Socjotechnika to rodzaj ataków bazujących na ludzkich interakcjach przeprowadzanych przez
cyberprzestępców w celu złamania procedur bezpieczeństwa i zabezpieczeń organizacji.
Skutecznie przeprowadzony atak może umożliwić przestępcom osiągnięcie własnych korzyści np. zarobkowych na wskutek sprzedaży wrażliwych dla organizacji informacji.
Cyberprzestępca dokonując ataków socjotechnicznych będzie mógł podawać się za:
zagubioną, skromną osobę, szanującą innych ludzi;
nowego pracownika;
pracownika dostawcy zamówionych usług, np. konserwatora budynku, pracownika serwisu technicznego, czy serwisu sprzątającego;
przedstawiciela organów ścigania, jednostek rządowych lub instytucji nadzorujących
Atakujący przeprowadzając rozmowy telefoniczne może być w stanie zebrać informacje wystarczające
do przeprowadzenia infiltracji sieci organizacji. Cyberprzestępca może zbierać pożądane informacje
kontaktując się nawet z kilkoma osobami z organizacji i może powoływać się lub polegać na informacjach wcześniej uzyskanych.
Ponadto skutecznie przeprowadzone ataki socjotechniczne często bazują na wywoływaniu różnych
emocji:
chciwości – np. oferując wspaniałą promocję, dostępną po kliknięciu w link, znajdujący się w wiadomości mailowej (phishing) lub SMS (smishing);
ciekawości – np. udostępniając link do rzekomo sensacyjnych informacji;
nerwowości – np. przedstawiając sytuację wymagającą natychmiastowego działania, najczęściej podczas rozmowy telefonicznej (vishing);
dobroczynności – np. przestępcy mogą podawać się za organizacje charytatywne, rzekomo zbierające datki dla potrzebujących i wzywające do udzielenia pomocy;
strachu – np. przedstawiając informacje o rzekomym dostępie do konta pocztowego lub poufnych danych, które w szczegółach zostaną przekazane po wprowadzeniu danych do logowania lub kliknięciu w link.
TYPOWE CZYNNIKI WSKAZUJĄCE NA PRÓBY PRZEPROWADZENIA ATAKU SOCJOTECHNICZNEGO
W KOMUNIKACJI MAILOWEJ
-
podejrzany adres nadawcy wiadomości – adres nadawcy może również imitować adres znanej nam osoby, ale w rzeczywistości różnić się nieznacznie od prawdziwego, np. będzie brakowało kilku znaków lub będą one łudząco podobne do właściwych (I vs. l);
-
ogólne pozdrowienia i podpis – wykorzystywanie ogólnego przywitania („Drogi Kliencie” lub Pani/Pan) oraz brak danych kontaktowych w stopce powinno wzbudzić czujność. Z drugiej strony należy wziąć pod uwagę możliwość zmyślenia danych kontaktowych w stopce lub podszycia się pod inną osobę;
-
podejrzane hiperłącza i adresy stron www – jeśli najedziesz kursorem na link zagnieżdżony w treści adresu mailowego wyświetli się adres url, który może nie być spójny z tekstem hiperłącza. Uwaga! Należy uważnie przeczytać adres url przed kliknięciem w niego, gdyż może on łudząco przypominać prawdziwy;
-
błędy ortograficzne lub gramatyczne oraz niespójna redakcja lub formatowanie – są to inne czynniki mogące wskazywać na próbę ataku;
-
podejrzane załączniki – niezamówiona wiadomość e-mail z żądaniem od użytkownika pobrania i otwarcia załącznika jest powszechnym mechanizmem dostarczania złośliwego oprogramowania.
JAK UNIKNĄĆ ATAKÓW SOCJOTECHNICZNYCH
bądź czujny i podejrzliwy w każdym przypadku niezamówionych rozmów telefonicznych, wizyt,wiadomości mailowych, w których druga strona próbuje uzyskać informacje na temat pracownikówlub organizacji. Jeżeli osoba podaje się za przedstawiciela danej organizacji / instytucji, postaraj sięzweryfikować jej tożsamość kontaktując się z właściwą tym podmiotem;
nie przekazuj danych osobowych lub innych informacji, zwłaszcza na temat infrastruktury IT,zanim nie będziesz pewny tożsamości osoby, która wnioskuje o ich udostępnienie;
przypadku wystąpienia podejrzeń dotyczących otrzymanej wiadomości lub innej próbykontaktu, nie podejmuj pochopnych działań i zgłoś incydent bezpieczeństwa.
UWAGA NA TECHNOLOGIĘ AI WYKORZYSTYWANĄ DO TWORZENIE FAKE’OWYCH NAGRAŃ
IMITUJĄCYCH GŁOSY ZNANYCH, UPRAWNIONYCH OSÓB!
Jak informował „Sekurak”: „wystarczy raptem 5 sekund nagrania głosu ofiary, aby zsyntetyzować wypowiedziane rzekomo przez nią fake’owe zdania”. Niech Cię więc nie zwiedzie znajomy głos
Dyrektora.
Przy otrzymaniu zlecenia drogą telefoniczną, zwłaszcza z nieznanego numeru telefonu,
pamiętaj o weryfikacji autentyczności otrzymanych dyspozycji innym kanałem komunikacji.
W przeciwnym razie Twoją organizację może spotkać los jednej z brytyjskich firm, która utraciła (w przeliczeniu na złotówki) prawie 1 mln zł (o szczegółach incydentu można przeczytać tutaj).