Choć cyberzagrożenia kojarzą się głównie z atakami hakerów na systemy komputerowe, to często najskuteczniejszym narzędziem przestępców nie jest technologia, a manipulacja psychologiczna.

Socjotechnika, znana również jako inżynieria społeczna, to zestaw technik manipulacyjnych stosowanych przez oszustów w celu zdobywania informacji, wpływania na decyzje lub nakłaniania ofiar do działań na ich niekorzyść.

Wybrane przykłady wykorzystania socjotechniki przez cyberprzestępców.
 

Jednym z najczęstszych przykładów socjotechniki  jest phishing, który polega na podszywaniu się pod zaufane instytucje lub osoby w celu wyłudzenia poufnych informacji, takich jak dane logowania, numery kart płatniczych czy inne dane osobowe. Atak ten zazwyczaj odbywa się za pomocą fałszywych e-maili, wiadomości SMS bądź też bezpośrednich połączeń telefonicznych. 

Przestępcy wysyłają wiadomość sugerując, że odbiorcamusi podjąć pilne działania, np. zaktualizować dane konta, potwierdzić płatność lub zresetować hasło. Wiadomości te zawierają zazwyczaj linki do fałszywych stron internetowych, które są łudząco podobne do oryginalnych witryn. Gdy użytkownik wprowadzi swoje dane na takiej stronie, są one przechwytywane przez przestępców co w konsekwencji skutkuje przejęciem konta lub może przyczynić się do utraty środków finansowych.

Scenariusze, które przedstawiają cyberprzestępcy, wydają się być bardzo wiarygodne, a presja czasu czy wzbudzanie strachu przed konsekwencjami braku reakcji mogą prowadzić do podjęcia pochopnych decyzji. Wystarczy moment nieuwagi lub działanie pod wpływem emocji, aby narazić siebie lub całą organizację na poważne zagrożenia związane z naruszeniem bezpieczeństwa.

Wybrane scenariusze ataków phishingowych:

Fałszywe ostrzeżenie o blokadzie konta - atakujący podszywają się pod bank, usługodawcę internetowego lub instytucję rządową, twierdząc, że konto użytkownika zostanie zablokowane, jeśli natychmiast nie zaktualizuje swoich danych. Wiadomość jest sformułowana w sposób, który wywołuje poczucie pilności, zachęcając użytkownika do kliknięcia w link i wprowadzenia danych logowania na fałszywej stronie, łudząco przypominającej oryginalną witrynę.

• Prośba o weryfikację płatności - przestępcy wysyłają fałszywe e-maile udające powiadomienia od firm obsługujących płatności online, sugerując, że należy potwierdzić lub zweryfikować transakcję, która rzekomo miała miejsce. Ofiary, zaniepokojone podejrzaną aktywnością na koncie, są skłaniane do podania swoich danych logowania.

•  

• Fałszywe wiadomości od dostawców usług – cyberprzestępcy wysyłają fałszywe powiadomienia podszywając się pod dostawców mediów, operatorów telekomunikacyjnych serwisy streamingowe czy firmy kurierskie. Zwykle informują o rzekomych problemach z kontem użytkownika lub zaległych opłatach, nakłaniając do natychmiastowej reakcji poprzez kliknięcie w link prowadzący do fałszywej bramki płatności.

•  

• Bieżące kryzysy i sytuacje nadzwyczajne np. powódź - w momencie, gdy społeczność jest skoncentrowana na radzeniu sobie z klęską żywiołową, przestępcy mogą wykorzystywać potrzebę szybkiego działania i chęć pomocy, aby wyłudzić wrażliwe informacje lub pieniądze m.in. poprzez apele o pomoc finansową za pośrednictwem fałszywych zbiórek. 

Socjotechnika w atakach na firmy.

Cyberprzestępcy często wykorzystują socjotechnikę, aby podszywać się pod kluczowych pracowników firm, takich jak dyrektorzy czy menedżerowie. Tego typu atak, znany jako Business Email Compromise (BEC), polega na wysyłaniu fałszywych e-maili, które wyglądają, jakby pochodziły od osoby decyzyjnej w firmie. W wiadomościach tych przestępcy proszą o pilne wykonanie przelewów finansowych, przekazanie poufnych danych lub zatwierdzenie kosztownych transakcji. Pracownicy, myśląc, że polecenia pochodzą od ich przełożonych, często działają bez zastanowienia, co może prowadzić do poważnych strat finansowych dla firmy.

Przestępcy coraz częściej wykorzystują także media społecznościowe do przeprowadzania ataków socjotechnicznych, podszywając się pod znajomych lub członków rodziny, których konta zostały wcześniej przejęte. W imieniu zaufanych osób wysyłają wiadomości m.in. z prośbą o pomoc, np. o pilną pożyczkę pieniędzy lub zachęcają  do kliknięcia w sensacyjny nagłówek artykułu - tzw. clickbait.
 

Clickbaity, czyli chwytliwe nagłówki i linki mające na celu przyciągnięcie uwagi internautów i skłonienie ich do kliknięcia, także bazują na metodach socjotechnicznych. W ten sposób manipulują emocjami odbiorców, wywołując ciekawość, strach, poczucie pilności lub obietnicę uzyskania wyjątkowych informacji. Wykorzystanie socjotechniki w clickbaitach ma na celu nie tylko przyciągnięcie uwagi. Często prowadzi do wyłudzenia danych lub zainstalowania złośliwego oprogramowania. Ponadto clickbaity nierzadko prowadzą do treści o niskiej lub wręcz fałszywej wartości merytorycznej, przez co mogą przyczyniać się do szerzenia dezinformacji.

Jednym z najczęściej stosowanych narzędzi clickbaitowych jest wywoływanie ciekawości poprzez szokujące nagłówki, prowadzące do kontrowersyjnych lub "zakazanych" treści, które rzekomo są przeznaczone tylko dla osób dorosłych. Po kliknięciu w taki link, użytkownik zostaje przeniesiony na fałszywą stronę, która prosi o weryfikację wieku. Często wymaga się tutaj podania danych osobowych lub ponownego zalogowania się na platformy społecznościowe. W ten sposób przestępcy mogą przejąć kontrolę nad kontem społecznościowym.

Na kanałach społecznościowych zespołu CERT Polska można znaleźć liczne przykłady ataków z wykorzystaniem socjotechniki.

Przedstawione techniki to jedynie wybrane przykłady z szerokiego wachlarza zagrożeń związanych z socjotechniką. W trakcie Europejskiego Miesiąca Cyberbezpieczeństwa (ECSM) przez cały październik będziemy odkrywać kolejne metody oszustw opartych na manipulacji i inżynierii społecznej, a także udzielać praktycznych porad, jak skutecznie się przed nimi bronić.