Phishing – największe zagrożenie cyberprzestępcze
Raport CERT Orange Polska 2023 wskazuje, jak działa phishing i dlaczego tak wielu z nas ciągle się na niego nabiera. Większość decyzji podejmowanych przez nas każdego dnia zachodzi w naszym mózgu bez naszej świadomości.
Gdybyśmy musieli świadomie analizować każdy krok, nasze umysły szybko by się przeciążyły. Pomyśl, ile decyzji podejmujesz rano między wstaniem z łóżka a wyjściem z domu. Czy naprawdę zastanawiasz się, czy dziś pijesz kawę, czy herbatę? Zazwyczaj robisz to automatycznie. Oszuści doskonale to rozumieją i wykorzystują.
Żyjemy w czasach nieustannego pośpiechu. Codziennie jesteśmy bombardowani zadaniami i bodźcami. W takim środowisku łatwo jest przeoczyć potencjalne zagrożenia. Kiedy jesteśmy rozproszeni i zajęci, łatwiej nam nabrać się na oszustwa.
Wykorzystanie emocji w phishingu
Cyberprzestępcy doskonale znają techniki perswazji opisane przez psychologa Roberta Cialdiniego. Wzajemność, zaangażowanie, sympatia, społeczny dowód słuszności, autorytet i niedostępność to narzędzia, które pomagają im manipulować naszymi emocjami i decyzjami.
Wzajemność to zasada, według której jeśli ktoś robi coś dla nas, czujemy potrzebę odwzajemnienia się. Jest to jedna z podstawowych zasad ludzkich interakcji, która buduje więzi społeczne i wzajemne zaufanie.
Zaangażowanie i konsekwencja to inne ważne zasady, zgodnie z którymi działamy zgodnie z naszymi wcześniejszymi decyzjami i poglądami. Ludzie mają naturalną tendencję do pozostawania wiernymi swoim wyborom, co pomaga im w budowaniu stabilności i spójności w życiu.
Sympatia odgrywa kluczową rolę w naszych relacjach, ponieważ ufamy osobom, które lubimy. To naturalne, że wolimy współpracować i wchodzić w relacje z ludźmi, do których mamy pozytywne nastawienie.
Społeczny dowód słuszności to zasada, która mówi, że podążamy za decyzjami większości. Ludzie często patrzą na zachowania innych, aby ustalić, co jest właściwe i akceptowalne w danej sytuacji.
Autorytet to kolejny czynnik, który wpływa na nasze decyzje. Ufamy osobom, które uważamy za ekspertów. Ich wiedza i doświadczenie sprawiają, że jesteśmy skłonni podążać za ich radami i wskazówkami.
Niedostępność to zjawisko, które wywołuje w nas reakcję na ograniczoną dostępność, co przyspiesza nasze decyzje. Kiedy coś jest trudno dostępne, staje się dla nas bardziej wartościowe i pożądane.
Prywatność w dzisiejszym świecie jest iluzją. Każdego dnia udostępniamy mnóstwo informacji o sobie w internecie. Możemy nie być świadomi, jak wiele z nich można znaleźć, wpisując nasze imię i nazwisko w wyszukiwarkę. Zdjęcia, posty na mediach społecznościowych, wypowiedzi na forach – wszystko to może posłużyć oszustom do stworzenia przekonującego profilu, który wykorzystają w phishingu. Warto zastanowić się, co udostępniamy publicznie, i ograniczyć te informacje, by utrudnić życie oszustom.
Spearphishing – bardziej zaawansowane techniki
Każdy może paść ofiarom cyberprzestępstwa, jakim jest phishing. Często na celowniku oszustów są pracownicy czy menedżerowie dużych firm i organizacji. W końcu to za nimi stoją pieniądze. Dlatego nierzadko personalizują oni swoje cyberataki. Wówczas mowa o tzw. spearphishingu.
Jest to zaawansowana forma phishingu, w której cyberprzestępcy celują w konkretne osoby lub organizacje, używając spersonalizowanych wiadomości e-mail lub innych metod komunikacji. W przeciwieństwie do tradycyjnego phishingu, który jest masowy i mało precyzyjny, spearphishing opiera się na szczegółowych informacjach o ofierze, co zwiększa skuteczność ataku.
Oszuści często pozyskują te dane z mediów społecznościowych, publicznych rejestrów czy poprzednich naruszeń danych, aby stworzyć wiarygodne i przekonujące wiadomości, które skłonią ofiarę do ujawnienia poufnych informacji lub pobrania złośliwego oprogramowania.
Jednym z najbardziej znanych przykładów udanego spearphishingu jest atak na firmę Sony Pictures w 2014 roku. Cyberprzestępcy wysłali spreparowane maile do pracowników Sony, podszywając się pod zaufane osoby lub organizacje.
Dzięki temu udało im się uzyskać dostęp do wewnętrznych sieci firmy, co doprowadziło do wycieku ogromnej ilości danych, w tym poufnych informacji o pracownikach, planowanych filmów i prywatnych maili. Atak ten spowodował nie tylko ogromne straty finansowe, ale również poważne szkody reputacyjne.
Jak chronić się przed phishingiem?
Jak możemy zmniejszyć ryzyko padnięcia ofiarą phishingu? Kluczem jest zwiększenie naszej świadomości i wypracowanie zasady ograniczonego zaufania w sieci. Zastanówmy się dwa razy, zanim klikniesz link w wiadomości e-mail lub SMS-ie – zwłaszcza jeśli wiadomość wydaje się pilna lub pochodzi od nieznanego nadawcy. Pamiętajmy, że oszuści będą robić wszystko, by wywołać nasze emocje i skłonić nas do podjęcia decyzji bez zastanowienia.
Phishing to nie tylko problem techniczny, ale także psychologiczny. Cyberprzestępcy wykorzystują nasze automatyczne reakcje, pośpiech i emocje, by nas oszukać. Zwiększenie świadomości, regularne szkolenia i ograniczenie udostępniania informacji w sieci to kluczowe kroki w walce z tym zagrożeniem. Każdy z nas może stać się ofiarą phishingu, dlatego warto być ostrożnym i zachować zdrowy sceptycyzm w kontakcie z nieznanymi wiadomościami.
