25/01/2019

Psychologia phishingu ukierunkowanego

Biznes MŚP

Gdy mówimy o lukach w zabezpieczeniach, zwykle mamy na myśli błędy w kodzie oraz newralgiczne fragmenty w systemach informacyjnych. Jednak istnieją też inne podatności — w głowie potencjalnej ofiary.

Nie jest to kwestia braku świadomości na wystarczającym poziomie ani ignorowania zasad cyberbezpieczeństwa — tu mniej więcej wiadomo, jak eliminować takie problemy. Powodzenie ataku opiera się czasami na tym, że czasami użytkownicy reagują nieco inaczej niż osoby pracujące w dziedzinie bezpieczeństwa IT. Kluczową rolę odgrywa tu socjotechnika.

Socjotechnika to połączenie socjologii i psychologii. To zestaw technik tworzenia takich okoliczności, które skutkują z góry określonymi efektami. Wykorzystując ludzki strach, emocje, uczucia i odruchy, cyberprzestępcy mogą uzyskać dostęp do użytecznych informacji. To właśnie ta „nauka” leży u podstaw większości ataków ukierunkowanych, jakie dziś spotykamy.

Oszuści najczęściej wykorzystują:

  • ciekawość,
  • współczucie,
  • strach,
  • chciwość.

Oczywiście nie są to luki, lecz uczucia ludzi. Można je także określić jako „kanały wpływu”, poprzez które atakujący próbują nakłonić potencjalne ofiary do podjęcia określonych kroków. Z punktu widzenia cyberprzestępców najlepiej jest, gdy mózg ofiary działa automatycznie i nie dopuszcza do pojawienia się krytycznego myślenia. Aby to osiągnąć, wykorzystują oni wiele trików. Mimo że na każdego działa inna sztuczka, w dzisiejszym poście sprawdzimy te, które można spotkać najczęściej.

Szacunek dla władzy

To jeden z tzw. błędów poznawczych — wzorców odchyleń w zachowaniu, postrzeganiu i myśleniu. Wynikają one ze skłonności do niekwestionowanego posłuszeństwa wobec osób, które mają większe doświadczenie lub uprawnienia, przy równoczesnym ignorowaniu własnych osądów celowości danego działania.

W praktyce może to być na przykład phishingową wiadomość e-mail pochodząca rzekomo od szefa. Jeśli w wiadomości napisane będzie, że masz nagrać swój taniec i wysłać go do dziesięciu znajomych, zastanowisz się. Ale jeśli przełożony poprosi o rzucenie okiem na dokumentację nowego projektu, z większym prawdopodobieństwem klikniesz załącznik.

Presja czasu

Jedną z najczęściej stosowanych technik manipulacji psychologicznej jest wywołanie poczucia, że jakaś sprawa jest pilna. Podejmowanie świadomej, racjonalnej decyzję, zwykle opiera się na szczegółowym sprawdzeniu wszystkich informacji. Mówiąc wprost, należy poświęcić nieco czasu na analizę sytuacji — a ponieważ jest on bardzo cenny dla oszustów, próbują oni wywrzeć na ofiary jak największą presję, aby wyeliminować możliwość pochylenia się nad tematem.

Celem osób wykorzystujących manipulację jest wywołanie strachu („Zarejestrowano próbę uzyskania dostępu do Twojego konta. Jeśli to nie Ty, natychmiast kliknij ten link…”) lub zainteresowanie chętnych na szybki zarobek („Rabat otrzyma tylko pierwsze dziesięć osób, które kliką link. Nie przegap tej okazji…”). Gdy na horyzoncie pojawia się tykający zegar, prawdopodobieństwo ulegnięcia instynktowi i podjęcie decyzji na podstawie emocji, a nie racjonalnej decyzji, znacząco wzrasta.

W tej kategorii tej znajdują się wiadomości, które zawierają takie słowa jak „pilne” i „ważne”. Najczęściej mają one kolor czerwony, który kojarzy się z niebezpieczeństwem, co ma za zadanie spotęgować efekt.

Automatyzm

W psychologii automatyzm to działania podejmowane bez udziału świadomego umysłu. Automatyzm może być pierwotny (wrodzony) lub wtórny (brak namysłu). Ponadto można go podzielić na odruchowy, językowy lub myślowy.

Wysyłając określone wiadomości, cyberprzestępcy próbują wyzwolić u odbiorców automatyczną reakcję. Czasami w wiadomości można przeczytać, że „Nie udało się dostarczyć wiadomości e-mail, kliknij, aby spróbować ponownie”; czasami wysyłają denerwujące newslettery, w których umieszczają kusząco duży przycisk z napisem „Wypisz się”; ale zdarzają się również fałszywe powiadomienia o pojawieniu się nowych komentarzy w jakiejś sieci społecznościowej. W tym przypadku reakcja jest wynikiem wtórnego automatyzmu odruchowego i myślowego.

Nieoczekiwane informacje

To kolejny dosyć popularny rodzaj manipulacji. W takiej sytuacji wykorzystywany jest fakt, że informacja przedstawiona jako szczere wyznanie jest postrzegana mniej krytycznie, niż gdyby została odkryta samodzielnie.

W praktyce może to być wiadomość typu: „Z przykrością informujemy o wycieku haseł. Sprawdź, czy znajdujesz się na liście ofiar”.

Co można zrobić w takich sytuacjach

Odchylenia od percepcji, które niestety są na rękę cyberprzestępcom, są uwarunkowane biologicznie. Pojawiają się one podczas ewolucji mózgu, aby pomóc nam w dostosowaniu się do świata; dzięki nim oszczędzamy czas i energię. W dużej mierze odchylenia takie pojawiają się w wyniku braku umiejętności krytycznego myślenia. Nigdy nie dawaj się zastraszyć: każdy może oprzeć się manipulacji, wiedząc co nieco o psychice ludzkiej i przestrzegając kilku prostych zasad:

  1. Wiadomości, które rzekomo pochodzą od osób postawionych wyżej, zawsze czytaj krytycznym okiem. Dlaczego szef miałby prosić Cię o otworzenie chronionego hasłem archiwa i wysłać klucz w tej samej wiadomości? Dlaczego menedżer posiadający dostęp do konta miałby prosić Cię o przesłanie pieniędzy nowemu partnerowi? Dlaczego ktoś miałby przypisać Ci niestandardowe zadanie, pisząc do Ciebie e-mail, zamiast zadzwonić? Jeśli coś wygląda dziwnie, wyjaśnij to innym kanałem komunikacji.
  2. Nie podejmuj natychmiastowej reakcji na wiadomości, w których nadawca czegoś żąda od Ciebie. Zachowaj spokój, nawet jeśli treść wiadomości brzmi przerażająco. Zanim cokolwiek klikniesz, sprawdź nadawcę, domenę i link. Jeśli nadal masz wątpliwości, skontaktuj się z pracownikami działu IT.
  3. Jeśli zauważysz, że masz tendencję do automatycznego reagowania na wiadomości, spróbuj wykonać kolejność działań w sposób świadomy. Pomoże Ci to odzyskać kontrolę — kluczem jest tu aktywowanie świadomego umysłu we właściwym momencie.
  4. Przeczytaj nasze posty:
  1. Korzystaj z produktów zabezpieczających, które oferują niezawodne technologie chroniące przed phishingiem. W tym przypadku większość prób ataku zostanie zatrzymana już na początku.