Cyfryzacja wszystkich obszarów naszego życia sprawia, że w coraz większym stopniu wkraczamy do wirtualnego świata. Już teraz większość z nas pewnie nie wyobraża sobie życia bez smartfona, laptopa, komputera czy innego elektronicznego urządzenia/gadżetu.

Technologia wychodzi naprzeciw naszym oczekiwaniom i potrzebom. Sprawia, że codzienność staje się wygodniejsza, łatwiejsza, efektywniejsza i przyjemniejsza. Dzięki niej możemy np. zrobić zakupy, załatwić sprawy w urzędzie, porozmawiać ze znajomymi czy dzielić się chwilami z naszego życia – i to wszystko bez wychodzenia z domu.

Korzystanie z komputerów i smartfonów weszło nam w nawyk. Tak samo, jak posiadanie skrzynki mailowej, bankowości elektronicznej czy kont w mediach społecznościowych oraz na innych platformach (np. zakupowych). Musimy być jednak świadomi, że choć wirtualny świat może fascynować i być dla nas wygodą, to stwarza także ryzyko dla naszego bezpieczeństwa.

Czym jest socjotechnika?

Cyberprzestępcy nie próżnują. Cały czas starają się opracowywać takie techniki i metody działania, aby nas oszukać i pozbawić np. oszczędności. Ich celem nie muszą być pieniądze, ale również m.in. dane czy też konta na platformach, z których korzystamy (to cenne źródło informacji i okazja do dalszych ataków).

Podczas złośliwych kampanii atakujący często wykorzystują socjotechnikę. To pojęcie pewnie kojarzycie – wiele się o nim mówi w kontekście cyberzagrożeń. Pojawia się w mediach, internecie, ostrzegają przed nim operatorzy, banki i inne instytucje. I bardzo dobrze, bo każdy z nas powinien wiedzieć, jak cyberprzestępcy chcą nas oszukać.

Według definicji Słownika Języka Polskiego PWN, socjotechnika to „ogół metod i działań, zmierzających do uzyskania pożądanego zachowania jednostek i grup ludzkich”. W przypadku cyberprzestępstw celem może być nakłonienie nas do udostępnienia danych (m.in. osobowych lub dostępowych), kliknięcia w link, instalacji oprogramowania czy też udzielenia dostępu do urządzenia.

Zdj. CERT Polska

Nasze słabe punkty

Oszuści doskonale zdają sobie sprawę z tego, że najsłabszym ogniwem systemu cyberbezpieczeństwa jest człowiek. W związku z tym starają się wykorzystać to na swoją korzyść, uderzając w nasze słabe punkty i wzbudzając emocje: lęk, strach, lenistwo, ciekawość itd. Dlaczego? Wynika to z faktu, że łatwiej jest wpłynąć na zachowanie użytkowników niż zhakować ich urządzenia.

Sposoby działania cyberprzestępców są różnorodne. Mogą na przykład:

• zaoferować nam coś w zamian za kliknięcie w link lub pobranie pliku (z wirusem);
• przesłać fałszywą wiadomość, której treść ma nas przestraszyć i skłonić do spełnienia żądań (podania danych itd.);
• podszywać się pod kogoś (np. znajomego) lub instytucję (bank, policję itp.) w celu m.in. uzyskania naszych danych;
• zaalarmować, że nasz sprzęt został zainfekowany i aby rozwiązać problem należy postąpić w określony przez nich sposób.

Zdj. CERT Polska/Twitter

Pod presją

W wiadomościach cyberprzestępcy lubią używać słów, które mają wpłynąć na nasze emocje i zachowanie, poprzez m.in. narzucanie presji.

Przykładem mogą być takie sformułowania jak „niezwłocznie”, „pilnie”, „natychmiast”, „masz czas do…” (presja czasu) lub też „bez Twojej zgody”, „ktoś włamał się na Twoje na konto”, „konto zostanie zablokowane” (presja konsekwencji rzekomego incydentu). Przykłady można mnożyć.

Presja na nas może być także nakładana poprzez wskazywanie na rzekomego nadawcę wiadomości, np. policję, bank, prokuraturę. W tym wszystkim chodzi o to, abyśmy przejęli się sprawą i działali zgodnie z oczekiwaniami oszustów. Na tym właśnie polega socjotechnika.

Zdj. PKO Bank Polski/Twitter

Co możemy zrobić?

Aby uniknąć nieprzyjemnych konsekwencji, powinniśmy przede wszystkim zachować czujność i spokój. Nie reagujmy impulsywnie, gdy dostaniemy np. SMS-a z ponagleniem do zapłaty za energię elektryczną, gdzie zamieszczony jest tajemniczy link.

Jeśli nie jesteśmy pewni, zawsze możemy skontaktować się z naszym dostawcą, bankiem czy inną instytucją, która ma być rzekomo nadawcą wiadomości.

Warto także zwracać uwagę na nadawcę wiadomości (jego nazwę i adres). Z reguły jest tak, że cyberprzestępcy próbują podszywać się pod wiarygodny podmiot (np. policję) i piszą do nas z adresu pozornie przypominającego faktyczny jego adres, lecz z błędem (np. literówką).

Zdj. CERT Polska/Twitter

Często jest też tak, że oszuści w ogóle nie dbają o ukrycie się pod zasłoną innej instytucji lub firmy i wysyłają do nas wiadomości z losowych adresów lub numerów (np. webmaster@campobrujo[.]es). W każdej chwili korzystania z sieci warto zachować czujność.

Dowiedz się więcej!

• #CyberMagazyn: Socjotechnika, czyli krótko o tym, jak cyberprzestępcy wykorzystują nasze słabości | CyberDefence24 
• #CyberMagazyn: Cyberszpiegostwo i socjotechnika. Jak państwa mogą się przed nimi obronić? | CyberDefence24