Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Dlaczego socjotechniki działają?

09 styczeń 2023

Dlaczego socjotechniki działają?
Łukasz Remisiewicz

Łukasz Remisiewicz

Wykorzystanie naturalnych słabości ludzkiego mózgu

Odpowiedź na pytanie o to, dlaczego socjotechnika bywa skuteczna musi najpierw odwołać się do mechanizmów kognitywnych, które wykorzystują twórcy oszustw. Są oni często bardzo bystrymi obserwatorami i analitykami ludzkich rozumowań.

Zacznijmy od tego, że nasze działania podejmujemy z różnym poziomem refleksyjności: niekiedy zastanawiamy się nad przyczynami, skutkami i procedurami tego, co robimy, ale częściej, przy rutynowych działaniach, wolimy włączyć tak zwany tryb domyślny, który często przyspiesza nasze działanie, ale ogranicza zdolność kontroli nad nimi. Można wyróżnić kilka podstawowych mechanizmów wykorzystywanych w tym kontekście przez socjotechników.

Pierwszym z nich jest rozpraszanie uwagi, co ma doprowadzić do ograniczenia refleksyjności. Przykładowo w popularnych schematach wyłudzeń pieniędzy przedstawiona jest często angażująca historia, która w założeniu w całości po-winna owładnąć osobą okradaną.

Na przykład, złodzieje udający na portalach randkowych amerykańskich żołnierzy, rzekomo pragnących spotkać się z poznaną w internecie kobietą, starają się przekonująco i emocjonalnie opisać swoje problemy, które wymagają opłacenia ich przelotu do Polski, zapłacenia kar czy sfinansowania kosztownej operacji. „Zajęcie” umysłu historią ma na celu wyłączenie mechanizmów kontroli u strony oszukiwanej.

Nasza refleksyjność może być uśpiona, jeśli jakieś działania są podejmowane przez osoby, których nie podejrzewamy o nieuczciwość. Na przykład oszuści na portalach aukcyjnych mogą tworzyć „pacynki” – fejkowe konta, które budują reputację sprzedawcy, mającego w zamiarze oszukanie prawdziwych klientów. Ci, kierując się pozytywnymi opiniami, wystawieni są na ryzyko kradzieży. Techniką wykorzystującą podobny mechanizm jest astroturfing – przedstawianie pewnych zaplanowanych działań konkretnej jednostki, jako spontanicznych i oddolnych działań grup. Skoro „zwykli ludzie” organizują się i czegoś żądają, przyłączenie się do nich lub poparcie jest bardziej prawdopodobne, niż wówczas, gdy mamy do czynienia z zaplanowaną akcją, której sztuczną konstrukcję łatwo dostrzegamy.

Socjotechnicy mogą także wykorzystywać albo wspierać poczucie winy: gdy samemu zrobi się coś nie do końca uczciwego, trudno jest podejmować kroki przeciwko oszustowi.

Powszechnie znaną sztuczką jest tzw. nigeryjskie oszustwo. Ofiara otrzymuje maila, że oto ktoś (np. zarządca wielkiego spadku) oferuje jej olbrzymią sumę pieniędzy, ale oczywiście żeby ją otrzymać należy wpłacić zaliczkę. Osoby oszukane często nie zgłaszały tego faktu na policję, ponieważ orientowały się, że cała sprawa miałaby charakter prania brudnych pieniędzy, a zatem wnioskowały, że bezpieczniej jest milczeć o stracie swoich środków.

Podobny mechanizm indukowania winy próbowali zastosować oszuści rozsyłający wiadomości zawierające żądania zapłacenia pewnej (niezbyt wygórowanej) sumy pieniędzy pod groźbą upublicznienia kompromitujących zdjęć z kamery internetowej, na których rzekomo widać ofiary oglądające filmy pornograficzne. Choć, oczywiście, takich zdjęć wcale nie było, to sposób ten w pierwszym okresie jego funkcjonowania okazał się dość skuteczny, ponieważ niektóre z okradzionych ofiar faktycznie korzystały wcześniej z pornografii, nie chciały by ktokolwiek się o tym dowiedział, a poza tym suma nie wydawała się im na tyle astronomiczna, by ryzykować kompromitację. Dzięki „racjonalnej kalkulacji” na podstawie tych czynników, decydowały się zapłacić.

Nasza refleksyjność może być zaburzona także pod presją czasu. Jak pokazują liczne badania psychologiczne, gdy mamy podjąć szybką decyzję, wykorzystujemy nieco inne zasoby niż wówczas, gdy możemy się nad nią w spokoju zastanowić.

Presja czasu sprawia, że nasz umysł poszukuje prostszych schematów, by analizować otaczającą rzeczywistość, co w złożonym kontekście często jednak prowadzi do błędów. Niewątpliwie sytuacje, w których ktoś oczekuje od nas potwierdzenia lub podpisu dokumentu, którego nie jesteśmy w stanie w zadanym czasie dokładnie przeczytać, powinniśmy traktować jako alarmujące.

Socjotechnika i zaufanie

Perspektywa ewolucjonistyczna wydaje się interesująca, by wyjaśnić pewną szczególną przyczynę ulegania socjotechnice: naszą ufność. Mózgi homo sapiens kształtowały się około 120 tys. lat temu i od tej pory praktycznie się nie zmieniły. Oznacza to, że naturalnie jesteśmy naj-bardziej przystosowani do rozwiązywania problemów, które napotykali nasi przodkowie na terenach afrykańskiej sawanny.

