Socjotechnika w kontekście cyberbezpieczeństwa odnosi się do metody manipulacji ludźmi, często stosowanej w celu uzyskania nieautoryzowanego dostępu do informacji lub systemów.
To technika oparta na psychologicznym wpływaniu na ludzi. Na czym polega? Skłaniamy osoby do wykonania określonych działań lub ujawnienia poufnych informacji.
Socjotechnika. Co trzeba wiedzieć?
Socjotechnika opiera się na wykorzystywaniu ludzkich cech takich jak:
- Ufność
- Naiwność
- Strach
- Ciekawość
- Posłuszeństwo wobec autorytetów
Atakujący manipulują ofiarami, aby te nieświadomie pomogły w przeprowadzeniu ataku.
Atakujący często tworzą fałszywe scenariusze (preteksty) lub podszywają się pod inne osoby lub instytucje (np. pracowników firmy, instytucji bankowych), aby zyskać zaufanie ofiary.
Sprawdź: Najlepsi hakerzy na świecie
Socjotechnika jest jednocześnie formą inżynierii społecznej, która obejmuje różne techniki manipulacji. Konkretnie są to: phishing (wysyłanie fałszywych e-maili w celu wyłudzenia danych), vishing (oszustwa telefoniczne) czy baiting (przynęta, np. zainfekowane nośniki danych pozostawione w miejscach publicznych).
Celem socjotechniki jest często uzyskanie danych takich jak hasła, dane dostępowe, informacje finansowe lub inne wrażliwe dane.
Socjotechnika — przykłady
Atak na FACC (austriackiego producenta części do samolotów)
W 2016 roku firma FACC straciła około 42 milionów euro w wyniku zaawansowanego oszustwa polegającego na kompromitacji e-maila CEO i wysłaniu fałszywej wiadomości z prośbą o pilny przelew środków. E-mail przekonał pracownika działu księgowości do przelania pieniędzy na konto oszustów.
Phishing Microsoft 365
W 2021 roku badacze bezpieczeństwa odkryli oszustwo phishingowe, które polegało na przekonaniu odbiorców do zainstalowania złośliwego oprogramowania na ich urządzeniu.
Odbiorcy otrzymywali pusty e-mail z załącznikiem wyglądającym jak plik Excel, który w rzeczywistości był złośliwym plikiem .html. Po otwarciu fałszywego pliku, ofiary były przekierowywane na stronę z złośliwym kodem, który wyświetlał fałszywe powiadomienie o wylogowaniu z Microsoft 365 i zachęcał do ponownego wpisania danych logowania.
Atak na Shark Tank
W 2020 roku Barbara Corcoran, sędzia programu telewizyjnego “Shark Tank”, została oszukana na prawie 400 000 dolarów przez cyberprzestępcę, który podszył się pod jej asystenta i wysłał e-mail do księgowego z prośbą o odnowienie płatności związanej z inwestycjami w nieruchomości. Oszust użył adresu e-mail podobnego do prawdziwego.
Atak na Ubiquiti Networks
W 2015 roku Ubiquiti Networks, producent technologii sieciowych, stracił prawie 40 milionów dolarów w wyniku ataku phishingowego. Podejrzewa się, że konto e-mailowe pracownika w Hongkongu zostało skompromitowane. Następnie, hakerzy użyli techniki podszywania się pod pracowników, aby zażądać fałszywych płatności, które zostały dokonane przez dział księgowości.
Więcej przykładów możecie znaleźć na tej stronie, czy też w tym miejscu.
Socjotechnika często wykorzystuje manipulację emocjonalną, taką jak strach (np. groźba kary za niepodporządkowanie się), poczucie pilności (np. fałszywe ostrzeżenie o konieczności szybkiej reakcji) czy chciwość (np. obietnica łatwego zysku).
Zapobieganie socjotechnice wymaga świadomości i edukacji użytkowników na temat potencjalnych zagrożeń, a także stosowania odpowiednich procedur bezpieczeństwa, takich jak dwuetapowe uwierzytelnianie, regularne szkolenia z bezpieczeństwa i rozwijanie kultury ostrożności wśród pracowników.
Autor: Sebastian Zbywarski, dziennikarz Vault-Tech.pl
Sebastian Zbywarski to doświadczony specjalista ds. prywatności i cyberbezpieczeństwa, który łączy głęboką pasję do technologii i sztucznej inteligencji z zaawansowaną wiedzą w dziedzinie cyberbezpieczeństwa. Skupia się na opracowywaniu i wdrażaniu strategii ochrony danych, które są zarówno skuteczne, jak i zgodne z najnowszymi trendami i regulacjami w zakresie prywatności. Pracuje w branży już ponad 8 lat.
Czytaj też:
Dziękujemy, że przeczytałaś/eś nasz artykuł. Obserwuj Vault-Tech.pl w Wiadomościach Google, aby być na bieżąco.