Na czym polega Socjotechnika?

W szerszym kontekście, socjotechnika - inaczej inżynieria społeczna - opisywany jest każdy rodzaj manipulacji związany z psychologią behawioralną. Koncepcja ta jednak nie zawsze związana jest jedynie z działaniami kryminalnymi lub szeroko pojętymi oszustwami. W rzeczywistości inżynieria społeczna jest szeroko wykorzystywana i coraz intensywniej badana w różnych kontekstach, m.in w ramach nauk społecznych, psychologii oraz marketingu.

W kontekście bezpieczeństwa w sieci internet (czyt. cyberbezpieczeństwa), po metody socjotechniczne najczęściej sięgają oszuści i złodzieje. Zabiegi z zakresu inżynierii społecznej wykonywane są z ukrycia z nieznanych ofierze pobudek. Zazwyczaj prowadzą one do szeregu złośliwych działań, których głównym celem jest manipulacja ofiar i nakłanianie ich do wykonywania pożądanych ruchów, takich jak m.in przekazywanie przez nie swoich danych osobowych lub poufnych informacji, które najczęściej wykorzystywane są później przeciwko samym ofiarom lub firmom w których pracują, lub których są właścicielami. Zjawisko kradzieży tożsamości jest częstą konsekwencją tego rodzaju ataków, a wielu przypadkach potrafi wygenerować również znaczące straty finansowe.

Inżynieria społeczna bardzo często przedstawiana jest jako zagrożenie obecne jedynie w sieci internet, ale sama koncepcja socjotechniki istnieje już od dłuższego czasu, a termin ten może być również używany w odniesieniu do nieuczciwych działań podejmowanych przez oszustów w prawdziwym świecie, które zazwyczaj obejmują podszywanie się pod osoby publiczne (np. Prezydentów miast, burmistrzów) lub specjalistów z branży IT. Pojawienie się globalnej sieci Internet znacząco jednak ułatwiło hakerom wykonywanie ataków socjotechnicznych na zdecydowanie większą niż kiedykolwiek wcześniej skalę. Niestety tego typu złośliwe działania mają również miejsce w świecie kryptowalut.

Jak dokładniej działa socjotechnika?

Wszystkie obecnie istniejące rodzaje metod socjotechnicznych opierają się na słabościach wynikających z psychologii człowieka. Oszuści bardzo chętnie wykorzystują emocje do manipulowania i oszukiwania swoich ofiar. Strach, chciwość, ciekawość, a nawet chęć pomocy stanowią tło wielu najpopularniejszych metod. Jedną z najpopularniejszych i z pewnością najbardziej powszechnych jest phishing.

Phishing

E-maile phishingowe najczęściej naśladują korespondencję pochodzącą od prawdziwych firmy lub organizacji, takich jak np. Banki narodowe, renomowane sklepy internetowe lub dostawcy poczty e-mail. W niektórych przypadkach wysyłane przez oszustów wiadomości e-mail zawierają ostrzeżenia kierowane w stronę użytkowników (czyt. ofiar) m.in na temat tego, że ich konto musi zostać zaktualizowane lub wykryta na nim została podejrzana aktywność, tym samym zmuszając nieświadomych odbiorców do np. podania ich danych osobowych w celu potwierdzenia tożsamości lub zaktualizowania danych na koncie. Strach przed blokadą koda lub uzyskaniem do niego dostępu przez osoby trzecie sprawia, że wielu użytkowników bez przemyślenia klika na odnośniki zawarte w takiej wiadomości przechodząc do fałszywej strony spreparowanej przez atakującego. To właśnie w tym momencie informacje pożądane przez hakerów niemalże za przyzwoleniem ofiar trafiają w ich ręce.

Scareware (pol. Oprogramowanie zastraszające)

Socjotechnika jest również stosowana do rozprzestrzeniania tzw. Scareware. Jak sama nazwa wskazuje, scareware, to rodzaj złośliwego oprogramowania zaprojektowanego, aby straszyć i szokować użytkowników. Programy te zazwyczaj generują fałszywe alarmy, które próbują nakłonić ofiary do zainstalowania złośliwego oprogramowania, które wygląda legalnie lub nawiązania dostępu do strony internetowej, która zainfekuje ich system operacyjny. Oszuści wykorzystujący Scareware polegają na strachu użytkowników przed niepożądanym uszkodzeniem wykorzystywanego przez nich systemu operacyjnego, przekonując ich do kliknięcia w baner reklamowy lub wyskakujące okienko. Wiadomości stosowane przez oszustów zazwyczaj wyglądają mniej więcej w ten sposób: "Twój system jest zainfekowany, kliknij tutaj, aby go wyczyścić."

Baiting

Baiting jest kolejną metodą socjotechniczą, która potrafi wyrządzić znaczące szkody u nieostrożnych i nieuważnych użytkowników. Polega na wykorzystaniu tzw. Przynęt dosłownie wabiących ofiary żerując na ich naturalnej chciwości lub ciekawości. Aby lepiej zobrazować sobie baiting, posłużmy się przykładem: oszuści mogą stworzyć specjalną stronę internetową oferującą coś za darmo, np. pliki muzyczne, filmy lub książki. Aby jednak uzyskać dostęp do tych plików, użytkownicy muszą utworzyć konto, podając swoje dane osobowe. W niektórych przypadkach konto nie jest potrzebne, ponieważ pliki są bezpośrednio infekowane złośliwym oprogramowaniem, które przenika do systemu komputerowego ofiary, a następnie gromadzi z niego poufne dane.

