Hakerów kojarzymy zazwyczaj ze specjalistami od oprogramowania, które wnika w nasze urządzenia i dokonuje spustoszeń. Praktyka pokazuje jednak, że umiejętność wykorzystywania ludzkich emocji i powszechnych błędów poznawczych jest równie skuteczna co tworzenie linijek kodu. Ataki socjotechniczne polegają właśnie na sprytnej manipulacji, której celem jest skłonienie użytkownika do podjęcia konkretnych działań. Poznaj metody hakerów i broń się skutecznie przed nimi!
Phishing
Jest to najbardziej popularny rodzaj ataków socjotechnicznych, a także ataków hakerskich w ogóle. Użytkownik otrzymuje wiadomość e-mail, w której nadawca podszywa się pod inne podmioty, z prośbą o podanie danych dostępowych lub o zalogowanie się np. do bankowości internetowej. Po kliknięciu wskazanego linku ofiary są przekierowywane do strony, która wygląda identycznie jak witryna znanej instytucji czy banku. Podczas logowania użytkownik nieświadomie przekazuje hakerom dane dostępowe do wybranego systemu. Phishing ma często charakter akcji masowych, ponieważ przestępcy pobierają adresy mailowe z wykradzionych baz, aby wysyłać na nie spam. Jeżeli są ich tysiące, statystycznie rzecz biorąc, jakiś procent użytkowników może wykonać pożądane przez hakerów działanie.
- Jak się chronić?
Przede wszystkim nie klikaj podejrzanych linków. Zwracaj uwagę, czy witryna, na którą trafiasz, jest zabezpieczona certyfikatem SSL, który przypisuje domenę do jej określonej firmy. Jeżeli sam posiadasz stronę WWW, również możesz chronić swoich klientów przed phishingiem. W tym celu powinieneś korzystać z certyfikatu SSL i wybierać dostawcę domen oferującego dla nich zabezpieczenie DNSSEC. Jest to mechanizm kryptograficzny uwierzytelniający zapytania DNS, którym chronione są domeny rejestrowane w pakiecie Bezpieczna domena w nazwa.pl.
PRZECZYTAJ TAKŻE:
Spear phishing
Spear jest odmianą phishingu wymierzoną w wybranych użytkowników. Służy najczęściej do atakowania konkretnej organizacji. Ofiara spear phishingu otrzymuje wiadomość, w której nadawca podszywa się pod osobę z firmy lub kontrahenta. W e-mailu pojawia się prośba o podanie odpowiednich danych. Gdy użytkownik to zrobi, haker zyskuje dostęp, np. do systemu informatycznego organizacji lub skrzynki e-mailowej zaatakowanego, dzięki czemu może zdobyć cenne informacje. Spear phishing może służyć także do instalowania złośliwego oprogramowania. W tym celu haker wysyła użytkownikowi wiadomość z załącznikiem, np. fakturą lub listem przewozowym, i prośbą o jego pilne otwarcie. Po kliknięciu załącznika na komputerze ofiary instaluje się wirus.
- Jak się chronić
Spear phishing wykorzystuje ludzką skłonność do zaufania. Do każdej wiadomości z załącznikiem zawsze warto podchodzić ostrożnie. Zwracaj przede wszystkim uwagę na adres e-mail nadawcy oraz podpis i stopkę wiadomości. Jeżeli wyglądają one niestandardowo, to dla Ciebie sygnał ostrzegawczy. Podobnie rzecz wygląda w przypadku ewentualnych niezgrabności językowych. Gdy dostrzeżesz, że wiadomość wygląda podejrzanie, nietypowo, najlepiej zadzwoń do nadawcy i zapytaj, czy faktycznie wysyłał do Ciebie taki e-mail.
Baiting
Termin „baiting” oznacza „zarzucanie przynęty”. Jest to metoda stosowana do ataku na wybrane przez hakerów organizacje i wymaga fizycznej obecności przestępcy w firmie, np. w częściach wspólnych. Najczęściej baiting polega na podrzuceniu nośnika danych, np. pendrive’a z logo firmy, ze złośliwym oprogramowaniem. Bywa on oznaczany w sposób, który zachęca do jego uruchomienia (zdarza się, że jest to „lista płac”, dzięki której pracownik mógłby się dowiedzieć, jakie wynagrodzenie otrzymują inni zatrudnieni). Metoda ma także formę online polegającą na wysłaniu do użytkownika wyjątkowo kuszącej oferty. Żeby z niej skorzystać, należy podać cenne dane lub uruchomić oprogramowanie. W obu przypadkach hakerzy żerują na ludzkiej ciekawości lub nawet chciwości.
