Raport CERT Orange Polska: Dlaczego oszuści ciągle łapią nas na phishing?

Trzeba być idiotą, żeby kliknąć w coś takiego! ; Przecież to był oczywisty przekręt! ; Co jest phishingiem? Ty się najpierw naucz czym jest czytanie ze zrozumieniem! Bywamy ekspertami od różnych dziedzin, jednak niemal każda z krytykujących osób, gdy oszuści odpowiednio pod jej kątem przygotują phishing, dałaby się nań złapać. Zapraszamy do lektury artykułu Michała Rosiaka z Raportu CERT Orange Polska 2023.

Dlaczego? Bo większość procesów, które powodują, że ostatecznie klikamy, czy nawet podajemy dane, będący pewni, że wszystko jest zgodne z prawdą i rzetelne, zachodzi w naszym mózgu. Naprawdę większość tych rzeczy dzieje się bez udziału naszej świadomości! Gdybyśmy wszelkie aktywności, które robimy, wykonywali świadomie, bardzo szybko dalibyśmy umysłowi tak dużo bodźców, że ten mógłby się totalnie zablokować. Zastanów się przez chwilę jak wiele małych decyzji podejmujemy choćby rano, między wstaniem z łóżka i wyjściem z domu. A teraz odpowiedz sobie na pytanie, ile z tego dzieje się odruchowo? Czy co rano zastanawiasz się: „Dziś wypiję herbatę, czy może kawę?” – a może po prostu odruchowo jeszcze z zamglonymi oczami sięgasz po szklankę i wciskasz guzik na ekspresie?

No właśnie. I oszuści też to wiedzą.

Czas to pieniądz

Jasne, śródtytuł to frazes, ale do tej sytuacji idealnie pasuje. Niestety żyjemy w świecie i kulturze „pędzenia”. Bombardują nas nie tylko bodźce, ale i zadania. Codzienne wyzwania są jak praca na taśmie. A my jak Reksio z czołówki animowanego serialu, przybijamy kolejne pieczątki bez zbytniego zastanowienia.

[nieznany numer] Tato to jest moj nowy numer telefonu wyslij mi wiadomosc na Wapp wa.me/+487xx5xx8xx; telefon wpadł mi do ubikacji

[NET FLIX] Zaktualizuj informacje, dotyczace platnosci hxxps://galabovivesti.info/[indywidualny_hash]

[nieznany numer] Na dzien 11.09 zaplanowano odlaczenie energii elektrycznej! Prosimy o uregulowanie naleznosci hxxps://ya.sv/pge-zaplac-[indywidualny_hash]

Gdy widzisz te treści teraz, na naszej stronie – masz świadomość, że to oszustwo, prawda? Dzieje się tak dlatego, że masz czas, by się nad tym zastanowić. Co jednak, jeśli jesteś rodzicem, korzystasz z Netflixa, masz prąd w PGE? A SMS trafi do Ciebie w trakcie pracy, między jednym i drugim zadaniem?
Jest spore ryzyko, że nie będziesz mieć czasu. Zadziałasz w emocjach, podejmiesz decyzję szybką, podświadomą, bazującą na schematach (heurystykach), które masz już opracowane, które podsuwa Ci mózg.

No właśnie. I oszuści też to wiedzą.

Emocje „myślą za Ciebie”

Wzajemność, zaangażowanie i konsekwencja, lubienie i sympatia, społeczny dowód słuszności, autorytet, niedostępność. Co łączy te wszystkie pojęcia? Osoba psychologa Roberta E. Cialdiniego, który na ich bazie opisał techniki perswazji. Tworząc de facto podwaliny socjotechniki, która stoi za kampaniami.

• Wzajemność. Jeśli ktoś zrobi coś dla Ciebie (choćby tak naprawdę nie niosło żadnej wartości) – odruchowo chcesz mu się odwdzięczyć.
• Zaangażowanie i konsekwencja. Masz określone od lat poglądy na jakiś temat? W konkretnej sytuacji zawsze zachowujesz się tak samo? Nasza podświadomość powoduje, że ciężko się od takiego schematu odzwyczaić.
• Lubienie i sympatia. Jeśli kogoś lubimy, chętniej mu uwierzymy/pomożemy. Np. nie sprawdzimy, czy to, aby na pewno on wysłał do nas maila.
• Społeczny dowód słuszności. Jeśli tłumy ludzi w coś wierzą – łatwiej nam w to uwierzyć. Specyficznym przykładem tej zasady jest wpływ sondaży wyborczych na decyzje przy urnach. Nie trzeba jednak czekać do wyborów – tym samym jest odruchowe „lajkowanie” tego samego co nasi znajomi. Na przykład fanpage’a, który tak naprawdę totalnie nas nie interesuje.
• Autorytet. To ta, która np. powoduje, że łatwiej wierzymy człowiekowi w kitlu, nawet nie dopuszczając do siebie, że to przecież nie lekarz, tylko aktor. Tę regułę znakomicie opisuje eksperyment Milgrama. Jeśli nie znacie – warto o nim poczytać.
• Niedostępność. To istota wielu marketingowych akcji. Ograniczona liczba egzemplarzy, tylko dzisiaj, za godzinę (!). Czas to też – a może nawet przede wszystkim! – zasób, które dostępność może być ograniczona.

