Sztuka manipulacji w swiecie cyfrowym

Termin „socjotechnika” jest stosunkowo nowy, ale dotyczy ludzkich zachowań starszych niż można się spodziewać. Ludzie od zawsze próbowali zwieść innych dla swoich korzyści. Już w Księdze Rodzaju znajdziemy opowieść o Jakubie, który podszywając się pod starszego brata, wyłudza od ojca błogosławieństwo przeznaczone dla pierworodnego syna. Ubiera się w skóry, niewidomy Izaak wziął go za kędzierzawego Ezawa. Biblijna historia wskazuje, że inżynieria społeczna jest stara jak świat. I wydaje się, że dziedzina ta nie zmieniła się zbytnio przez stulecia. Ludzkie słabości, takie jak łatwowierność, chciwość, strach, pożądanie czy współczucie, od wieków są bezlitośnie wykorzystywane przez oszustów. Metody zawsze są te same. Inna jest natomiast skala przestępczości związanej z oszustwami finansowymi. Cyfryzacja, dostęp do internetu, media społecznościowe, upowszechnienie komunikatorów jako podstawowego narzędzia komunikacji przeniosły scamy finansowe w zupełnie inny wymiar. – Internet, smartfony oraz bankowość mobilna otwierają przed oszustami i złodziejami szerokie możliwości działania. Cyberprzestępcy operują na ogromną skalę, w sposób zorganizowany, zyskując znaczne korzyści przy niewielkim wkładzie pracy. Zarówno przeciętni użytkownicy, jak też i duże organizacje doznają poważnych uszczerbków na reputacji i finansach, często pozostając przez dłuższy czas nieświadomi, że padli ofiarą oszustów – wskazuje mecenas Szymon Witkowski, główny legislator Pracodawców RP. Jak podkreśla, najlepsze systemy zabezpieczające, a w Polsce, która jest krajem o nowoczesnej infrastrukturze informatycznej są one na bardzo wysokim poziomie, nie zdadzą się na nic, jeśli użytkownicy internetu, mediów społecznościowych, klienci banków nie zachowają ostrożności. Niestety, najsłabszym ogniwem w łańcuchu bezpieczeństwa pozostaje człowiek, podatny na manipulacje emocjonalne i szybko tracący głowę w obliczu różnych sztuczek. – Ludzie o złych intencjach sięgają po nasze dane osobowe i oszczędności w coraz bardziej podstępny sposób. Przykładem jest phishing, jedna z najskuteczniejszych forma ataku, gdzie fałszywe e-maile, niemal nieodróżnialne od autentycznych, podszywają się pod zaufane instytucje. Imitacje są coraz lepsze. Wystarczy chwila nieuwagi, żeby wejść na fałszywą stronę do złudzenia przypominającą oryginał i przekazać przestępcom wrażliwe informacje na swój temat – tłumaczy Szymon Witkowski. Zwraca uwagę, że dzielimy się swoimi danymi na portalach społecznościowych z lekkomyślnością, często nie zdając sobie sprawy, że mogą zostać użyte przeciwko nam. – Nie tylko zwykli konsumenci, ale również duże korporacje dają się nabrać - mówi mecenas Witkowski. Jedną z najgroźniejszych metod przestępczych jest Business Email Compromise, która polega na podszywaniu się pod korespondencję firmową w celu wyłudzenia dużych sum pieniędzy. Przestępcy uzyskują dostęp do poczty nie wskutek włamu hakerskiego, ale stosując phishing, czyli zainfekowane złośliwym oprogramowaniem mejle, lub chwyty socjotechniczne, odwołujące się wewnętrznych schematów działania każdej korporacji. Jaka jest na to rada? Firmy, instytucje finansowe, konsumenci muszą zachować szczególną ostrożność w kontaktach z podejrzanymi, nieznajomymi osobami. Warto inwestować w systemy big data, które analizują zarówno wzorce zachowań w sieci, jak też i potencjalne fizyczne manipulacje. Należy także pomyśleć o zmianie sposobów działania centrów operacji bezpieczeństwa. – Pracownicy, których zadaniem było tylko wizualne monitorowanie przestrzeni fizycznej, są teraz często odpowiedzialni również za analizowanie ogromnej liczby danych cyfrowych i informacji wywiadowczych. Oczekuje się od nich, że będą biegli w wykorzystywaniu mocy sztucznej inteligencji i zaawansowanych analiz, aby wykrywać anomalie i potencjalne naruszenia bezpieczeństwa – wyjaśnia Adam Bojarski, trener i ekspert cyberbezpieczeństwa z HackerU Polska. Solidne mechanizmy uwierzytelniania, zabezpieczenia technologiczne, regularne audyty i przeglądy infrastruktury technologicznej to obecnie elementarz każdej firmy. Rozwijanie coraz bardziej zaawansowanych systemów ochrony jednak nie wystarczy. Konieczna jest edukacja na temat bezpieczeństwa cyfrowego. – Ludzie są najbardziej zawodnym elementem w ekosystemie IT. Dlatego też niezbędne jest promowanie kultury czujności i sceptycyzmu. Firmy muszą prowadzić szkolenia pracowników, co rusz przypominać im o zasadach bezpieczeństwa i tworzyć plany reagowania na incydenty – akcentuje Szymon Witkowski. Vishing (ang. voice phishing): phishing głosowy – to tani, prosty i niezwykle korzystny dla atakującego patent. Co więcej, wykorzystanie fikcyjnego numeru i połączenia międzynarodowego sprawia, że wykrycie i schwytanie osoby stosującej tę metodę jest prawie niemożliwe. Phishing – najpowszechniejsza metoda ataku znana w środowisku znawców socjotechniki. Pozwala na zatrzymywanie pracy fabryk, hakowanie komisji wyborczych, włamanie się do instytucji rządowych i dziesiątek wielkich korporacji oraz wykradanie milionów złotych. SMiShing – tak, taka nazwa istnieje. To skrót od SMS phishing, co oznacza korzystanie z metod phishingowych przy użyciu wiadomości tekstowych Spoofing – oszuści wykorzystują technologię, aby w najbardziej przekonujący sposób podszyć się pod określone instytucje, używając sfałszowanych identyfikatorów dzwoniącego lub adresów e-mail. W ten sposób, kiedy ofiara odbiera telefon od rzekomego pracownika banku, jest całkowicie przekonana o autentyczności połączenia, widząc na ekranie dokładną nazwę swojego banku czy innej instytucji, z którą ma styczność. To samo dotyczy mejli, gdzie adres nadawcy wydaje się być w pełni zgodny z tym, którego oczekujemy.