Przestępstwa internetowe powszechnie kojarzone są z hakerami, którzy stosują swoje ponadprzeciętne zdolności programistyczne, by tworzyć kod wykorzystujący podatności w – mniej lub bardziej zaawansowanych – systemach komputerowych do sprzecznych z prawem celów. Tymczasem najczęściej rejestrowane incydenty cyberbezpieczeństwa dotyczą socjotechniki, czyli wykorzystania słabości człowieka, a nie systemu.
Socjotechnika, nazywana także inżynierią społeczną, to właśnie metody wywierania wpływu na ludzi w taki sposób, aby uśpić ich czujność i uzyskać od nich ważne informacje, takie jak hasło do konta bankowego czy poczty. Ważne jest to, aby ofiara nie zorientowała się, że została zmanipulowana. Sposobem na osiągnięcie tego celu może być odwrócenie uwagi, podszywanie się pod kogoś w komunikacji czy zwyczajne kłamstwo – np. przedstawienie się w rozmowie telefonicznej jako firmowy dział informatyki czy pracownik banku, w którym ofiara ma konto.
Phishing – co to znaczy?
Jedną z metod wykorzystywanych w ramach socjotechniki jest phishing, czyli próba wyłudzenia danych poprzez podszywanie się pod znane nam osoby i instytucje. Co ważne, kampanie phishingowe i spamowe najczęściej są dopasowywane do bieżącej sytuacji politycznej i społecznej kraju, w którym są przeprowadzane. Przykładem takiego działania było np. wykorzystanie wybuchu epidemii koronawirusa. Nowa sytuacja, nieznane dotąd emocje – strach w środku pandemii – i znaczny wzrost popularności komunikacji online, także wśród mniej zaawansowanych użytkowników Internetu, ułatwiały zadanie cyberprzestępcom.
Tu Twój dział informatyki!
Jednym z częstszych ataków są kampanie mailowe kierowane w pracowników różnych firm. W treści wiadomości najczęściej znajdują się komunikaty w stylu „Zresetuj swoje hasło do poczty”, „Twoje konto wygaśnie za 3 dni. Kliknij tutaj – link”. Jeśli otrzymasz taki e‑mail, uważnie najedź na link (ale w niego nie klikaj!) i zobacz, dokąd rzeczywiście prowadzi. Bardziej zaawansowani użytkownicy mogą prześledzić nagłówki serwera pocztowego. Mniej zaawansowani – napisać (w nowej wiadomości!) do swojego działu informatyki z pytaniem, czy ich konto faktycznie zostanie niebawem wyłączone – przecież takie sytuacje się zdarzają, a pomysł na kampanie wziął się właśnie z codziennej pracy różnych organizacji.
„Jeśli jednak dasz się złapać i podasz swoje dane logowania, jak najszybciej zmień hasło. Jeśli dany portal udostępnia taką opcję – zaznacz, żeby wylogować Cię ze wszystkich urządzeń, na których Twoje konto jest obecnie zalogowane. W przypadku poczty może to być komputer, telefon czy tablet” – radzi Piotr Szymański, kierownik Zespołu ds. Cyberbezpieczeństwa WAT. Najlepszą opcją na zabezpieczenie się w takiej sytuacji jest włączenie MFA, czyli uwierzytelniania wieloskładnikowego, w każdej usłudze, która je udostępnia (np. poczta służbowa, Gmail, Facebook). „Jeśli dostajesz powiadomienie o logowaniu w momencie, kiedy go nie zainicjowałeś, nie zatwierdzaj go, tylko niezwłocznie zmień hasło do konta, z którego przyszło. Jeśli sytuacja dotyczy poczty służbowej, natychmiast powiadom o tym dział informatyki Twojej firmy” – dodaje Piotr Szymański.
Jutro wyłączymy Ci prąd
To właśnie emocje – w tym wypadku strach, panika – powodują, że socjotechnika ma się dobrze i że łatwiej jest wykorzystać słabość człowieka niż maszyny. Zalew kampanii hakerów podszywających się pod dostawców energii elektrycznej zatacza kolejne kręgi – i każdorazowo zbiera żniwo. W natłoku codziennych spraw i obowiązków zwykle reagujemy na bodźce szybkie, mocne i jasne.
Przykład fałszywego komunikatu: „Tu Twój dostawca energii elektrycznej. Informujemy, że jeśli do jutra nie dopłacisz 3,46 zł, wyłączymy Ci prąd”. Już sama kwota powinna przykuć naszą uwagę – zwykle jest na tyle niska, żeby nie uruchomić w nas mechanizmów odpowiadających za poczucie odpowiedzialności finansowej.
„Moja rada? Nigdy nie wykonuj operacji finansowych z użyciem linku z wiadomości SMS, takich jak właśnie dopłata do prądu czy gazu. Jeśli dostaniesz taką wiadomość, zadzwoń do swojego dostawcy energii i zapytaj o status Twoich faktur. Samodzielnie zainicjuj rozmowę – wtedy masz 100% pewności, że rozmawiasz z właściwą osobą. Zapewniam, że lepiej spędzić choćby godzinę, czekając na połączenie z operatorem niż poświęcić znacznie więcej czasu na sporządzanie policyjnej notatki z kradzieży pieniędzy z Twojego konta” – mówi Szymański.
Paczka jest prawie u Ciebie…
Ale działania na emocjach to nie tylko strach. To także te dobre emocje, takie jak ekscytacja czy wyczekiwanie. Hakerzy nie znają granic i wykorzystają każdą naszą słabość.
