Bezpieczny smartfon. W jaki sposób działają oszuści, którzy próbują wyłudzić od nas poufne informacje?
Świat technologii każdego dnia rozwija się w prawdziwie imponującym tempie. Nowoczesne, nieraz niezwykle zaawansowane rozwiązania od lat łączy jednak jeden wspólny element – są one tworzone przez ludzi i dla nich. Także na człowieku i popełnianych przez niego błędach skupiają się niektóre ataki oszustów. Do czynienia możemy mieć zaś z nimi nawet podczas zwyczajnych codziennych sytuacji: rozmowy telefonicznej lub przeglądania treści w smartfonie. Na czym polegają socjotechniki i jak się przed nimi zabezpieczyć?
Nazywane socjotechniką albo inżynierią społeczną – metody działania cyberprzestępców skoncentrowane na użytkownikach sieci i urządzeń mobilnych bywają niezwykle skuteczne. Dzieje się tak, ponieważ nawet najlepiej zaprojektowana technologia nie funkcjonuje w oderwaniu od człowieka, który jest w stanie obejść procedury czy zdradzić informacje potrzebne do logowania. To z kolei sprawia, że hakerów omija konieczność łamania zaawansowanych zabezpieczeń. Z danych Deloitte wynika, że aż 91% ataków hakerskich zaczyna się od maila z phisingiem1, stanowiącego popularną strategię socjotechniczną.
Warto tutaj podkreślić, że podstawowym mechanizmem ataku socjotechnicznego, niezależnie od obranej przez oszustów metody, zawsze jest manipulacja. Przestępcy próbują wprowadzić daną osobę w błąd, aby uzyskać od niej niezbędne im informacje, takie jak dane logowania. Aby osiągnąć ten cel, mogą podawać się za przedstawiciela instytucji, przełożonego lub członka rodziny. Są w stanie wymyślić pretekst uzasadniający obejście procedur, wysłać fałszywy link czy sugerować, że mamy do czynienia z fikcyjnym atakiem hakerskim, np. złośliwym oprogramowaniem na smartfonie. Scenariuszy jest wiele, lecz zagrożenie zawsze takie samo, dlatego dobrze poznać najpowszechniejsze techniki wykorzystywane przez internetowych oszustów
Phishing, vishing, a może smishing?
Niezależnie od typu, istotą wszystkich ataków socjotechnicznych jest próba wykorzystania zaufania ofiar. Oszustwo ma na celu skłonienie danej osoby do wykonania konkretnego zadania, np. przekazania informacji. Efekt ten można osiągnąć, bazując na różnych rozwiązaniach. Wspomniany już phishing bez wątpienia należy zaś do najczęściej stosowanych strategii. Polega on na wysyłaniu fałszywych e-maili, które wyglądają jak autentyczne wiadomości od godnych zaufania osób, instytucji i podmiotów. Celem jest zwykle pozyskanie danych do logowania lub innych poufnych informacji.
Bywa też, że podobne działania przestępcy prowadzą za pośrednictwem SMS-ów, a nawet rozmowy telefonicznej. W takich sytuacjach mamy do czynienia kolejno ze smishingiem oraz vishingiem. A co, jeśli próba manipulacji sprowadza się do fałszowania danych identyfikacyjnych? Oszuści podszywają się wówczas pod nr IP, nr telefonu lub adres e-mail danego podmiotu, w takim natomiast wypadku możemy mówić o spoofingu. Machine learning pozwala na imitowanie w czasie rzeczywistym czyjegoś głosu lub nawet obrazu, dlatego musimy być jeszcze bardziej czujni na tego rodzaju zagrożenia.
Inną socjotechniką stosowaną przez hakerów jest preteksting – metoda, w ramach której atakujący stwarza fałszywy pretekst lub scenariusz, aby skłonić ofiarę do przekazania informacji. Zdarzają się także przypadki związane ze scareware, czyli „fałszywym oprogramowaniem zabezpieczającym”, które jest podsuwane użytkownikowi jako rozwiązane danego, nierzadko fikcyjnego, problemu lub zagrożenia.
Chroni nas czujność
Lista socjotechnik jest jednak w zasadzie niewyczerpana, a kreatywność cyberprzestępców pozwala im regularnie opracowywać nowe metody działania. Z tego powodu w sieci zawsze warto wykazywać się czujnością, a swoją wiedzę aktualizować – jest ona bowiem najlepszą „tarczą ochronną” w przypadku incydentów z obszaru inżynierii społecznej. O czym jeszcze warto pamiętać?
- Każdy mail i SMS od danej firmy lub instytucji należy dokładnie przeanalizować. Czy w treści pojawiają się błędy lub literówki? Czy adres mailowy jest poprawny? Jeśli mamy jakiekolwiek wątpliwości, skontaktujmy się z instytucją inną drogą, np. za pomocą infolinii, by upewnić się co do wiadomości. Pod żadnym pozorem nie klikajmy zaś w linki i załączniki.
- Jeśli otrzymamy powiadomienie skłaniające do szybkiego działania, np. wniesienia opłaty za przesyłkę, instalacji aplikacji czy konieczności zalogowania się do systemu, zatrzymajmy się – to jedna z popularnych form ataku. Dobrze w takiej sytuacji przeanalizować całą treść: czy dana instytucja wysyła SMS-y z tego nru? Czy wydawaliśmy ostatnio jakąś dyspozycję i jest prawdopodobne, że firma kontaktowałaby się z nami w tym momencie? Jeśli cokolwiek powoduje nasz niepokój, najlepiej zadzwonić do danego podmiotu, wybierając numer ręcznie na klawiaturze telefonu.
- Każdorazowo dobrze zwrócić szczególną uwagę na pytania o nasze poufne dane. Przedstawiciel banku nigdy nie powinien uzyskać naszego PIN-u do karty, a wszelkie próby zdobycia tego typu informacji powinny być dla nas alarmujące. W takim wypadku najlepiej przerwać rozmowę i zakończyć połączenie.
- Fałszywe linki często kierują do stron imitujących portale różnych firm i instytucji. Dlatego zawsze przed ich otworzeniem warto się upewnić, że adres nie zawiera błędów i literówek. Kiedy zaś znajdziemy się już w serwisie, sprawdźmy, czy strona jest chroniona certyfikatem bezpieczeństwa (symbol zamkniętej kłódki).
- Uważajmy na podejrzane telefony i wiadomości od przyjaciół lub rodziny. Jeżeli nie poznajemy głosu rozmówcy albo wiadomość, którą otrzymaliśmy na komunikatorze, wydaje nam się niepokojąca, skontaktujmy się z daną osobą w inny sposób.
- Bądźmy wyczuleni na nieistniejące procedury – w sytuacji, gdy ktoś prosi nas o działanie niezgodne z regulaminem danej instytucji, np. podanie danych, do których nie powinien mieć dostępu, odmówmy.
O socjotechnikach więcej dowiedzieć się można także z poświęconego im odcinka serii „Pewni w sieci”, w którym swoją ekspercką wiedzą podzielił się Paweł Dobrzański z T-Mobile.
W oddzielnych artykułach opisaliśmy również zagadnienie bezpieczeństwa w e-administracji, sharentingu, sztucznej inteligencji czy cyfrowej higieny. Zachęcamy do zapoznania się z nimi!
