Wakacje jeszcze trwają, słonko, plaża….ach…lecz w tym ferworze radości i rozluźnienia pamiętajmy, że haker nie próżnuje, chociaż nic by się nie stało, jakby też sobie przerwę zrobił.
Już minęły czasy, gdzie tylko działy IT dbały o cyberbezpieczeństwo, świat idzie do przodu, dziś pracujemy nie tylko z biura, ale i z domu, kawiarni, restauracji czy pociągu. Ponadto jak dobrze wiemy cyberbezpieczeństwo nie dotyczy tylko firm, organizacji, a wszystkich ludzi!
W związku z tym, by wyjść temu naprzeciw, przygotowany został dzisiejszy artykuł.
Tak jak wspomniałam okres wakacji w pełni, ale to może również okazać się dobry czas na zwiększanie świadomości z zakresu cyberzagrożeń, dziś pod „CompNet-ową lupkę” bierzemy jakże ważne pojęcie socjotechniki/inżynierii społecznej. Teraz zapraszam do wzięcia koca, zimnej lemoniady i chłonięcia wiedzy zawartej w artykule.
Na wstępie zapoznajmy się z samą definicją socjotechniki. Według słownikowej definicji jest to „zespół technik służących osiągnięciu określonych celów poprzez manipulację społeczeństwem.” Mówiąc prościej, socjotechnika polega na skłonieniu użytkownika do wykonania określonej czynności poprzez wzbudzenie zaufania, silnych emocji bądź strachu.
Wobec takiej definicji rozumiemy, że socjotechnika to nie atak na urządzenia czy systemy, a atak na ludzi!
Moim zdaniem socjotechnika tak naprawdę jest elementem każdego ataku. Niestety, ale kluczem do sukcesu cyberprzestępców jest podatność ofiar na różne metody socjotechniki. Bowiem nie należy im się pochwała ale przyznać należy, że są to niestety mistrzowie manipulowania ludźmi. Wskazane poniżej przykłady wskazują na bardzo powszechny rodzaj ataku z użyciem socjotechniki, którym jest phishing (najczęściej przybiera formę fałszywych e-maili czy wiadomości SMS), ale o nim więcej możecie poczytać we wcześniejszych naszych artykułach, np. tu: https://www.comp-net.pl/2023/04/28/phishing-wrog-publiczny-nr-1/ oraz vishing (działania najczęściej poprzez połączenia telefoniczne, zmierzające do uzyskania informacji umożliwiających identyfikację osoby lub zresetowania hasła). Jak wygląda użycie socjotechniki w praktyce? To najczęściej podszycie się pod kogoś. Lecz to nie jest zwykłe podszycie się pod kogoś, byłoby to zbyt łatwe do odszyfrowania.
Za podszyciem stoi: władza, autorytet, zaufanie. Co za tym idzie? Choćby i podszycie się pod policjanta, pracownika banku czy pracownika urzędu skarbowego.
Charakterystyka socjotechniki:
- wzbudzenie strachu
- pośpiech=liczy się czas
- emocje
- wygrana, nagroda, zachęta
Najczęstsze sposoby: rozmowa telefoniczna, wiadomość mailowa/sms.
Cel: Uzyskanie poufnych danych np. do logowania i wyciągnięcie cennych dla atakującego informacji, które pomogą mu w przeprowadzeniu ataku.
Strata: Nieświadoma manipulacji osoba, jest w stanie ulec sugestii i pod wpływem emocji popełnia błąd, która umożliwia przestępcom przeprowadzenie skutecznego ataku.
Przykłady:
1. Na blogu Niebezpiecznika, czytamy: „Ryccy policjanci prowadzą postępowanie w sprawie oszustwa, którego ofiarą padł 62-atek. Mieszkaniec powiatu ryckiego poinformował mundurowych, że wczoraj około godziny 17:00 skontaktował się z nim telefonicznie mężczyzna, który przedstawił się jako funkcjonariusz Policji. W trakcie rozmowy poinformował 62-latka, że jego pieniądze na koncie bankowym są zagrożone. Zmanipulowany przez oszusta mężczyzna udostępnił mu dane niezbędne do zalogowania na koncie bankowym, a następnie przekazał dane niezbędne do autoryzacji przelewów. Gdy zorientował się, że mógł zostać oszukany, zgłosił sprawę policji. Niestety do tego czasu oszuści podjęli z jego konta bankowego ponad 200 tysięcy złotych” źródło: https://sekurak.pl/ksiadz-stracil-600000-zl-inna-ofiara-200000-zl-ataki-socjotechniczne-na-policjanta-ktory-chroni-przed-hackerami-przybieraja-na-sile-uwazajcie/
