Tágabb értelemben a viselkedéspszichológiához kapcsolódó bármilyen manipuláció social engineering tevékenységnek tekinthető. A fogalom azonban nem mindig kapcsolódik bűncselekményhez vagy csaláshoz. Valójában a social engineering tevékenységeket széles körben használják és tanulmányozzák különböző kontextusokban, például a társadalomtudományok, a pszichológia és a marketing területén.
A kiberbiztonság terén hátsó szándékkal alkalmaznak social engineering stratégiát, mely olyan rosszindulatú tevékenységek összességére utal, amelyekkel megpróbálják az embereket rossz döntések meghozatalára manipulálni, például olyan személyes vagy bizalmas információk átadására, amelyeket később ellenük vagy a vállalatuk ellen használhatnak fel. A személyazonossággal való visszaélés az ilyen típusú támadások gyakori következménye, és sok esetben jelentős pénzügyi veszteségekhez vezet.
A social engineering taktikákat gyakran kiberfenyegetésként mutatják be, de a fogalom már régóta létezik, és a kifejezés olyan valós világbeli csalások kapcsán is használható, amelyek során a bűnözők általában hatóságokat vagy informatikai szakembereket személyesítenek meg. Az internet megjelenésével azonban a hackerek számára sokkal könnyebbé vált a manipulatív támadások szélesebb körű végrehajtása, és sajnos ezek a rosszindulatú tevékenységek sokszor a kriptovalutákat is magukba foglalják.
Hogyan működik?
A social engineering technikák mindegyik típusa az emberi pszichológia gyengeségein alapul. A csalók kihasználják az érzelmeket, hogy manipulálják és becsapják áldozataikat. Az emberek félelmét, kapzsiságát, kíváncsiságát, sőt, még a másokon való segítő szándékukat is ellenük fordítják különböző módszerekkel. A social engineering rosszindulatú fajtái közül az adathalászat minden bizonnyal az egyik leggyakoribb és legismertebb példa.
Adathalászat
Az adathalász e-mailek gyakran egy legitim cég, például egy nemzeti banklánc, egy jó hírű online áruház vagy egy e-mail szolgáltató leveleit imitálják. Egyes esetekben ezek a klón e-mailek figyelmeztetik a felhasználókat, hogy a fiókjukat frissíteni kell, vagy szokatlan tevékenységet észleltek, és arra kérik őket, hogy adják meg személyes adataikat, hogy megerősítsék személyazonosságukat és rendbe hozzák a fiókjukat. Félelmükben egyesek azonnal rákattintanak a linkekre, és egy hamis weboldalra navigálnak, hogy megadják a kért adatokat. Ekkor az információ a hackerek kezébe kerül.
Scareware
A social engineering technikákat az úgynevezett scareware terjesztésére is alkalmazzák. Ahogy a neve is sugallja, a scareware egy olyan rosszindulatú program, amelyet a felhasználók megijesztésére és sokkolására terveztek. Ezek általában hamis riasztások létrehozásával próbálják rávenni az áldozatokat egy legitimnek tűnő csaló szoftver telepítésére, vagy egy olyan weboldalra való belépésre, amely megfertőzi a rendszerüket. Az ilyen technikák gyakran azon alapulnak, hogy a felhasználók félnek attól, hogy rendszerük kompromittálódik, és ráveszik őket arra, hogy egy internetes bannerre vagy felugró ablakra kattintsanak. Az üzenetek általában valami ilyesmit tartalmaznak: „A rendszered fertőzött, kattints ide a megtisztításhoz.”
Beetetés
A beetetés egy másik social engineering módszer, amely sok figyelmetlen felhasználónak okoz gondot. A bűnözők csalikat használnak, hogy áldozataikat mohóságuk vagy kíváncsiságuk révén beetessék. A csalók például létrehozhatnak egy olyan weboldalt, amely ingyen kínál valamit, például zenefájlokat, videókat vagy könyveket. Ahhoz azonban, hogy hozzáférjenek ezekhez a fájlokhoz, a felhasználóknak létre kell hozniuk egy fiókot, és meg kell adniuk személyes adataikat. Bizonyos esetekben nincs szükség fiókra, mivel a fájlok közvetlenül fertőzöttek a rosszindulatú szoftverekkel, amelyek behatolnak az áldozat számítógépes rendszerébe, és begyűjtik az érzékeny adatokat.
