Czy zastanawialiście się, dlaczego mailowe kampanie phishingowe są skuteczne? Dlaczego sms-y bądź wiadomości przesyłane przez komunikatory społecznościowe powodują, że część użytkowników przekazuje oszustom dane dostępowe bądź przelewa pieniądze?
Odpowiedzią na te pytania jest socjotechnika, czyli inaczej inżynieria społeczna, będąca zbiorem technik służących osiągnięciu określonych celów poprzez manipulację osobą lub grupą ludzi.
Kto wykorzystuje socjotechnikę?
Wszyscy przestępcy. Mniej lub bardziej świadomie. Czasami są to „hakerzy entuzjaści”, którzy chcą się po prostu wykazać. O wiele częściej osoby bądź profesjonalne grupy przestępcze, z jasno określonym celem – tak zmanipulować ofiarę, aby osiągnąć założony cel:
- wyłudzić dane,
- okraść z pieniędzy,
- skompromitować wizerunek (osoby bądź firmy),
- na podstawie powyższych przygotować kolejny, sprofilowany atak.
Techniki, jakich używają cyberprzestępcy określił już Robert Cialdini w swojej bestsellerowej książce „Wywieranie wpływu na ludzi”. Po 15 latach badań wskazał 6 obszarów, których umiejętne użycie pozwala na sterowanie zachowaniem odbiorców:
- Zasada wzajemności
Przykład: Zaraz pomogę panu uniknąć kary finansowej. Wystarczy, że poda mi pan dane logowania. - Zobowiązanie i konsekwencja
Przykład: Pan/pani prześle mi określoną sumę, w zamian za co ja nie opublikuję kompromitujących materiałów. - Dowód społeczny („inni tak robią”)
Przykład: iPhone za 5 zł! 100% zadowolonych klientów! Tomek i Joanna już się cieszą z telefonu. Nie bądź gorszy! - Transfer uczuć
Przykład: Też jesteś fanem zarabiania szybkich pieniędzy? Ja również! Na pewno się dogadamy! - Bazowanie na autorytecie
Przykład: Zobacz! Celebryta XYZ już pobrał aplikację ułatwiającą inwestowanie, dlaczego ty się wahasz?! - Wizja niedoboru/okazja
Przykład: Tylko dla pierwszych 100 osób! Nie zwlekaj!
Powyższe techniki, używane są bez względu na wektor ataku i zetkniemy się z nimi w trakcie wyłudzeń telefonicznych, mailowych, poprzez sms-y/komunikatory oraz bezpośrednich (twarzą w twarz).
Jak się bronić?
- Poznaj techniki manipulacji. Wiedza to najskuteczniejsza broń.
- Bądź świadomy tego, że jesteś (i będziesz) celem prób kradzieży i wyłudzeń, nie tylko w cyberrzeczywistości.
- Pamiętaj, że osoba, która się z tobą kontaktuje, nie musi być tym za kogo się podaje.
- Nie podejmuj decyzji pod wpływem emocji.
- Nie ulegaj presji dzwoniącego/mailującego. Bądź asertywny.