W szerszym znaczeniu każdy rodzaj manipulacji związany z psychologią behawioralną można uznać za inżynierię społeczną. Jednak pojęcie to nie zawsze wiąże się z działalnością przestępczą lub oszukańczą. W rzeczywistości inżynieria społeczna jest szeroko stosowana i badana w różnych kontekstach, w takich dziedzinach, jak nauki społeczne, psychologia i marketing.
Jeśli chodzi o cyberbezpieczeństwo, inżynieria społeczna ma ukryte motywy i odnosi się do zestawu złośliwych działań, które mają na celu zmanipulowanie ludzi w celu wykonania złych posunięć, takich jak podanie danych osobowych lub poufnych, które można później wykorzystać przeciwko nim samym lub ich firmie. Oszustwa związane z tożsamością są częstą konsekwencją tego typu ataków i w wielu przypadkach prowadzą do znacznych strat finansowych.
Inżynieria społeczna jest często przedstawiana jako zagrożenie cybernetyczne, ale koncepcja ta istnieje od dawna, a terminu tego można również używać w odniesieniu do oszukańczych schematów w świecie rzeczywistym, które zwykle polegają na podszywaniu się pod władze lub specjalistów IT. Jednak pojawienie się Internetu znacznie ułatwiło hakerom przeprowadzanie ataków manipulacyjnych na szerszą skalę i niestety te szkodliwe działania mają miejsce również w kontekście kryptowalut.
Jak to działa?
Wszystkie rodzaje technik inżynierii społecznej opierają się na słabościach ludzkiej psychologii. Oszuści wykorzystują emocje do manipulowania i oszukiwania swoich ofiar. Ludzki strach, chciwość, ciekawość, a nawet chęć pomocy innym zwracają się przeciwko nim na różne sposoby. Spośród wielu rodzajów złośliwej inżynierii społecznej phishing jest z pewnością jednym z najpowszechniejszych i najbardziej znanych przykładów.
Wyłudzanie informacji
Wiadomości e-mail phishingowe często imitują korespondencję od legalnej firmy, takiej jak sieć banków krajowych, renomowany sklep internetowy lub dostawca poczty e-mail. W niektórych przypadkach te sklonowane wiadomości e-mail będą ostrzegać użytkowników, że ich konto wymaga aktualizacji lub wykazuje nietypową aktywność, co wymaga od nich podania danych osobowych w celu potwierdzenia tożsamości i uporządkowania konta. Niektóre osoby ze strachu natychmiast klikają linki i przechodzą na fałszywą stronę internetową w celu podania wymaganych danych. W tym momencie informacje będą w rękach hakerów.
Straszne
Do rozpowszechniania tzw. Scareware stosowane są także techniki socjotechniczne. Jak sama nazwa wskazuje, Scareware to rodzaj złośliwego oprogramowania zaprojektowanego w celu straszenia i szokowania użytkowników. Zwykle polegają one na tworzeniu fałszywych alarmów, które mają na celu nakłonienie ofiar do zainstalowania fałszywego oprogramowania, które wygląda na legalne, lub do uzyskania dostępu do strony internetowej, która infekuje ich system. Taka technika często opiera się na obawie użytkowników przed naruszeniem bezpieczeństwa ich systemu, co przekonuje ich do kliknięcia banera internetowego lub wyskakującego okienka. Komunikaty zazwyczaj brzmią mniej więcej tak: „Twój system jest zainfekowany. Kliknij tutaj, aby go wyczyścić”.
Przynęta
Przynęta to kolejna metoda inżynierii społecznej, która sprawia problemy wielu nieuważnym użytkownikom. Polega na użyciu przynęt w celu zwabienia ofiar w oparciu o ich chciwość lub ciekawość. Na przykład oszuści mogą stworzyć witrynę internetową oferującą coś za darmo, na przykład pliki muzyczne, filmy lub książki. Jednak aby uzyskać dostęp do tych plików, użytkownicy muszą założyć konto, podając swoje dane osobowe. W niektórych przypadkach konto nie jest potrzebne, ponieważ pliki są bezpośrednio zainfekowane złośliwym oprogramowaniem, które przedostaje się do systemu komputerowego ofiary i zbiera jej wrażliwe dane.