A beetetések a valós életben is előfordulhatnak USB-stickek és külső merevlemezek használatával. A csalók szándékosan hagyhatnak fertőzött eszközöket nyilvános helyen, így bármely kíváncsiskodó, aki elviszi, hogy ellenőrizze a tartalmát, végül megfertőzi a saját számítógépét.
Social engineering és kriptovaluták
A kapzsi mentalitás igen veszélyes lehet a pénzügyi piacokon, ami a kereskedőket és a befektetőket különösen sebezhetővé teszi az adathalász-támadásokkal, Ponzi-sémákkal vagy piramisjátékokkal és más típusú átverésekkel szemben. A blokklánciparon belül a kriptovaluták által keltett izgalom viszonylag rövid idő alatt (különösen a bikapiacok idején) sok újoncot vonz a területre.
Bár sokan nem értik teljesen, hogyan működnek a kriptovaluták, gyakran hallanak arról, hogy ezeken a piacokon profitot kereshetnek, és végül megfelelő kutatás nélkül fektetnek be. A social engineering különösen az újoncokat érinti, mivel gyakran saját kapzsiságuk vagy félelmük csapdájába esnek.
Egyrészt a gyors profit és a könnyű pénzkeresés iránti vágy végül arra készteti az újonnan érkezőket, hogy hamis ábrándokat kergessenek, amelyek a különféle ajándékokat és airdropokat ígérnek. Másrészt a privát fájljaik kompromittálódásától való félelem arra késztetheti a felhasználókat, hogy váltságdíjat fizessenek. Sok esetben nincs valódi zsarolóvírus-fertőzés, és a felhasználókat egy hamis riasztás vagy a hackerek által létrehozott üzenet csapja be.
A social engineering támadások megelőzése
Mint említettük, a social engineering csalások azért működnek, mert az emberi természetre apellálnak. Általában a félelmet használják motivációként, arra ösztönözve az embereket, hogy azonnal cselekedjenek, hogy megvédjék magukat (vagy a rendszerüket) egy nem létező fenyegetéstől. A támadások ugyanakkor az emberi kapzsiságra is támaszkodnak, különféle befektetési csalásokba vonzzák az áldozatokat. Ezért fontos szem előtt tartani, hogy ha egy ajánlat túl jónak tűnik ahhoz, hogy igaz legyen, akkor valószínűleg az is.
Bár vannak kifinomult csalók, sokan követnek el észrevehető hibákat. Egyes adathalász e-mailek, sőt még a scareware bannerek is gyakran tartalmaznak szintaktikai hibákat vagy helyesírási hibákat, és csak azok ellen hatásosak, akik nem figyelnek eléggé a nyelvtanra és a helyesírásra - ezért tartsa nyitva a szemét.
Érdemes megfontolni a következő biztonsági intézkedéseket ha nem szeretne social engineering támadások áldozatává válni:
Tájékozódjon, és tájékoztassa családját és barátait is. Hívja fel figyelmüket a rosszindulatú social engineering gyakori eseteire, és tájékoztassa őket az általános biztonsági alapelvekről.
Legyen óvatos az e-mail mellékletekkel és hivatkozásokkal. Ne kattintson ismeretlen forrásból származó hirdetésekre és webhelyekre;
Telepítsen egy megbízható vírusirtót, és tartsa naprakészen szoftvereit és operációs rendszerét;
Amikor csak teheti, használjon többfaktoros hitelesítési megoldásokat e-mail hitelesítő adatainak és egyéb személyes adatainak védelme érdekében. Állítson be kétfaktoros hitelesítést (2FA) a Binance fiókjához.
Vállalkozások számára: fontolja meg munkavállalói felkészítését az adathalász-támadások és a social engineering rendszerek felismerésére és megelőzésére.
Záró gondolatok
A kiberbűnözők folyamatosan új módszereket keresnek a felhasználók megtévesztésére, hogy ellopják pénzeszközeiket és érzékeny adataikat, ezért nagyon fontos, hogy tájékozódjon ezekről a dolgokról, és tájékoztassa az ismerőseit is. Az internet tökéletes helyszínként szolgál az ilyen típusú átverésekhez, melyek különösen gyakoriak a kriptovaluták területén. Legyen óvatos és maradjon éber, hogy elkerülje a social engineering csapdáit.
Továbbá bárkinek, aki kriptovalutával szeretne kereskedni vagy kriptovalutába kíván befektetni, előzetes kutatást kell végeznie, és ismernie kell mind a piacokat, mind a blokklánc-technológia működési mechanizmusait.