Błędnie mniemanie jest takie, że oszuści internetowi używają zaawansowanych narzędzi i technologii, aby włamać się do komputerów, na konta internetowe i urządzenia mobilne. Jest to po prostu nieprawda. Oszuści nauczyli się, że jednym z najprostszych sposobów, aby wykraść informacje lub włamać się na komputer jest po prostu kłamstwo.

Socjotechnika jest metodą ataku społecznego polegającym na tym, że atakujący nakłania innego użytkownika do wykonania jakiejś czynności. Jednak oszuści komputerowi wiedzą, że użycie tych technik w Internecie jest wyjątkowo skuteczne.

Przykład z życia:

Sprawca telefonicznie podaje się za pracownika dostawcę usług internetowych albo wsparcie techniczne firmy Microsoft. Oszust wyjaśnia, że zauważył, że komputer ofiary zachowuje się dziwnie, np. skanuje Internet lub wysyła spam, i są przekonani, że jest on zainfekowany. Atakujący proponuje pomóc przez zbadanie problemu i zabezpieczenie komputera. Następnie używając niezrozumiałych dla przeciętnego użytkownika terminów technicznych prowadzi ofiarę przez wiele skomplikowanych kroków, próbując stwierdzić, że komputer ofiary jest zainfekowany. Przykładowo, może poprosić o sprawdzenie, czy są pewne pliki na komputerze i pokaże Ci krok po kroku jak je znaleźć. Po zlokalizowaniu plików rozmówca będzie zapewniał, że pliki te są oznaką zainfekowania komputera, gdy w rzeczywistości są to popularne pliki systemowe znajdujące się na każdym komputerze. Kiedy już wmówi ofierze, że komputer jest zainfekowany, będzie skłaniał ofiarę do odwiedzenia ich strony i zakupu oprogramowania zabezpieczającego lub poprosi o przyznanie zdalnego dostępu do komputera, aby mógł go naprawić. Jednak oprogramowanie, które sprzedają to w rzeczywistości złośliwy program. Jeśli ofiara zakupi i zainstaluje to oprogramowanie, zostanie nie tylko nakłoniona do zainfekowania swojego własnego komputera, ale wręcz płaci aby to zrobili. Jeśli dasz mu zdalny dostęp do komputera zainfekuje go złośliwym oprogramowaniem i przejmie nad nim kontrolę.

Należy pamiętać, że podobne ataki socjotechniczne nie ograniczają się do rozmów telefonicznych. Mogą zdarzyć się przy użyciu niemal każdej technologii, w tym ataków phishingowych poprzez e-mail, SMS, wiadomość na portalach społecznościowych jak Facebook czy OLX lub czatach internetowych (w tym WhatsApp). Najważniejsze jest, aby wiedzieć, na co zwracać uwagę.

Prewencja przed atakiem socjotechnicznego

Najprostszym sposobem obrony przed atakami inżynierii społecznej jest zachowanie zdrowego rozsądku. Jeśli coś wydaje się podejrzane lub niewłaściwe, może to być atak socjotechniczny. Oto powszechne symptomy wskazujące na atak socjotechniczny:
• Sprawca tworzy wrażenie potrzeby podjęcia bardzo szybko decyzji. Jeśli czujesz się pod presją by szybko podjąć decyzję, bądź podejrzliwy.
• Sprawca prosi o informacje, do których nie powinien mieć dostępu ani nie powinien ich znać.
• Coś zbyt piękne, aby mogło być prawdziwe. Typowym przykładem jest przekazanie informacji o wygranej na loterii, pomimo że nigdy nie brało się w niej udziału.

Jeśli istnieje podejrzenie, że ktoś stosuje metody ataku socjotechnicznego, to należy unikać kontaktu z tą osobą. Jeśli robi to przez telefon, po prostu należy odrzuć połączenie. Jeśli rozmawia online, zakończ czat. Jeśli jest to e-mail, w który nie można uwierzyć, usuń go. Jeśli atak jest związany z pracą, należy natychmiast zgłosić go do działu IT lub zespołu bezpieczeństwa informacji.

Zapobieganie atakom socjotechnicznym w przyszłości

Podstawowe zasady:
• Nie wolno dzielić się hasłami. Żadna szanująca się organizacja nigdy nie skontaktuje się z prośbą o podanie hasła. Jeśli ktoś prosi o podanie hasła, to jest próba ataku socjotechnicznego.
• Nie udostępniaj zbyt wiele. Im więcej atakujący wie o tobie, tym łatwiej jest wprowadzić w błąd i nakłonić do robienia tego, czego chcą. Nawet udostępnianie z pozoru nieznaczących szczegółów, które z czasem połączone w całość, może stworzyć kompletny profil osoby. Im mniej udostępniasz publicznie na portalach społecznościowych, w recenzjach produktów lub na publicznych forach i listach mailingowych, tym mniej prawdopodobne, że zostaniesz zaatakowany.
• Sprawdź kontakt. Czasami, z uzasadnionych powodów, może zadzwonić ktoś z banku, wydawca karty kredytowej, dostawca usług telefonii komórkowej lub innych organizacji. Jeśli są jakiekolwiek wątpliwości co do tego, czy pytanie o udzielenie informacji jest uzasadnione, to należy poprosić osobę, która telefonuje o jej imię i nazwisko i numer telefonu. Następnie samodzielnie można zatelefonować do tej firmy z zaufanego źródła, takiego jak numer na odwrocie karty kredytowej, numer z wyciągu bankowego, albo numer na stronie internetowej firmy (wpisać sam adres URL w przeglądarce). Tym sposobem, samodzielnie weryfikujemy rozmówce. Choć może wydawać się, że te czynności mogą być kłopotliwe, warto jest je wykonać dla ochrony tożsamości i swoich danych osobowych.