Gdy nasze mózgi kształtowały się, zaufanie było konieczne do przetrwania – ktoś, kto opanował daną umiejętność, mógł ją przekazać dalej; ktoś, kto dowiedział się, gdzie można upolować zwierzynę, prowadził tam resztę gromady.

Z ciągłym wzrostem złożoności świata i rozwojem technologii zaufanie tylko zyskuje na znaczeniu. Nie znamy się na wszystkim, a nawet gdyby tak było, to przecież nie mamy czasu, by weryfikować wszystkich danych: jeśli oddajemy samochód do naprawy oczekujemy, że specjalista zdiagnozuje i naprawi usterkę.

Jeśli zamawiamy w restauracji jedzenie, przyjmujemy, że jest przyrządzone przynajmniej na tyle dobrze, byśmy się nie otruli. Jeśli dzwoni do nas sympatyczny pracownik banku, prosząc o podanie hasła do konta…. No właśnie, wtedy zaczynają się problemy.

Nasz mózg naturalnie przystosowany jest do ufności i oszuści wykorzystują różne powiąza-ne mechanizmy z tym związane. Oszustwa polegające na wyciąganiu istotnych informacji dotyczących danych prywatnych lub haseł często wykorzystują zaufanie w powiązaniu z domyślnym trybem naszego rozumowania.

Wspomniany atak metodą „na bankiera” ma przekonać osobę po drugiej stronie słuchawki, że „ekspert” ma ważny powód, by otrzymać hasło do naszego konta, a ponieważ wie lepiej, co robić – nie należy wątpić w jego słowa.

Wrażeniu temu sprzyjać może profesjonalny język kojarzony z instytucjami bankowymi i pewność siebie. Wielu nieudolnych oszustów odpadało już na tym etapie – nawet zwykli, nieprzeszkoleni ludzie czuli, że za telefonem stoi jakieś matactwo, gdy słyszeli, że osoba, z którą rozmawiają plącze się, a w jej słowach pobrzmiewa rosyjski akcent.

Z kolei znany amerykański hacker Kevin Mitnick był mistrzem w tego rodzaju zagrywkach. W książce „Sztuka podstępu” o znamiennym podtytule „Łamałem ludzi, nie hasła” przedstawia wiele przykładów dotyczących tego, jak jego spryt i umiejętność natychmiastowego rozwiewania wątpliwości osób, z którymi rozmawiał, pozwolił mu na uzyskiwanie informacji, które z pewnością nie były dla niego przeznaczone.

Jedna z jego rozmówczyń była przekonana, że rozmawia ze swoim współpracownikiem mimo, że nie mieli nawet podobnych głosów. Plan się powiódł, bo Mitnick potrafił zmienić numer telefonu, z którego dzwonił, a tym razem sprawił, że jego ofierze wyświetlił się numer wspomnianego współpracownika. Mając tę podstawową, kotwiczącą legitymację dla swojej tożsamości, zmianę głosu wystarczyło wytłumaczyć chorobą gardła.

Zaufanie jednak można zdobywać także bez kontaktu – znaną metodą kradzieży wrażliwych danych i istotnych informacji jest podrabianie stron internetowych serwisów, których klienci podają takie dane w ten sposób, by do złudzenia przypominały oryginalne. Wykorzystuje to mechanizm domyślnego trybu działania: przesyłając „zatrutą” reklamę serwisu zachęca się klienta do kliknięcia w nią, po czym ten – zwabiony nieodróżnialnym wy-glądem serwisu robi to, co zwykle, czyli loguje się lub podaje wymagane informacje.

Rola wiedzy

Opisane wyżej mechanizmy działały, ale na szczęście działają coraz rzadziej. Co za to odpowiada? Poziom zaufania nie jest stały, a czynnikiem sprzyjającym zmianom jest wiedza. Liczne badania dowodzą, że nie ma lepszego środka, by zapobiegać oszustwom, jak informowanie potencjalnie zagrożonych grup o tym, jakie metody aktualnie stosowane są przez oszustów. Przeciętni ludzie, a w szczególności starsi, niezapoznani w wystarczającym stopniu z nowoczesnymi technologiami, nie tylko nie wiedzą, co powinno uruchomić ich czujność, ale także często nie mają świadomości, w jaki sposób ich dane mogą zostać wykorzystane.

Gdy posiadamy wiedzę w jakimś temacie, istnieje bardzo małe prawdopodobieństwo, że zadziała na nas oszustwo, które ten temat wykorzystuje. Na przykład, badania pod kierownictwem Stephana Lea z Uniwersytetu Exeter pokazały, że osoby, które same grały czasami na loterii, są o wiele mniej podatne na zawierzenie oszukańczym informacjom o „wielkiej wygranej”. Podobnie osoby, które posiadają wiedzę o udziałach i akcjach są mało podatne na scam inwestycyjny.

Jak można sądzić, poznanie przyczyn, mechanizmów i czynników wspierających podatność na bycie ofiarą socjotechniki jest niezwykle istotne dla osób projektujących architekturę zabezpieczeń.

Choć wiele mechanizmów czysto technicznych ma niebagatelne znaczenie, to mogą one efektywniej współdziałać wtedy, gdy wiedza o zagrożeniach wśród potencjalnych ofiar będzie jeszcze większa.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności