Kiedyś bandyci, żeby okraść klienta banku musieli czekać, aż wyjdzie z placówki z torbą pełną pieniędzy. Dziś wystarczy, że wpiszemy dane logowania w niewłaściwym miejscu, żeby stracić oszczędności życia. Hakerzy, wirusy, phishing - to wszystko sprawia, że internet jest rajem dla złodziei. To jednak nie jedyny kanał kradzieży danych. Podczas gdy nasza uwaga skupiona jest na nowych technologiach, złodzieje z powodzeniem korzystają ze starszej technologii.
Vishing dotyka zarówno konsumentów indywidualnych, jak i firmy, z jednego bardzo prostego powodu - ludzkiej omylności. Podstawą działania przestępców jest sztuka perswazji. Cyberprzestępcy umiejętnie opanowali metody polegające na podszywaniu się pod zaufane organy — banki, dostawców technologii czy pracowników działu pomocy IT. W swoich działaniach posługują się metodą polegającą na tworzeniu poczucia pilnego podjęcia jakiegoś działania lub wzbudzenia obaw przed ich zaniechaniem, tłumiąc tym samym naturalne podejrzenia lub ostrożność ofiary.
– Takie techniki socjotechniczne są wykorzystywane w wiadomościach phishingowych i fałszywych wiadomościach tekstowych (znanych jako smishing). Wysoką skuteczność oszuści osiągają także w telefonicznym kontakcie z ofiarą – mówi Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET.
ZOBACZ TEŻ: Oszuści czyhają na twoje pieniądze! Jak zabezpieczyć konto internetowe na komputerze?
Atakujący mają kilka dodatkowych narzędzi i taktyk, które stosują, by ich oszustwa były bardziej skuteczne. Są to:
- Narzędzia do fałszowania numeru telefonu wyświetlanego odbiorcy, których można użyć do ukrycia rzeczywistej lokalizacji oszusta, a nawet podszycia się pod numery telefonów zaufanych organizacji. Na przykład w zeszłym roku, po włamaniu do luksusowego hotelu Ritz London i kradzieży danych osobowych klientów, oszuści wykorzystali te dane do przeprowadzenia przekonujących ataków socjotechnicznych na ofiary, podszywając się pod pracowników i oficjalny numer telefonu hotelu.
- Oszustwa wielokanałowe, które mogą zaczynać się od wiadomości SMS, e-mail lub poczty głosowej, zachęcając użytkownika do zadzwonienia pod wskazany w wiadomości numer. Takie działanie powoduje skierowanie ofiary bezpośrednio do oszusta.
- Przeszukiwanie mediów społecznościowych i innych otwartych źródeł danych w Internecie, które może dostarczyć oszustom wielu cennych informacji o ich ofiarach. Takie dane mogą zostać później wykorzystane do atakowania określonych osób – np. pracowników korporacji na określonych stanowiskach. Dane te mogą posłużyć również do uwiarygodnienia oszustwa – osoba atakująca może powtórzyć znane ofierze niektóre dane osobowe, aby zdobyć jej zaufanie i wyciągnąć od niej w ten sposób więcej poufnych informacji.
– Takie ataki stały się bardziej powszechne, częściowo dzięki masowemu przejściu na pracę zdalną podczas pandemii wywołanej koronawirusem. Ostatni przypadek włamania na Twitterze, w którym pracownicy zostali nakłonieni do ujawnienia swoich danych logowania, ilustruje, że nawet firmy i użytkownicy znający się na technologii mogą paść ofiarą oszustów. W tym przypadku dostęp został wykorzystany do przejęcia kont sławnych użytkowników w celu rozpowszechniania oszustwa kryptowalutowego. – dodaje Kamil Sadkowski.
