Strzeż się inżynierii społecznościowej, ulubionego narzędzia oszustów wykorzystujących scam

Inżynieria społecznościowa jest wyjątkowo podstępna, gdyż żeruje na naszej naturalnej chęci bycia uczynnym. Zjawisko to może również grać na ludzkich emocjach, takich jak strach czy współczucie. Jak bronić się przed sztuczkami wykorzystywanymi w inżynierii społecznościowej w celu zdobycia poufnych danych?

Inżynieria społecznościowa odwołuje się do technik stosowanych w celu manipulowania ludźmi i skłaniania ich do wykonania pewnych czynności lub wyjawienia istotnych informacji. Cyberprzestępcy często wykorzystują łatwowierność oraz naturalną ludzką chęć do bycia pomocnym. Scamerzy nie muszą trudzić się i korzystać ze skomplikowanych hakerskich technik, czy też złośliwego oprogramowania omijającego zabezpieczenia – mogą po prostu wysłać email ze szkodliwym załącznikiem i poprosić odbiorcę o jego otwarcie. Obecnie dzięki portalom społecznościowym scamerzy są w stanie dowiedzieć się naprawdę wiele, a wszystkie te informacje mogą być wykorzystane przeciwko ofierze, gdyż atakujący dzięki nim staje się bardziej wiarygodny.

Pomagać jest rzeczą ludzką - DefCon, największy konwent hakerów, co roku organizuje zawody „Zdobyć flagę” polegające na wykorzystywaniu inżynierii społecznościowej w praktyce. W dniu zawodów, uczestnicy dzwonią do osób pracujących w firmach obranych jako cele. Próbują tak prowadzić rozmowę, aby nakłonić pracownika do wyjawienia pewnych informacji - „flag”, między innymi o wersji przeglądarki lub rodzaju oprogramowania używanego w firmie. Wielokrotnie uczestnicy udawali kolegów z innego oddziału, których rzekomym zadaniem było zdobycie informacji dla prezesa. W większości przypadków pracownicy chcieli pomóc i bez problemu dzielili się informacjami.

Strach jest dochodowy - scamerzy są doskonali we wzbudzaniu strachu. Popularny przykład: dzwoniący przedstawia się jako reprezentant pomocy technicznej lub podobnego działu znanej firmy technologicznej i informuje ofiarę o wykrytym na ich maszynie problemie. Następnie prosi użytkownika o wpisanie na komputerze kilku standardowych komend i przekonuje, że otrzymany wynik wskazuje na obecność złośliwego oprogramowania lub innego, bardzo poważnego zagrożenia. W tym momencie ofiara myśli, że z jego komputerem dzieje się coś niedobrego i przekazuje „konsultantowi” dane, aby ten rozwiązał problem.

Bądź świadom tego, co udostępniasz w Internecie i korzystaj z ustawień prywatności. Istnieje kilka rzeczy, których nigdy nie powinieneś publikować online, np. hasła, odpowiedzi na pytania do odzyskiwania haseł (nazwisko panieńskie matki) oraz numeru PESEL.

Bądź zawsze sceptyczny w sytuacjach, gdy ktoś proaktywnie kontaktuje się z Tobą odnośnie jakiegoś problemu. Prawdziwa firma nigdy nie zapyta o hasło, organizacje rządowe zawsze wyślą oficjalny list. A gdy nagle otrzymasz telefon od przyjaciela lub znajomego, który twierdzi, że utknął gdzieś zagraniczną i potrzebuje natychmiastowego przelewu, nie ufaj mu tylko ze względu na to, że zna imię Twojego psa oraz nazwiska krewnych.

 

Autor tekstu:

Krzysztof Wójtowicz Check Point Software Technologies


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy