fałszywej strony banku i proszą o pilne zalogowanie się do konta. Osoba, która w ten sposób zaloguje się do bankowości, przesyła wrażliwe dane w ręce złodziei. Drugim popularnym scenariuszem w tym wypadku jest link prowadzący do aplikacji, którą haker zaleca nam zainstalować.
Ponieważ haker wie, że nie zwracamy uwagi na szczegóły otrzymywanych wiadomości. Wszelkiego rodzaju komunikatory internetowe, social media i język, jaki jest w nich używany, powoduje, że zatracamy czujność. Używamy prostych zwrotów językowych, które bardzo często nie są zgodne z zasadami języka polskiego. Nie jesteśmy przez to w stanie zauważyć, że język w wiadomościach nie jest poprawny – występują błędy ortograficzne i interpunkcyjne.
Dodatkowo bardzo często nie czytamy też treści wiadomości. Wyszukujemy w nich kod autoryzacyjny i – nie czytając, do czego on służy – czym prędzej chcemy go wprowadzić. Dzieje się tak, ponieważ zwyczajnie szkoda nam kilku sekund życia na przeczytanie krótkiej treści wiadomości. A to w wielu przypadkach mogłoby uratować nasze finanse. Podobnie dzieje się w przypadku linków, w które wchodzimy bez zastanowienia, nie zwracając uwagi na to, jak są one skonstruowane i do jakiej strony faktycznie nas odsyłają. Hakerzy o tym wiedzą i to wykorzystują. Pamiętajmy o tym i nie pozwalajmy się oszukać. Czytajmy wiadomości, zwracajmy uwagę, jak skonstruowane są linki i gdzie nas odsyłają. Pamiętajmy, że sami jesteśmy najlepszą linią obrony przed atakami hakerów.
Rzadziej spotykaną metodą ataku, ale w ostatnich czasach zyskującą popularność, jest vishing, czyli wyłudzanie danych w trakcie rozmowy telefonicznej. W tym przypadku definicja stanowi wariację na temat słów „voice” (z ang. głos) i „fishing”. Żartobliwie możemy nazwać tę metodę łowieniem głosów.
Wyobraź sobie, że pewnego dnia odbierasz telefon od osoby, która podaje się za pracownika banku. Używając skomplikowanych branżowych określeń, dzwoniący próbuje przekonać Cię, że właśnie jesteś atakowany i ktoś przelewa pieniądze z Twojego konta. Jak nietrudno zgadnąć, specjalista oferuje pomoc i ponownie – używając skomplikowanych, niezrozumiałych określeń – krok po kroku przeprowadza Cię przez kolejne czynności, udowadniając istnienie zagrożenia. Ostatnim etapem jest zazwyczaj prośba o zainstalowania oprogramowania, które ma zagwarantować zdalną pomoc ze strony banku. Przestępca może chcieć przeprowadzić rozmowę w taki sposób, aby uzyskać dane logowania do Twojego konta. Oczywiście te działania wcale nie działają na Twoją korzyść – wręcz przeciwnie.
Nie ma jednego przepisu, jak rozpoznać takie ataki, jednak pewne cechy łączą je wszystkie:
Podstawową zasadą ochrony przed atakami socjotechnicznymi jest zasada ograniczonego zaufania. Szczególnie wtedy, gdy ktoś do Ciebie dzwoni albo wysyła niespodziewane wiadomości, w których wywiera presję. Co możemy z tym zrobić?
Żadne, nawet najbardziej zaawansowane i najdroższe zabezpieczenia IT, nie pozwolą nam uniknąć wszystkich zagrożeń. Jedyną skuteczną metodą obrony przed atakami – a w szczególności atakami socjotechnicznymi – jesteśmy my sami. To od nas zależy, czy staniemy się ofiarami ataku socjotechnicznego. Pamiętaj, „You are the firewall” – to Ty jesteś najlepszym mechanizmem obrony przed atakami socjotechnicznymi. Myśl – nie klikając zbyt szybko, patrz – zwracając uwagę na szczegóły w otrzymywanych wiadomościach, zatrzymaj się – kiedy coś sprawia wrażenie podejrzanego, zgłoś – jeżeli podejrzewasz oszustwo. Wszystko zależy od Twojej czujności.
Jak często spotykamy się z próbami oszustwa i czy umiemy się przed nimi bronić? Odpowiedzi na te i inne pytania poznaliśmy dzięki najnowszym badaniom konsumenckim przeprowadzonym przez Grupę ING -> ZOBACZ RAPORT
Zobacz też naszą infografikę dotyczącą Polaków i cyberbezpieczeństwa -> INFOGRAFIKA
Aby dodać komentarz, musisz się zarejestrować. Jeśli jesteś już zarejestrowany, zaloguj się. Jeśli jeszcze się nie zarejestrowałeś, zarejestruj się i zaloguj.