Socjotechnika — metoda cyberprzestępców na wyłudzenie danych
Każdego dnia odbieramy wiele wiadomości SMS, korespondencje e-mail, podejmujemy kontakt telefoniczny i odbieramy często nieznane numery. W czasie obowiązków służbowych kontakt z zewnętrznymi podmiotami zwiększa się. Wykorzystują to cyberprzestępcy.
Dlaczego ulegamy wpływom nieznanym osobom?
Atak hakera wykorzystujący socjotechnikę opiera swoją metodą na emocjach, które wyzwalają określone działania. Często cyberprzestępcy podszywają się pod przedstawicieli zaufania publicznego — urzędy, policję i innych. Starają się wiarygodnie przedstawić historię, w taki sposób zdobywają zaufanie potencjalnej ofiary.
Atak z użyciem socjotechniki — atak psychologiczny, oparty jest też na ofercie pomocy przez atakującego. Oszust oferuje wsparcie w rozwiązaniu problemu — zablokowanie konta bankowego lub mobilizacje do opłacenia niezapłaconej faktury. Namawia do podjęcia czynności — zainstalowania oprogramowania lub kliknięcie w przesłany link. Presja czasu może potęgować nieprzemyślane działania.
Ataki hakerskie to nie tylko wykorzystanie socjotechniki — granie na emocjach ofiary, ale również prób wyłudzenia danych i pieniędzy za pośrednictwem nie tylko rozmowy telefonicznej, ale również kont na mediach społecznościowych i przejęcia profili użytkowników.
Zagrożenia cyberatakiem w pracy
Szereg działań w zakresie komunikacji elektronicznej to często odbieranie połączeń od telemarketerów i nachalne reklamy, jednak również ataki hakerskie. Jednym z rodzajów ataku hakerskiego jest smishing, czyli fałszywe SMS’y podszywające się pod wiadomości od banku, kuriera lub instytucji publicznej. Najczęściej zawierają linki do stron, gdzie wyłudza się dane firmowe lub osobiste.
Spoofing to z kolei podszywanie się pod numer telefonu zaufanej instytucji lub innej osoby. Jest powiązane z próbą zastraszenia ofiary, wyłudzenia pieniędzy lub danych. Zdarzają się liczne fałszywe połączenia z banków lub doradców np. w sprawie ulokowania oszczędności lub zainwestowania w akcje — aktywa spółek Skarbu Państwa.
Oszuści działają również w zakresie fałszywych wiadomości e-mail, gdzie wysyłają linki do stron ze złośliwym oprogramowanie, a także zainfekowane załączniki. Mają w ten sposób możliwość uzyskania kontroli nad urządzeniem i wprowadzenie innych danych np. do systemów księgujących płatności, przelewając tym samym środki nie na konta adresatów, a własne konta — konta hakerów.
Socjotechnika — wyłudzenie danych przez komunikację elektroniczną
Co powinno zaniepokoić odbierającego połączenie lub adresata SMS’a? Oszuści proszą o
- dane osobowe,
- loginy i hasła,
- autoryzacje do legalnych programów przejmujących kontrolę nad urządzeniem,
- wygenerowanie kodów płatności,
- zainstalowanie dodatkowych aplikacji,
- zlecenie przelewu.
Hakerzy korzystają z dobrodziejstwa Internetu w niezawodny sposób. Korzystają również z reklam, których linki prowadzą do fałszywych stron, które mogą łudząco przypominać strony banków, znanych marek i instytucji publicznych.
W jaki sposób reagować na możliwe oszustwo?
Potencjalne ofiary, które zorientowały się, że mogą paść cyberoszustwu, mogą przyjąć rolę osoby “łapiącej na gorącym uczynku” lub brnąć dalej w “zagrywki” oszusta, sprawdzając, co mogło ich spotkać i z jakimi konsekwencjami mogli się mierzyć.
Jak reagować? W przypadku połączeń telefonicznych zakończ rozmowę i samodzielnie skontaktuj się z organizacją, która rzekomo wymaga od Ciebie podjęcia działania. Po prostu zidentyfikuj problem.
Jeśli masz wątpliwości co do nadawcy i treści komunikatów — sprawdź nadawcę, zweryfikuj jego profil w mediach społecznościowych lub konto e-mail. Stawiaj na weryfikację strony internetowej, do której dostałeś link. Sprawdzaj treści, bo te mogą zawierać wiele błędów, co świadczy o fałszywych źródłach i intencjach.
Próby oszustwa i cyberataku — gdzie zgłosić?
Po pierwsze incydenty związane z bezpieczeństwem należy zgłosić do zespołu CERT Polska. Możliwości jest kilka. Po pierwsze incydent można zgłosić poprzez stronę incydent.cert.pl. Treść fałszywej wiadomości możesz przekazać na adres e-mail: incydent@cert.pl. SMS, który jest podejrzany, przekaż na numer: 799 448 084.
Nie jesteś już potencjalną ofiarą, a ofiarą cyberataku? Sprawdź skutki prawne ataku hakerskiego na organizacje.
Webinar CyberWtorki LIVE 2 – Jak skorzystać z projektu Cyberbezpieczny Samorząd?
W ramach aktualnego projektu Cyberbezpieczny Samorząd 2023 r. jednostki organizacyjne jednostek samorządów terytorialnych mogą ubiegać się o granty.
Projekt Cyberbezpieczny Samorząd to możliwość uodpornienia na taki hakerskie samorządów terytorialnych. Podczas bezpłatnego Webinaru CyberWtorki LIVE 2 Jak skorzystać z projektu Cyberbezpieczny Samorząd i uodpornić jednostkę samorządu terytorialnego na cyberataki?, odpowiemy na kilka pytań wraz z naszym gościem Mateuszem Czerniga.
Zadbaj o cyberbezpieczeństwo swojej organizacji!