2. Socjotechnika w wiadomości mailowej, tym razem printscreen fałszywej wiadomości od dostawcy.
3. SMS: Uwaga wygrałeś/wygrałaś!
4. Strach?
5. Wybawca?
Na jednym z portali czytamy: „50-letni mieszkaniec Hajnówki odebrał telefon od mężczyzny, który przekonywał, że jest pracownikiem banku. Został poinformowany, że jego oszczędności są zagrożone. Usłyszał także, że ktoś starał dostać się do jego firmowego konta oraz podjął próby zaciągnięcia kredytu i przelania funduszy na podejrzany rachunek. Pracownica banku “zaproponowała mieszkańcowi Hajnówki przelanie funduszy na tzw. konta zastępcze. Te miały zostać stworzone i dodane do głównego rachunku bankowego 50-latka. Przestraszony mężczyzna postępował zgodnie z instrukcjami podanymi przez oszustkę i przelał dwukrotnie kwotę w wysokości 45 tys. zł na konta bankowe. Gdy po chwili oszukany mężczyzna podjął próbę zalogowania się na swój rachunek, dowiedział się, że dostęp został zablokowany”. (źródło: https://finanse.wp.pl/podszywali-sie-pod-pracownikow-banku-z-konta-wyparowalo-90-tys-zl-6863663689513632a)
Przykładów jest tysiące, ale właśnie na co zwrócić uwagę? Kiedy powinna nam się zaświecić czerwona lampka?
Wiadomość e-mail/sms/komunikator internetowy np. Messenger:
– np. w wiadomości e-mail zwracaj uwagę na treść wiadomości – czy nie zawiera błędów językowych, stylistycznych.
– Nie rozpoznajesz nadawcy wiadomości e-mail? Rozważ jej usunięcie. Jeśli zdecydujesz się ją przeczytać, uważaj, aby nie klikać linków i nie pobierać plików. Jeśli masz kontakt z nadawcą, zadzwoń do niego i zweryfikuj czy faktycznie to on wysłał wiadomość.
– W przypadku linków przesłanych w treści wiadomości bardzo dokładnie sprawdzaj domeny, na które zostaniesz przekierowany po ich kliknięciu. Najedź na dany link kursorem, aby wyświetlić adres, do którego zostaniesz przekierowany.
– tworzony przez nadawcę maila lub SMS-a nacisk związany z koniecznością podjęcia natychmiastowej decyzji, działania.
– Uwaga na sensacyjne wiadomości, strony wymagające dodatkowego logowania, również te udostępniane z kont znajomych w mediach społecznościowych.
Rozmowa telefoniczna:
- Pracownik banku mówi o konieczności przekazania danych logowania do konta bankowego, haseł, numerów kart kredytowych wraz z kodem CVV. Bo np. zaobserwowano wypłatę z twojego konta
- Tworzona przez rozmówcę presja czasu związana z koniecznością podjęcia natychmiastowej decyzji
Wobec tego moja reguła 4 zasad „antysocjotechnicznych” brzmi:
- Nie klikaj w link wskazany w mailu, jeśli chcesz zweryfikować prawdziwość treści maila skontaktuj się sam telefonując do rzekomego adresata wiadomości. Np. jeśli to ktoś z banku, rozłącz się i zadzwoń na infolinie tego banku.
- Nigdy nikomu nie udostępniaj swoich danych uwierzytelniających.
- Weryfikuj tożsamość każdej osoby, która żąda przekazania Twoich danych, np. rozłącz się z rozmówcą i sam wykonaj telefon do np. oddziału banku, firmy kurierskiej itd.
- Aktualizuj na bieżąco system operacyjny, przeglądarkę internetową, aplikacje i program antywirusowy.
Jak się bronić i jak zwiększyć szanse na wygraną z hakerem?
- Zawsze stosuj zasadę ograniczonego zaufania.
- Pamiętaj, że w starciu z cyberoszustami najlepszą strategią jest zachowanie spokoju.
- Zainstaluj filtr antyspamowy/antyphishingowy.
- Edukuj się! Świadomość to podstawa. Warto wiedzieć, iż kreatywność atakujących jest coraz większa, wobec tego warto więc ćwiczyć i przeprowadzać również testy socjotechniczne oraz szkolenia z zakresu zagrożeń w cyberbezpieczeństwie. Po co? By podnosić świadomość swoją i współpracowników. Nie wiesz gdzie szukać takich szkoleń? Zapraszamy Cię na Naszą stronę: https://www.comp-net.pl/oferta/
- Czytaj! Bądź czytelnikiem naszego bloga, na którym dzielimy się wiedzą. Oczywiście polecamy także inne branżowe blogi. Po prostu korzystajmy z ogólnodostępnych informacji na temat cyberbezpieczeństwa.
PAMIĘTAJ!
Cybercwaniaki wykorzystują nasze emocje i grają na naszych emocjach.
Nie daj się im!
Jeśli chcesz sprawdzić czy Twoi współpracownicy są podatni na ataki z wykorzystaniem socjotechniki oraz zweryfikować kwestie zarządzania cyberbezpieczeństwem w swojej firmie, serdecznie Cię zapraszam pod wskazany link https://www.comp-net.pl/oferta/
Spokojnej reszty wakacji
Autor: Ewa Sobczyk – Kierownik Projektu CompNet Sp. z o.o.