10 najczęstszych socjotechnik, które możesz napotkać w sieci

Phishing 

Phishing to jeden z najbardziej znanych rodzajów cyberataków – dość powiedzieć, że według raportu FBI z 2021 r. stanowił 22% wszystkich naruszeń bezpieczeństwa danych. 

Socjotechnika w cyberprzestępczości. Jak nie dać się oszukać? Damian Jemioło

Phishing wykorzystuje pocztę e-mail, SMS-y, social media lub inne formy komunikacji osobistej, aby nakłonić użytkowników do kliknięcia szkodliwych linków, pobrania zainfekowanych plików lub ujawnienia danych osobowych. 

Współczesne ataki phishingowe są coraz bardziej wyrafinowane, często podszywając się pod znane marki czy agencje rządowe.

Whailing 

Whailing to atak bardziej wyrafinowany niż zwykły phishing. Zamiast wysyłać masowo wiadomości, cyberprzestępcy skupiają się na konkretnej osobie, zazwyczaj na wysokim szczeblu w danej organizacji. 

Przeprowadzają konkretną analizę danej osoby, co pozwala im na bardziej spersonalizowany cyberatak. To podejście ma na celu zdobycie cennych informacji (związanych np. z firmami) lub pieniędzy.

Baiting 

Baiting, czyli przynęta to atak, w którym cyberoszuści obiecują użytkownikom coś atrakcyjnego, aby nakłonić ich do ujawnienia danych osobowych lub zainstalowania złośliwego oprogramowania. 

Jednym z najlepszych przykładów baitingu jest znane chyba wszystkim Polakom oszustwo na tzw. nigeryjskiego księcia, który obiecywał korzyści majątkowe za np. drobne inwestycje. Ofiara, próbując skorzystać z oferty, może nieświadomie ujawnić swoje dane albo właśnie wysłać pieniądze cyberprzestępcy.

Kradzież dywersyjna 

Kradzież dywersyjna nie jest do końca cyberatakiem. Często odbywa się w świecie rzeczywistym, ale korzysta z mechanizmów np. e-commerce. Cyberprzestępca może np. próbować nakłonić kureira czy osobę dostarczającą paczkę pod konkretny adres do zostawienia jej w niewłaściwym miejscu. 

Np. podszywając się pod sąsiada, rodzinę czy znajomych. To ostatecznie doprowadza do utraty zawartości przesyłki.

Business Email Compromise

Atak BEC polega na podszywaniu się pod zaufaną osobę w organizacji, najczęściej z tzw. C-levela, czyli dyrektorów lub prezesów. 

Cyberprzestępca tworzy fałszywe konto e-mail (lub przejmuje to należące do danej osoby) i nakłania pracowników do dokonywania nieautoryzowanych przelewów czy zmiany danych bankowych. Niekiedy również cyberprzestępcy podszywają się np. pod klientów, dostawców lub podwykonawców danej firmy. Ataki BEC mogą przynieść ogromne straty finansowe firmom.

Jednym z największych ataków BEC w historii byl ten wymierzony w Facebooka i Google’a przeprowadzony przez Evaldasa Rimasauskasa i jego wspólników. Litwin podszywając się pod dostawcę bigtechów wyłudził ponad 100 milionów dolarów.

Smishing

SMS-phishing to forma phishingu przeprowadzana za pomocą wiadomości SMS. Cyberoszuści próbują nakłonić ofiary do kliknięcia złośliwego linku lub pobrania zainfekowanego oprogramowania. 

Inżynieria społeczna. Jak cyberprzestępcy manipulują naszymi emocjami? Monika Świetlińska

Cyberataki typu smishingu cieszą się rosnącą popularnością, ponieważ ludzie coraz częściej korzystają ze smartfonów. Poza tym nie różni się on praktycznie niczym od tradycyjnego phishingu, a w zasadzie jest tylko jedną z jego odmian.

Quid pro quo 

Atak quid pro quo polega na żądaniu od ofiary poufnych informacji w zamian za pozornie pożądaną usługę. Cyberprzestępca może np. udawać technika pomocy technicznej i prosić o dane uwierzytelniające, które później wykorzystuje w nielegalny sposób.

Dobrym przykładem ataków quid pro quo były te związane z bankowością. Kilka lat temu wielu Polaków odbierało telefony od rzekomych pracowników banku, którzy straszyli ich nieautoryzowanymi przelewami i nakłaniali do zainstalowania aplikacji do zdalnego zarządzania smartfonem czy komputerem. Po co? Aby ukraść ich pieniądze.

Pretexting 

Przy użyciu pretekstu cyberprzestępcy tworzą wiarygodne historie lub scenariusze, aby przekonać ofiary do ujawnienia swoich danych osobowych. Mogą podszywać się pod mundurowych lub urzędników podatkowych. 

Dobrym przykładem jest tutaj „metoda na wnuczka” w zmodyfikowanej formie, tj. w kontekście podszywania się pod policję, gdzie straszono ludzi, że np. ich wnuczek lub dziecko spowodowali wypadek. Rzeczony incydent można było jednak zatuszować – jeśli uiści się odpowiednią opłatę.  

Hoodtrap 

Cyberatak typu „hoodtrap” tp rodzaj ataku jest skierowany w szczególności do osób szukających miłości w internecie. Cyberprzestępca tworzy fałszywe konto i nawiązuje relację z ofiarą, aby wyłudzić pieniądze, dane osobowe lub zainstalować złośliwe oprogramowanie na jego, lub jej urządzeniu.

Tailgating 

Tailgating to fizyczne naruszenie, w wyniku którego przestępca uzyskuje dostęp do fizycznego obiektu, prosząc osobę wchodzącą przed nim o przytrzymanie drzwi lub umożliwienie dostępu. Przestępca może wykorzystać ten dostęp do kradzieży lub instalacji złośliwego oprogramowania.

Europejski Miesiąc Cyberbezpieczeństwa 2023. Co to za inicjatywa?Monika Świetlińska

Atak ten obejmuje także np. pożyczenie osobie nieuprawnionej firmowego urządzenia – chociażby laptopa czy smartfona.

To oczywiście nie wszystkie socjotechniki. Takich ataków z wykorzystaniem inżynierii społecznej jest znacznie więcej. Dlatego warto jest mieć się na baczności i stosować metodę ograniczonego zaufania w stosunku do ludzi.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.