10 sztuczek inżynierii społecznej, na które trzeba uważać

Systemy ochrony proaktywnej, wbudowane w nowoczesne narzędzia zabezpieczające, mogą wcześnie identyfikować zagrożenia cybernetyczne i zapobiegać im. Są jednak bezsilne wobec ludzkiej ignorancji, niewiedzy i podatności na manipulację. Ze sztuczkami opartymi na inżynierii społecznej musimy radzić sobie bez pomocy informatyki.

Cyberprzestępcy chwytają się coraz to nowych sposobów na oszukiwanie i zwodzenie internautów. Większość z nich wpisuje się jednak w znany od lat mechanizm inżynierii społecznej. Stosowane przez nich sztuczki siłą rzeczy są dość powtarzalne i przewidywane, a mimo to wiele osób wciąż potrafi się na nie „złapać”. Oto, jak nie dać się wyrolować w sieci.

Inżynieria społeczna. Żądanie podania danych logowania

Jeśli otrzymujemy wiadomość – e-mail, SMS, telefon lub komunikat na stronie WWW – w której ktoś domaga się podania danych logowania do jakiejś usługi czy strony, z wysoką dozą prawdopodobieństwa możemy założyć, że jest to próba wyłudzenia informacji. Operatorzy e-banków i administratorzy najróżniejszych stron i usług od lat podkreślają, że nigdy nie żądają od swoich klientów podawania takich danych tą drogą i że takie wiadomości należy ignorować.

Zobacz również:

  • Największym zagrożeniem dla firm w 2020 roku może być phishing
  • Cel przestępców jest oczywisty – chodzi o przejęcie konta użytkownika lub wykradzenie przechowywanych na nim zasobów – pieniędzy, danych lub dóbr wirtualnych. Stosunkowo skutecznym zabezpieczeniem przed takimi zakusami jest stosowanie uwierzytelniania dwuskładnikowego. Dzięki niemo samo przejęcie loginu i hasła jeszcze nic przestępcy nie daje, bo zalogowanie następuje dopiero po dodaniu dodatkowego hasła lub autoryzowaniu dostępu np. z poziomu smartfona. Niestety rozwiązanie to nie jest jeszcze w pełni upowszechnione i na wielu popularnych stronach z niego nie skorzystamy. Dobra wiadomość jest taka, że niedawne zmiany w przepisach dotyczących usług bankowości elektronicznej zobowiązały banki do wdrożenia tego rozwiązania na swoich witrynach.

    Inżynieria społeczna. Żądanie pobrania lub uruchomienia pliku

    Cybeprzestępcy, zamiast trudzić się tworzeniem oprogramowania umiejącego „schować się” przed antywirusem, próbują przekonać użytkownika, że to on powinien sam uruchomić plik, ignorując przy okazji wyświetlane przez system czy aplikację zabezpieczającą ostrzeżenie przed jego zawartością. Jeśli więc trafimy na stronę lub otrzymamy e-maila, na której/w którym przeczytamy, że do wyświetlenia treści czy otwarcia dokumentu niezbędne jest pobranie dodatkowego pliku – opisanego na przykład jak kodek wideo lub przeglądarka dokumentów – i uruchomienie go, najlepiej tę stronę opuścić a e-maila skasować.

    Jeśli jednak zastosujemy się do instrukcji ze strony czy maila, ryzykujemy pobranie i zainstalowanie w systemie tzw. dropera/downloadera. To prosta aplikacja, której podstawowym zadaniem jest umożliwienie jej operatorowi pobierania i instalowania dodatkowych złośliwych programów.

    Inżynieria społeczna. Żądanie kliknięcia odnośnika

    Teoretycznie w czasach powszechności internetu większość użytkowników powinna już rozumieć, że fakt, iż jakaś domena zawiera nazwę popularnej firmy czy serwisu, niekoniecznie oznacza, że jest to prawdziwy i bezpieczny adres strony owej firmy – wszak Apple.com to jednak nie to samo Applesupportcenterclicknow.tw. Niestety, dla wielu osób nie wciąż nie jest to jasne, dlatego masowo padają ofiarami przestępców, ślących do nich e-maile założone w domenach wpisujących się w nakreślony schemat.

    Warto o tym pamiętać i edukować innych w tym zakresie, a także zwracać uwagę, kto jest nadawcą trafiających do naszych skrzynek e-maili. Należy sprawdzać, czy domena nadawcy w ogóle istnieje i co się na niej znajduje. Nawet jeżeli nie jest to całkowicie skuteczna metoda – bo przestępcy mogą być na tyle zapobiegliwi by stworzyć kopię prawdziwej strony – to z pewnością pozwoli ona na odsianie znacznej części podejrzanych e-maili.

    Jeśli mamy jakiekolwiek wątpliwości co do tego, czy dany e-mail faktycznie pochodzi od legalnego nadawcy, najlepiej go zignorować i skontaktować się z swoim bankiem/dostawcą usług online przez infolinię lub pisząc na adres e-mail podany na jego stronie, a następnie zweryfikować czy on faktycznie próbował się z nami skontaktować i w jakim celu.

    Inżynieria społeczna. Sianie paniki i poczucia zagrożenia

    Przestępcy doskonale wiedzą, że w sytuacjach stresowych niektórym z nas wyłącza się rozsądek i robimy rzeczy, których w normalnej sytuacji nigdy byśmy nie zrobili, np. ignorujemy podstawowe zasady bezpieczeństwa online. Dlatego też próbują nas przekonać, że stało się – lub lada chwila stanie się – coś bardzo złego i mamy bardzo mało czasu by powstrzymać katastrofę lub na nią zareagować. Stąd wysyp e-maili alarmujących użytkowników, że:

    • dostęp do ich kont bankowych zostanie za chwilę zablokowany (więc muszą podać nadawcy swoje dane logowania);
    • ich komputer zostanie zniszczony przez krytyczny błąd (więc muszą uruchomić podsuwany im przez nadawcę plik);
    • muszą podać dane karty płatniczej, żeby udowodnić, że nie popełnili przestępstwa,
    • zostali namierzeni podczas wykonywania nielegalnych działań online, np. przeglądania pornografii dziecięcej (więc muszą zapłacić „grzywnę”).

    W Polsce mamy na razie do czynienia głównie z oszustwami tego typu przeprowadzanymi przez e-mail – na Zachodzie jednak dość często przestępcy sięgają już także po połączenia telefonicznie, podszywając się np. pod infolinię banku. Na szczęście dość łatwo to zweryfikować – rozłączając się i samodzielnie dzwoniąc na podany na oficjalnej stronie banku numer.

    Rada jest dość prosta – nie poddawajmy się panice, pomyślmy chwilę i przeanalizujmy sytuację. W większości przypadków sami po chwili dojdziemy do wniosku, że zagrożenie jest bzdurne i wiadomość najlepiej zignorować. W pozostałych pomoże skontaktowanie się z instytucją i zweryfikowanie wiadomości.

    Inżynieria społeczna. Rozbieżne adresy e-mail

    Podawana przez program pocztowy nazwa nadawcy wiadomości nie zgadza się z jego rzeczywistym adresem e-mail, widocznym w polu obok? Nie jest to może 100-procentowe potwierdzenie tego, że mamy do czynienia z przestępcą… jednak prawdopodobieństwo takiej sytuacji jest zwykle bardzo wysokie. Szczególnie, jeśli w nazwie znajdziemy nazwisko kogoś (osoby lub instytucji), kogo znamy i komu ufamy – a faktycznie adres, z którego nadesłana została wiadomość, będzie dla nas zupełnie anonimowy.

    Inżynieria społeczna. Niespodziewane zmiany w procedurach związanych z płatnościami

    Ten problem dotyczy przede wszystkim użytkowników biznesowych i instytucjonalnych – również w Polsce mieliśmy już do czynienia z przestępcami, którzy zdołali przekonać pracowników administracji publicznej, że ci powinni zmienić numer konta, na które tradycyjnie przelewają np. wynagrodzenie dla kontrahenta. Oczywiście, owo konto było kontrolowane przez przestępców, którzy natychmiast po otrzymaniu przelewu wyprowadzali z niego pieniądze.

    To znany od lat i skuteczny mechanizm – popularny choćby dlatego, że pozwala jednorazowo ukraść ogromne sumy. Wystarczy przekonać księgowego, że środki za realizację kontraktu czy zamówienia należy przelać na nowe konto. Ofiarą takiego ataku pod koniec 2018 r. padła wchodząca w skład Polskiej Grupy Zbrojeniowej firma Cenzin.