Schemat przynęty może również występować w realnym świecie, gdzie przynętą może być np. pamięć USB lub zewnętrzne dyski twarde. Oszuści mogą umyślnie zostawiać zainfekowane urządzenia publicznych miejscach, tak aby każda zaciekawiona ich zawartością osoba, następnie zaraziła ich zawartością swój komputer osobisty.

Inżynieria społeczna i kryptowaluty

Chciwość na rynkach finansowych nie jest pożądaną cechą, a jednak to właśnie na rynkach finansowych występuje ona najczęściej - inwestorzy są szczególnie narażeni na ataki phishingowe, wszelkiego rodzaju schematy piramid finansowych i inne rodzaje oszustw. W branży blockchain ekscytacja generowana przez kryptowaluty (kurs, ogromne wzrosty wartości) stale przyciąga wielu nowych graczy w stosunkowo krótkim czasie (a szczególnie w czasie hossy).

Chociaż wiele z tych osób w pełni nie rozumie, jak dokładniej działa dana kryptowaluta, często słysząc o jej potencjale od innych osób oraz o możliwości generowania znaczących zysków w szybkim czasie, podejmuje się inwestycji, nie poprzedzając takiej decyzji odpowiednimi badaniami i przeglądem sytuacji. Znajomość technik i samego istnienia inżynierii społecznej jest szczególnie ważna dla początkujących, ponieważ to niestety właśnie oni są najczęściej ciągnięci w złą stronę przez ich własną chciwość lub łatwowierność.

Z jednej strony, chęć do szybkiego zarobku i prostego zdobycia konkretnych pieniędzy prowadzi tzw. nowych graczy do poddawania się fałszywym obietnicom airdropów lub akcji typu giveaway. Z drugiej strony strach przed uszkodzeniem prywatnych plików może spowodować, że użytkownicy zdecydują się zapłacić okup wymagany przez hakera. Najgorsze w tym wszystkim jest jednak to, że w niektórych przypadkach może nawet nie dojść do infekcji złośliwym oprogramowaniem, a decyzja użytkownika o wykonaniu takiego, a nie innego ruchu sterowana jest przy pomocy fałszywego komunikatu lub odpowiednio spreparowanej groźby.

Jak bronić się przed atakami socjotechnicznymi

Jak zostało to już wspomniane wyżej, oszustwa oparte o metody socjotechniczne działają i są skuteczne, ponieważ odwołują się bezpośrednio do ludzkiej natury. Ataki te jako motywator zazwyczaj wykorzystują strach, zachęcając (prawdę mówiąc zmuszając) ofiary do natychmiastowego działania, aby chronić siebie (lub swój system) przed nie do końca rzeczywistym zagrożeniem. Ataki socjotechniczne opierają się także na ludzkiej chciwości, wabiąc ofiary do różnego rodzaju oszustw inwestycyjnych. To właśnie dlatego tak ważnym jest, aby pamiętać, że jeśli jakaś oferta wygląda zbyt dobrze, aby mogła być prawdziwa, to najprawdopodobniej jest oszustwem..

Chociaż zdarzają się bardzo wyrafinowani oszuści, wielu atakujący popełnia masę zauważalnych błędów. Niektóre e-maile phishingowe, a nawet banery scareware, często zawierają błędy składniowe lub zawierają błędnie napisane słowa i okazują się skuteczne jedynie w odniesieniu do osób, które nie zwracają wystarczającej uwagi na gramatykę i ortografię - tak więc korzystając z Internetu miej oczy szeroko otwarte.

Aby uniknąć stania się ofiarą ataków socjotechnicznych, należy stosować się do następujących zasad bezpieczeństwa:

Kształć siebie, rodzinę i przyjaciół. Powiadamaj, informuj i nauczaj o najczęściej występujących przykładach ataków socjotechnicznych oraz informuj ich o podstawowych zasadach bezpieczeństwa w sieci;
W trakcie obchodzenia się z załącznikami i odnośnikami (linkami) w wiadomościach e-mail zachowuj szczególną ostrożność. Unikaj klikania w reklamy oraz strony o nieznanym Ci pochodzeniu;
Zainstaluj wiarygodny i polecany przez Twoich znajomych lub internautów program antywirusowy i dbaj o to aby wykorzystywane przez Ciebie aplikacje i system operacyjny były aktualne;
Tam gdzie to tylko możliwe korzystaj z uwierzytelniania dwuskładnikowego. Pamiętaj o skonfigurowaniu uwierzytelniania dwuskładnikowego (2FA) na swoim koncie Binance.
Dla firm: rozważ zakupienie szkoleń lub samodzielne przygotowanie poradników dla swoich pracowników służących identyfikacji i zapobiegania atakom typu phishing oraz atakom socjotechnicznym.

Słowem zakończenia

Cyberprzestępcy nieustannie poszukują nowych metod oszukiwania użytkowników. Ataki socjotechniczne w głównej mierze skupiają się na kradzieży funduszy i poufnych informacji, dlatego bardzo ważne jest, aby stale dokształcać w zakresie przeciwdziałania i identyfikacji oszustw zarówno siebie, jak i swoich bliskich. Internet jest swoistym przyczółkiem dla tego typu oszustw, a występują one szczególnie często w świecie kryptowalut. Bądź ostrożny, czujny i zawsze weryfikuj informacje - nie daj się złapać w pułapkę socjotechniczną.

Dodatkowo każdy, kto decyduje się na dokonywanie transakcji handlowych (czyt. wymiany) lub inwestycji w jakąkolwiek kryptowalutę, najpierw powinien dokonać solidnego przeglądu tych zagadnień i upewnić się, że dobrze rozumie zarówno rynki, jak i mechanizmy na których opiera się technologia blockchain.