Jesteś w stanie przypomnieć lub wyobrazić sobie sytuacje, gdy ktoś usiłował Cię zmanipulować, używając powyższych reguł? Gdy już je poznamy, środki manipulacji wydają się być genialne w swojej prostocie. A przede wszystkim efektywne.

No właśnie. I oszuści też to wiedzą.

Poszukaj się w sieci zanim zrobią to oszuści

Prywatność nie istnieje. O tym piszemy, nie tylko w kolejnych edycjach Raportu, już od wielu lat. Bardziej powinniśmy mówić o świadomości tego, co publikujemy o sobie w internecie. Zrób test. Uruchom wyszukiwarkę – albo nawet kilka – i wpisz swoje imię nazwisko. Spróbuj zabawić się w szpiega i znaleźć o sobie jak najwięcej w sieci. Zdjęcia, konta w serwisach społecznościowych, wypowiedzi na różnych stronach czy forach. Może znajdzie się coś o Twoim hobby? Może gdzieś pokazujesz zdjęcie dziecka, upubliczniasz jego imię? Albo chwalisz się ukochanym psem czy kotem? A może w sieci można odnaleźć Twoje powiązania, czy to służbowe, czy prywatne? Z kim pracujesz, z kim się przyjaźnisz…

Gdy już to wszystko znajdziesz, zastanów się, jak dokładny profil Ciebie można z tego ułożyć. I pamiętaj, że to wszystko to tylko efekt poszukiwań – w większości przypadków – amatora. Dobry specjalista od OSINT (Open Source INTelligence, wyszukiwanie ogólnodostępnych informacji) potrafi znaleźć sporo, a nawet znacznie więcej.

To teraz pomyśl, czy zły człowiek mógłby z tych kawałków sklecić koncepcję maila, w którego na pewno klikniesz? Gdzie podszyje się pod Twojego przyjaciela i podeśle Ci rzekomą ciekawostkę o Twoim hobby, prowadzącą do strony ze złośliwym kodem? A może za kolegę z oddziału Twojej firmy z innego miasta, który poprosi o przeczytanie tekstu, który „dla ułatwienia” wrzucił do zewnętrznego chmurowego serwisu? A może któryś z nich poświęci trochę więcej czasu, żeby podawać się za kogoś, kogo znasz, by zbudować Twoje zaufanie, a następnie skorzystać z którejś z reguł Cialdiniego?

Oczywiście nie chodzi o to, by wpaść w manię prześladowczą i obsesyjnie kryć się w sieci. Warto jednak wiedzieć, co o sobie publikujemy i mieć świadomość, że im więcej tego jest, tym łatwiej sprawić, byśmy dali się oszukać. Brzmi groźnie, prawda?

No właśnie. I oszuści też to wiedzą.

Każdy jest podatny!

Raz na jakiś czas – nieregularnie, ale też nierzadko – do pracowników Orange Polska trafiają kontrolowane phishingi. Zgodnie z zasadą Navy Seals DevGru, im więcej potu na ćwiczeniach, tym mniej krwi w boju! Jeśli ktoś ma się dać oszukać phishingowi, niech to będzie nasz phishing. Taki, który co najwyżej skończy się zlaniem zimny potem, szkoleniem jak rozpoznawać takie maile i edukacją. I może też trochę nauką pokory.

Ofiarą phishingu może bowiem paść każdy. Dlatego lepiej, by tak się działo w przypadku kontrolowanego ataku, wysyłanego przez ekspertów wewnątrz firmy. Nie ma – może z drobnymi wyjątkami – ludzi, którzy nie dadzą się złapać na phishing. To tylko kwestia czasu, energii i pieniędzy włożonych w jego przygotowanie. Jedyną nadzieją może być to, że niewielu z nas to HVT (High Value Target, cel o wysokiej wartości) – oszustom nie będzie się chciało przygotowywać dla wszystkich odpowiednio dobrych i manipulacyjnych kampanii.

Jeśli jednak każdy z nas nabierze nieco pokory, oduczy się być może wdrukowanych przez lat podświadomych mechanizmów „drogi na skróty” i wbije sobie w głowę zasadę ograniczonego zaufania w sieci, ryzyko padnięcia ofiarą ataku znacznie zmaleje, a złym ludziom będzie dużo trudniej.

No właśnie. I oszuści też to wiedzą. Dlatego tak bardzo chcą wywołać nasze emocje, by nie dać nam czasu na zastanowienie.

Udało nam się Ciebie zainteresować? Zapraszamy do lektury całego raportu.