Na bardziej makro poziomie każde działanie związane z psychologią behawioralną można uznać za inżynierię społeczną. Jednak pojęcie to nie zawsze wiąże się z działalnością przestępczą lub oszukańczą. W rzeczywistości inżynieria społeczna jest szeroko stosowana i badana w takich dziedzinach, jak nauki społeczne, psychologia i marketing.
Jeśli chodzi o cyberbezpieczeństwo, inżynieria społeczna odnosi się do szeregu złośliwych działań, które mają na celu wmanipulowanie ludzi w złe zachowanie z ukrytymi motywami, takimi jak kradzież danych osobowych, które można później wykorzystać do kradzieży danych osobowych lub poufnych firmy. Oszustwa związane z tożsamością są częstą konsekwencją tego typu ataków i w wielu przypadkach powodują znaczne straty finansowe.
Inżynieria społeczna jest często uważana za cyberzagrożenie, ale koncepcja ta istnieje już od dawna, a termin ten można również powiązać z oszustwami w świecie rzeczywistym, często polegającymi na podszywaniu się pod audytora lub eksperta IT. Jednak pojawienie się Internetu ułatwiło hakerom przeprowadzanie ataków manipulacyjnych na szerszy zakres zasobów i niestety te szkodliwe działania mają również miejsce w przestrzeni kryptowalut.
Jak to działa?
Wszystkie rodzaje inżynierii społecznej opierają się na słabościach ludzkiej psychologii. Oszuści wykorzystują emocje do manipulowania i oszukiwania swoich ofiar. Żerują na ludzkich lękach, chciwości, ciekawości, a nawet chęci pomagania innym. Wśród różnych złośliwych zachowań socjotechnicznych phishing jest jednym z najpowszechniejszych i najbardziej znanych przypadków.
Wyłudzanie informacji
Wiadomości e-mail phishingowe często imitują wiadomości e-mail od legalnych firm, takich jak banki krajowe, sieci sklepów, renomowane sklepy internetowe lub dostawcy poczty e-mail. W niektórych przypadkach te oszukańcze e-maile ostrzegają użytkowników, że ich konta wymagają aktualizacji lub że wystąpiła nietypowa aktywność, prosząc o podanie danych osobowych w celu potwierdzenia ich tożsamości i zarządzania kontami. Niektórzy użytkownicy ze strachu natychmiast klikają link i przechodzą na fałszywą stronę internetową, dostarczając przestępcom potrzebne im dane. W tym momencie informacje będą w rękach hakerów.
Zagrożenie
Do rozprzestrzeniania tak zwanego oprogramowania typu „scareware” wykorzystywane są również techniki inżynierii społecznej. Jak sama nazwa wskazuje, oprogramowanie zagrażające to rodzaj złośliwego oprogramowania zaprojektowanego w celu zastraszania i grożenia użytkownikom. Często polegają na tworzeniu fałszywych alertów w celu nakłonienia ofiar do zainstalowania legalnie wyglądającego, fałszywego oprogramowania lub nakłonienia użytkowników do odwiedzenia witryn internetowych w celu zainfekowania ich systemów. Technika ta zwykle opiera się na obawie użytkowników, że ich systemy zostały zhakowane, co przekonuje ich do klikania banerów internetowych lub wyskakujących okienek. Komunikaty te zazwyczaj brzmią: „Twój system jest zainfekowany. Kliknij tutaj, aby go wyczyścić”.
zwodzić
Phishing to kolejna forma inżynierii społecznej, która powoduje problemy dla wielu nieostrożnych użytkowników. Zazwyczaj wykorzystuje chciwość lub ciekawość użytkownika, aby zwabić ofiary. Oszust może na przykład stworzyć witrynę internetową oferującą bezpłatne treści, takie jak pliki muzyczne, filmy lub książki. Aby uzyskać dostęp do tych plików, użytkownicy zazwyczaj muszą założyć konto i podać swoje dane osobowe. W niektórych przypadkach utworzenie konta może nie być wymagane, ponieważ pobrane pliki mogą zostać bezpośrednio zainfekowane złośliwym oprogramowaniem, które przedostanie się do systemu komputerowego ofiary i zbierze jej wrażliwe dane.
W prawdziwym życiu do phishingu można również wykorzystać pamięć USB i zewnętrzne dyski twarde. Oszuści mogą celowo pozostawić zainfekowane urządzenie w miejscu publicznym, wabiąc ciekawskie osoby do sprawdzenia go i przejrzenia jego zawartości, co ostatecznie infekuje ich komputery osobiste.
