Inżynieria społecznościowa odwołuje się do technik stosowanych w celu manipulowania ludźmi i skłaniania ich do wykonania pewnych czynności lub wyjawienia istotnych informacji. Cyberprzestępcy często wykorzystują łatwowierność oraz naturalną ludzką chęć do bycia pomocnym. Scamerzy nie muszą trudzić się i korzystać ze skomplikowanych hakerskich technik, czy też złośliwego oprogramowania omijającego zabezpieczenia – mogą po prostu wysłać email ze szkodliwym załącznikiem i poprosić odbiorcę o jego otwarcie. Obecnie dzięki portalom społecznościowym scamerzy są w stanie dowiedzieć się naprawdę wiele, a wszystkie te informacje mogą być wykorzystane przeciwko ofierze, gdyż atakujący dzięki nim staje się bardziej wiarygodny.

Pomagać jest rzeczą ludzką - DefCon, największy konwent hakerów, co roku organizuje zawody „Zdobyć flagę” polegające na wykorzystywaniu inżynierii społecznościowej w praktyce. W dniu zawodów, uczestnicy dzwonią do osób pracujących w firmach obranych jako cele. Próbują tak prowadzić rozmowę, aby nakłonić pracownika do wyjawienia pewnych informacji - „flag”, między innymi o wersji przeglądarki lub rodzaju oprogramowania używanego w firmie. Wielokrotnie uczestnicy udawali kolegów z innego oddziału, których rzekomym zadaniem było zdobycie informacji dla prezesa. W większości przypadków pracownicy chcieli pomóc i bez problemu dzielili się informacjami.

Strach jest dochodowy - scamerzy są doskonali we wzbudzaniu strachu. Popularny przykład: dzwoniący przedstawia się jako reprezentant pomocy technicznej lub podobnego działu znanej firmy technologicznej i informuje ofiarę o wykrytym na ich maszynie problemie. Następnie prosi użytkownika o wpisanie na komputerze kilku standardowych komend i przekonuje, że otrzymany wynik wskazuje na obecność złośliwego oprogramowania lub innego, bardzo poważnego zagrożenia. W tym momencie ofiara myśli, że z jego komputerem dzieje się coś niedobrego i przekazuje „konsultantowi” dane, aby ten rozwiązał problem.

Bądź świadom tego, co udostępniasz w Internecie i korzystaj z ustawień prywatności. Istnieje kilka rzeczy, których nigdy nie powinieneś publikować online, np. hasła, odpowiedzi na pytania do odzyskiwania haseł (nazwisko panieńskie matki) oraz numeru PESEL.

Bądź zawsze sceptyczny w sytuacjach, gdy ktoś proaktywnie kontaktuje się z Tobą odnośnie jakiegoś problemu. Prawdziwa firma nigdy nie zapyta o hasło, organizacje rządowe zawsze wyślą oficjalny list. A gdy nagle otrzymasz telefon od przyjaciela lub znajomego, który twierdzi, że utknął gdzieś zagraniczną i potrzebuje natychmiastowego przelewu, nie ufaj mu tylko ze względu na to, że zna imię Twojego psa oraz nazwiska krewnych.

Autor tekstu:

Krzysztof Wójtowicz Check Point Software Technologies