Schematy znęcania się mogą również mieć miejsce w świecie rzeczywistym przy użyciu pamięci USB i zewnętrznych dysków twardych. Oszuści mogą celowo zostawiać zainfekowane urządzenia w miejscu publicznym, więc każda ciekawska osoba, która chwyta je, aby sprawdzić zawartość, infekuje swój komputer osobisty.
Inżynieria społeczna i kryptowaluty
Chciwa mentalność może być dość niebezpieczna, jeśli chodzi o rynki finansowe, czyniąc traderów i inwestorów szczególnie podatnymi na ataki phishingowe, piramidy finansowe i inne rodzaje oszustw. W branży blockchain emocje, jakie generują kryptowaluty, przyciągają wielu nowicjuszy w tę przestrzeń w stosunkowo krótkim czasie (szczególnie podczas hossy).
Mimo że wiele osób nie do końca rozumie, jak działa kryptowaluta, często słyszą o potencjale tych rynków w zakresie generowania zysków i ostatecznie inwestują bez przeprowadzenia odpowiednich badań. Inżynieria społeczna jest szczególnie niepokojąca dla nowicjuszy, ponieważ często wpadają w pułapkę własnej chciwości lub strachu.
Z jednej strony chęć szybkiego zysku i łatwych pieniędzy ostatecznie prowadzi nowicjuszy do gonienia za fałszywymi obietnicami prezentów i zrzutów. Z drugiej strony obawa, że ich prywatne pliki zostaną naruszone, może skłonić użytkowników do zapłacenia okupu. W niektórych przypadkach nie dochodzi do prawdziwej infekcji ransomware, a użytkownicy dają się oszukać fałszywemu alarmowi lub wiadomości utworzonej przez hakerów.
Jak zapobiegać atakom socjotechnicznym
Jak wspomniano, oszustwa wykorzystujące inżynierię społeczną działają, ponieważ odwołują się do ludzkiej natury. Zwykle wykorzystują strach jako motywator, namawiając ludzi do natychmiastowego działania, aby chronić siebie (lub swój system) przed nierealnym zagrożeniem. Ataki opierają się również na ludzkiej chciwości, wabiąc ofiary do różnego rodzaju oszustw inwestycyjnych. Dlatego ważne jest, aby pamiętać, że jeśli oferta wygląda zbyt dobrze, aby mogła być prawdziwa, prawdopodobnie taka jest.
Chociaż niektórzy oszuści są wyrafinowani, inni napastnicy popełniają zauważalne błędy. Niektóre e-maile phishingowe, a nawet banery zawierające strach, często zawierają błędy składniowe lub błędnie napisane słowa i są skuteczne tylko wobec tych, którzy nie zwracają wystarczającej uwagi na gramatykę i ortografię — miej więc oczy szeroko otwarte.
Aby nie stać się ofiarą ataków socjotechnicznych, powinieneś rozważyć następujące środki bezpieczeństwa:
Edukuj siebie, rodzinę i przyjaciół. Naucz ich o typowych przypadkach złośliwej inżynierii społecznej i poinformuj o głównych ogólnych zasadach bezpieczeństwa.
Zachowaj ostrożność w przypadku załączników i łączy do wiadomości e-mail. Unikaj klikania reklam i stron internetowych nieznanego źródła;
Zainstaluj godny zaufania program antywirusowy i aktualizuj aplikacje oraz system operacyjny;
Kiedy tylko możesz, korzystaj z rozwiązań uwierzytelniania wielopoziomowego, aby chronić swoje dane uwierzytelniające e-mail i inne dane osobowe. Skonfiguruj uwierzytelnianie dwuskładnikowe (2FA) na swoim koncie Binance.
Dla firm: rozważ przygotowanie swoich pracowników do identyfikowania ataków phishingowych i programów socjotechniki oraz zapobiegania im.
Zamykanie myśli
Cyberprzestępcy stale szukają nowych metod oszukiwania użytkowników, których celem jest kradzież ich środków i poufnych informacji, dlatego bardzo ważna jest edukacja siebie i swoich bliskich. Internet jest rajem dla tego typu oszustw, które są szczególnie częste w przestrzeni kryptowalut. Zachowaj ostrożność i czujność, aby nie wpaść w pułapki inżynierii społecznej.
Co więcej, każdy, kto zdecyduje się na handel lub inwestycję w kryptowalutę, powinien przeprowadzić wcześniejsze badania i upewnić się, że dobrze rozumie zarówno rynki, jak i mechanizmy działania technologii blockchain.