Inżynieria społeczna i kryptowaluta
Chciwa mentalność może być bardzo niebezpieczna, jeśli chodzi o rynki finansowe, a handlowcy i inwestorzy są szczególnie podatni na phishing, piramidy finansowe i piramidy finansowe oraz inne rodzaje oszustw. W branży blockchain uwaga generowana przez kryptowaluty przyciągnęła wiele nowych osób w tej dziedzinie w stosunkowo krótkim czasie (szczególnie podczas hossy).
Chociaż wiele osób nie do końca rozumie, jak działają kryptowaluty, często słyszą doniesienia prasowe o potencjale rynku do generowania ogromnych zysków i ślepo inwestują bez przeprowadzenia odpowiednich badań. Inżynieria społeczna jest szczególnie niepokojąca dla początkujących, ponieważ często wpadają w pułapkę własnej chciwości lub strachu.
Z jednej strony chęć szybkiego zysku i zarobienia pieniędzy sprawi, że nowicjusze będą gonić za fałszywymi korzyściami i wierzyć w obietnice zrzutów. Z drugiej strony użytkownicy mogą obawiać się, że ich prywatne pliki zostaną naruszone i zapłacą okup. W niektórych przypadkach użytkownicy dadzą się po prostu oszukać fałszywymi alertami lub wiadomościami utworzonymi przez hakerów i w rzeczywistości nie są zainfekowani oprogramowaniem ransomware.
Jak zapobiegać atakom socjotechnicznym
Jak wspomniano wcześniej, oszustwa wykorzystujące inżynierię społeczną działają tylko dlatego, że wykorzystują ludzkie słabości. Często wykorzystują strach jako motywator, skłaniając ludzi do podjęcia natychmiastowych działań w celu ochrony siebie (lub swoich systemów) przed nierealnymi zagrożeniami. Niektóre ataki socjotechniczne opierają się również na ludzkiej chciwości, aby zwabić ofiary do różnego rodzaju oszustw inwestycyjnych. Dlatego ważne jest, aby pamiętać, że jeśli oferta wydaje się zbyt piękna, aby mogła być prawdziwa, prawdopodobnie jest to oszustwo.
Chociaż niektórzy oszuści są wyrafinowani, przeciętni napastnicy popełniają oczywiste błędy. Tytuły niektórych e-maili phishingowych i zagrożeń często zawierają błędy gramatyczne lub ortograficzne, co zwykle zmyli tylko nieostrożnych — dlatego należy zachować ostrożność.
Aby nie paść ofiarą ataku socjotechnicznego, należy zwrócić uwagę na następujące środki bezpieczeństwa:
Edukuj siebie, rodzinę i przyjaciół. Naucz ich typowych przykładów złośliwej inżynierii społecznej i zapoznaj ich z kluczowymi zasadami bezpieczeństwa.
Zachowaj ostrożność podczas obchodzenia się z załącznikami i linkami do wiadomości e-mail. Unikaj klikania reklam i witryn pochodzących z nieznanych źródeł;
Zainstaluj oryginalne oprogramowanie antywirusowe, aby zapewnić aktualność aplikacji i systemu operacyjnego;
Jeśli chcesz chronić swoje dane logowania do poczty e-mail i inne dane osobowe, skorzystaj z rozwiązania do uwierzytelniania wieloskładnikowego. Podobnie jak konfiguracja uwierzytelniania dwuskładnikowego (2FA) dla Twojego konta Binance.
Dla firm: Pracownicy powinni mieć uprawnienia do identyfikowania ataków wykorzystujących socjotechnikę, aby zapobiegać atakom typu phishing i socjotechnika.
Podsumowanie przemyśleń
Cyberprzestępcy zawsze szukają nowych sposobów na oszukanie użytkowników w celu kradzieży pieniędzy i poufnych informacji, dlatego ważne jest, aby edukować siebie i swoje otoczenie. Internet stanowi bezpieczną przystań dla tego typu oszustw, które są szczególnie powszechne w przestrzeni kryptowalut. Zachowaj więc ostrożność i czujność, aby nie wpaść w pułapki inżynierii społecznej.
Ponadto każdy, kto zdecyduje się na handel lub inwestycję w kryptowaluty, powinien wcześniej przeprowadzić wystarczające badania, aby upewnić się, że dobrze rozumie rynek i mechanizmy działania technologii blockchain.