Jaki ma związek szyfrowanie plików ze zdjęciami słodkich kotków?

Szyfrowanie plików i słodkie kotki? Może nie ma tu analogii, ale na pewno jest związek przyczynowo-skutkowy. Ten tekst będzie o socjotechnikach czyli o wywieraniu wpływu na użytkownika.

Zostawmy szyfrowanie plików, spójrzmy na słodkie kotki

Dostajesz maila o treści: „To jest Bąbelek. Błąkał się po jednym z warszawskich osiedli. Ktoś oddał go do naszej Fundacji. Jest jeszcze trochę oszołomiony i smutny, dlatego szukamy dla niego domu. Wiemy, że nie każdy ma możliwości przyjąć pod swój dach kotka, ale każdy może kliknąć w zdjęcie, aby dołożyć kilka groszy na wyprawkę dla tego malucha. Nie musisz nic więcej robić – wystarczy kliknąć. Każde kliknięcie to 1 zł dla kotka. Bąbelek czeka na Twoje wsparcie”.

Poniżej zdjęcie Bąbelka.

To jak będzie, nie klikniesz?

Powyższy mail to przykład socjotechniki, czyli próba wpłynięcia na użytkownika, aby ten wykonał konkretną czynność, o którą prosi przestępca. W tym przypadku chodzi o kliknięcie w zdjęcie, co miałoby pomóc w zbiórce pieniędzy na wyprawkę dla słodkiego kotka. Możemy się domyślać co stałoby się potem. Klikasz w zdjęcie i przekierowuje Cię na witrynę z podziękowaniem za to, że obchodzi Cię los Bąbelka. W rzeczywistości trafiłeś na stronę, która pisząc w dużym uproszczeniu – niepostrzeżenie dla Ciebie pobiera złośliwe oprogramowanie i instaluje je na Twoim komputerze (tzw. atak drive-by download). Załóżmy, że to złośliwe oprogramowanie to ransomware czyli oprogramowanie szantażujące. Szyfruje Twoje pliki, a następnie żąda okupu za ich odblokowanie. Tyle kłopotu. A przecież chodziło tylko o wyprawkę dla słodkiego kotka.

Jak się ma szyfrowanie plików do socjotechnik stosowanych przez cyberprzestępców?

Jest taki dość popularny obrazek, który krąży po Internecie i humorystycznie sugeruje jakie szanse mają zabezpieczenia komputera (firewalle, antywirusy i inne takie) w starciu z błędem ludzkim. Pewnie go znacie :

Sytuacja wygląda dość marnie, prawda?

Cóż, możesz stosować różne zabezpieczenia, ale jeśli nie przygotujesz odpowiednio siebie do takiego ataku, to pozamiatane. Przestępcy rzadko przygotowują jakieś skomplikowane technologicznie ataki, skoro mogą powierzyć sprawę ludzkiej słabości.

Takie „łapanie” ofiary na „klik” nazywa się phishingiem i na pewno o tym słyszałeś, ponieważ pisaliśmy na ten temat już klika razy, na przykład:

Jeśli dasz się nabrać i  na komputerze przechowujesz jakieś poufne dane, możesz nie odczuć konsekwencji ataku, jeśli:  

> szyfrujesz pliki (bo żadna treść dokumentów nie trafi do osób trzecich, więc nie musisz się martwić wyciekiem – na przykład jeśli ktoś Ci zagrozi, że upubliczni jakieś Twoje zdjęcia w różnych serwisach, albo prześle je do bliskich Ci osób),

> robisz kopie zapasowe – pozwolą Ci odzyskać stracone w skutek ataku pliki.

Najlepiej stosować obie metody – w ten sposób jesteś zabezpieczony na dwa sposoby – nie martwisz się ani upublicznieniem treści poufnych dokumentów, zdjęć, filmów, ani tym, że bezpowrotnie utracisz te pliki.

Ale uwaga – jeśli atak nie będzie wymierzony w Twoje pliki, tylko na przykład w konta w mediach społecznościowych, skrzynkę, konta bankowe – ani szyfrowanie plików, ani kopie zapasowe nie uchronią Cię przed konsekwencjami.

Tutaj dwa artykuły o tym, jak chronić komputer przed innymi atakami:

Było o szyfrowaniu plików, wróćmy do socjotechniki

Dlaczego to takie skuteczne? Ponieważ przestępcy uderzają w nasze emocje. Wrażliwość i empatię – patrz powyższe kotki. Ciekawość – „Widziałeś ostatnie zdjęcia prezesa z firmowej imprezy?”. Pragnienia – „10 kg w 10 dni bez efektu jojo”. Chęć łatwego zarobku – „Zainwestuj 100 zł, odbierz 10 000 zł”. Wstyd – „Widziałem co oglądasz w Internecie. Chyba nie chcesz, żeby dowiedzieli się o tym Twoi bliscy?”.

Są też inne sposoby. Najbardziej perfidne to podszywanie się pod instytucje zaufania publicznego – urzędy, pocztę, ZUS, banki etc. Zapamiętaj: żadna z tych instytucji nie poprosi Cię o przesłanie hasła, loginu, peselu, zdjęcia dowodu osobistego etc. Jeśli dostaniesz taką wiadomość, skontaktuj się z bankiem, zanim klikniesz w jakiś nieznany link lub odpowiesz na maila. Uwaga: zadzwoń na infolinię – numer znajdziesz na stronie internetowej instytucji, nie korzystaj z kontaktu podanego w stopce maila.

P.S. Jeśli prowadzisz firmę, możesz bezpłatnie sprawdzić podatność Twoich pracowników na ataki phishingowe. Darmowy audyt zlecisz tutaj:

Zostaw komentarz

MENU