    W większości przypadków wystarczy skontaktować się z osobą/firmą/instytucją, która podana jest jako adresat wiadomości (zakładamy, że jest to nasz stały lub okazjonalny kontrahent / partner biznesowy – inaczej ten przekręt nie ma racji bytu) i sprawdzić, czy faktycznie wysyłał coś takiego. Oczywiście, należy to zrobić używając innych danych kontaktowych niż te podane w podejrzanym e-mailu, bo przestępca mógł być zapobiegliwy, podać swój numer i czekać w gotowości na potwierdzenie wszystkiego, o co go zapytamy. Numer telefonu lepiej znaleźć w notesie, poprzedniej korespondencji czy po prostu na stronie www domniemanego nadawcy.

    Inżynieria społeczna. Odstępstwa od normy „e-mailowej”

    Drobiazg, ale może mieć spore znaczenie. Jeśli korespondujemy z kimś przed dłuższy czas, z pewnością zauważymy, że podpisuje on/ona swoje wiadomości w charakterystyczny sposób – używają np. zdrobnienia swojego imienia („Krzysiek” zamiast „Krzysztof”) czy nietypowych pozdrowień („Serdeczności” zamiast suchego „Pozdrawiam”). Jeśli pewnego dnia owych drobiazgów w e-mailu zabraknie, może to być sygnał, że mamy do czynienia z oszustem próbującym podszyć się pod znajomego.

    Inżynieria społeczna. Przez telefon nie porozmawiamy

    Internetowi przestępcy lubią pozostawiać możliwie najmniej śladów – dlatego preferują, by cała komunikacja odbywała się przez e-mail czy komunikator. Dotyczyć to może całej gamy e-złoczyńców, od oszustów matrymonialnych, wyłudzaczy, operatorów fałszywych sklepów internetowych, aż po phisherów próbujących wykraść poufne dane. Dowodem, że coś jest na rzeczy będzie, gdy chcąc zweryfikować pochodzenie wiadomości, dopytać o potencjalnie podejrzaną transakcję będziemy chcieli odbyć z nim rozmowę telefoniczną, a ten będzie wił się, wciąż znajdując nową wymówkę by tego nie robić.

    Inżynieria społeczna. Przesadnie ugodowy sprzedawca

    Dwie ostatnie porady z tej listy są ściśle związane z zakupami online – jako, że to w tym obszarze internetu przestępcy są szczególnie aktywni.

    Pierwszym dzwonkiem alarmowym w przypadku każdej planowanej transakcji online powinno być coś, co teoretycznie może wydawać się zjawiskiem pozytywnym – czyli nadmierna ugodowość i elastyczność sprzedawcy. Przestępca zrobi wszystko, by skłonić nas do przelania mu pieniędzy. Dlatego możemy spodziewać się, że cena będzie wyraźnie niższa niż średnia za podobny produkt lub usługę albo że sprzedający chętnie obniży cenę na pierwsze wezwanie (i to w znacznym stopniu). Inne symptomy oszustwa to m.in.: pozytywne i zgodne z naszymi oczekiwaniami odpowiedzi na każde nasze pytanie dotyczące cech produktu, natarczywe zachęty do szybkiego zakupu i przelew z góry jako preferowana forma zapłaty.

    Wystąpienie przynajmniej dwóch punktów z tej listy powinno skłonić do rezygnacji z transakcji.

    Inżynieria społeczna. Finalizowanie transakcji w innym serwisie

    Operatorzy platform handlowych i serwisów aukcyjnych coraz efektywniej walczą z przestępcami, wykorzystującymi ich produkty do namierzania i okradania ofiar – wdrażając całe zestawy mechanizmów zabezpieczających. Dlatego cyberoszuści niejednokrotnie używają tych stron tylko do tego, by skontaktować się z potencjalną ofiarą, a następnie zaczynają ją przekonywać, że lepiej i korzystniej będzie samą transakcję przeprowadzić poza serwisem, argumentując to np. chęcią obniżenia prowizji. Jeśli ktoś proponuje nam coś takiego, najlepszym rozwiązaniem będzie poszukanie nowego kontrahenta.


    TOP 200