Z informacji podawanych przez CERT Polska wynika, że w 2020 r. – w porównaniu z 2019 r. – liczba odnotowanych ataków phishingowych w Polsce wzrosła o 117% i wyniosła 7622 (różnych ataków). I to właśnie w 2020 roku najpopularniejszym typem phishingu był ten związany z usługami świadczonymi przez firmy kurierskie. Nic dziwnego, przecież rok 2020 był czasem wzmożonego ruchu w Internecie – pandemia sprawiła, że powiększyło się grono konsumentów korzystających z opcji zakupów przez Internet. Ten trend wykorzystali cyberprzestępcy, by podszywając się pod firmy kurierskie, wysyłać użytkownikom informacje o konieczności drobnej dopłaty do paczki. Link w wiadomości odsyła do fałszywej strony, przez co nieświadomie przekazujemy dane do bankowości internetowej przestępcom. Co jeśli akurat czekasz na paczkę? Skąd hakerzy to wiedzą? Działania wymierzone są w tak dużą grupę osób, że z dużym prawdopodobieństwem obejmą użytkowników rzeczywiście oczekujących na przesyłkę.
Wskazówka: Dobra praktyka jest taka, aby w przypadku otrzymania wiadomości dotyczącej sprawdzenia czy opłacenia przesyłki, wejść na stronę danej firmy kurierskiej i w odpowiednim polu samodzielnie wpisać numer przesyłki z wiadomości. Jeśli przesyłka nie istnieje albo ma nieznanego nam adresata (a na pewno nie ma tam naszego nazwiska), oznacza to, że wiadomość miała na celu wyłudzenie danych.
Zmiana trybu życia na zdalny
Pandemia spowodowała, że nie tylko zakupy przeszły „na zdalne”. Zmiana trybu życia sprawiła, że do przestrzeni sieci przerzuciliśmy część naszej pracy zawodowej i nauki, a także komunikację z przyjaciółmi czy rodziną. Otworzyło to nowe możliwości cyberprzestępcom próbującym uzyskać dostęp do naszych danych.
Codziennością stały się próby wyłudzenia pieniędzy na hasło „Potrzebuję na szybko pieniędzy! Dasz mi kod BLIK?” na popularnych komunikatorach czy wyłudzenia pieniędzy w serwisach sprzedażowych. Absolutnie nigdy nie wysyłaj w takiej sytuacji pieniędzy na podane konto ani nie podawaj kodu BLIK.
Jeśli wiadomość przyszła od znajomego, zadzwoń do niego i zapytaj, czy to on poprosił o pieniądze. Jeśli nie – poradź mu zmianę haseł i sprawdzenie zabezpieczenia urządzenia, z którego korzysta.
To właśnie wzrost transakcji finansowych w przestrzeni Internetu spowodował, że obecnie phishing jest najczęstszym sposobem ataku na indywidualnych użytkowników.
Jak nie dać się złapać?
„Zawsze należy bardzo uważnie czytać dane nadawcy wiadomości – np. adresy e‑mail, numery telefonu, podpisy. W przypadku nieznanego nadawcy pewna doza nieufności jest właściwa. Jeśli w wiadomości znajdują się adresy stron internetowych, warto jest na nie najechać bez klikania i dokładnie sprawdzić, dokąd rzeczywiście prowadzą. Wymaga to za dużo czasu? No cóż… W samym 2021 roku CERT NASK otrzymał prawie 19 tysięcy zgłoszeń w polskich sieciach” – mówi Piotr Szymański. I dodaje, że niepokój powinny wzbudzać dziwne, niepopularne czcionki czy błędy językowe, np. literówki. Jeśli nie ma się pewności co do wyświetlanego tekstu, np. właśnie z powodu czcionki, warto jest skopiować ten tekst do pliku tekstowego – notatnika, Worda – i w ten sposób sprawdzić litery. Często duże „i” przypomina małe „L”.
Przeniesienie sporej części kontaktów – zarówno zawodowych, jak i towarzyskich – na płaszczyznę wirtualną sprawiło, że jako użytkownicy straciliśmy czujność i często z automatu klikamy na pojawiające się komunikaty oraz otwieramy załączniki. A uważność w tym zakresie jest jednym z fundamentów bezpieczeństwa w Internecie – nie powinniśmy otwierać żadnych załączników z wiadomości e‑mail, SMS, MMS czy z komunikatorów internetowych, jeśli nie jesteśmy pewni ich zawartości. Im bardziej intrygująco brzmi dołączony do nich tekst, tym ostrożniej powinniśmy do nich podchodzić. Jeśli otrzymasz od znajomego wiadomość o treści: „Widziałeś to wideo? Czy to Ty na nim jesteś?”, zachowaj czujność. Zapewniam, że nie ma Cię na tym nagraniu, a łącze poprowadzi Cię prosto w pułapkę zastawioną przez cyberprzestępców.
Dostawcy usług telefonii komórkowej czy domowego Internetu coraz chętniej używają mechanizmów zabezpieczających ich klientów przed cyberzagrożeniami, jednak na samym końcu jest zawsze człowiek – to od nas w ogromnym stopniu zależy nasze bezpieczeństwo w sieci.
Zatem jedynym w pełni skutecznym narzędziem do walki z phishingiem jest obecnie uważność w myśl zasady „Zastanów się, zanim klikniesz”. I oczywiście warto także śledzić nasz cykl „Bądź bezpieczny z #cyberWAT”.
Justyna Spychała
Projekt graficzny: Mariusz Maciejewski