- Jak się chronić?
Jak w przypadku każdego rodzaju cyberataku, kluczowa jest świadomość zagrożenia. Musisz pamiętać o tym, aby nie korzystać z żadnych porzuconych nośników danych. Jeśli chcesz to zrobić, przeskanuj taki nośnik programem antywirusowym, w innym niż firmowy komputerze. Aby uchronić się przed internetową wersją baitingu, podchodź z dystansem do podejrzanie atrakcyjnych ofert, które otrzymujesz e-mailem. Bezwzględnie nie podawaj także na żadnej stronie swoich danych logowania do bankowości internetowej lub szczegółów karty kredytowej.
Vishing
Atak vishing to kolejna odmianą phishingu przeprowadzana za pomocą telefonu, często z użyciem kanałów VoIP, takich jak Skype. Systemy tego typu pozwalają hakerom na podszycie się pod innego rozmówcę. Przestępcy często wykorzystują numer, który znamy, np. organizacji kontrahenta. Czasem telefon poprzedzony jest informacją tekstową, np. o naruszeniu bezpieczeństwa konta bankowego. Telefon staje się zapowiedzianą konsekwencją tej informacji, dzięki czemu zyskuje na wiarygodności. Celem vishingu jest ponownie uzyskanie istotnych dla przestępców danych – numerów kart kredytowych, danych osobistych czy loginów i haseł. Zdarza się też, że odbierając połączenie, czy oddzwaniając do hakerów, usłyszymy automatyczną wiadomość z prośbą o podanie tych informacji.
- Jak się chronić?
Jak zawsze, także w przypadku vishingu, formą ochrony jest zwykła ostrożność. Twoją szczególną nieufność powinny wzbudzić wszelkie prośby o podawanie istotnych danych drogą telefoniczną. Zdecydowanie nie należy przystawać na takie żądania. Jeśli masz jakiekolwiek wątpliwości, zadzwoń do firmy, z której rzekomo pochodzi dany kontakt telefoniczny. Zweryfikuj w ten sposób, czy rzeczywiście to jej pracownik do Ciebie dzwonił.
Smishing
Smishing jest rodzajem phishingu wykorzystującym SMS-y. Wiadomości zawierają informacje sugerujące konieczność kliknięcia linku lub zadzwonienia pod numer nadawcy. Czynność ta powinna być wykonana szybko, ponieważ wrażenie pilności skłania użytkownika do działania, zanim jeszcze zastanowi się nad ewentualnym niebezpieczeństwem. Komunikat może dotyczyć np. zawieszenia konta w bankowości internetowej. Po kliknięciu odpowiedniego linku na danym urządzeniu najczęściej instaluje się złośliwe oprogramowanie służące do dalszych ataków.
- Jak się chronić?
Wszelkie wymuszające płatność lub logowanie SMS powinno się automatycznie uznawać za podejrzane. Problemem jest to, że nie wszyscy odbiorcy takich wiadomości są świadomi, że tego typu forma kontaktu także może stanowić zagrożenie. Wiedza na temat niebezpieczeństw związanych z pocztą e-mail jest znacznie powszechniejsza, co sprawia, że jesteśmy na tym punkcie bardziej wyczuleni. Jednakże trzeba pamiętać, że hakerzy używają różnych sposobów na wyłudzanie cennych danych.
Wiedza i zdrowy rozsądek
Najlepszą obroną przeciwko atakom socjotechnicznym jest świadomość, że w ogóle mogą one mieć miejsce. Aby chronić firmę przed hakerami, działającymi w opisany w tym artykule sposób, należy przede wszystkim przeprowadzać regularne szkolenia pracowników. Uczulenie ich na zagrożenia oraz wdrożenie podstawowych procedur bezpieczeństwa mogą sprawić, że unikniemy olbrzymich strat materialnych czy wizerunkowych wynikających z ataku.
Prywatny użytkownik powinien opierać się także na zdrowym rozsądku. Należy mieć świadomość cyberzagrożeń i nigdy nie podawać istotnych informacji przez telefon, SMS, e-mail czy na podejrzanych stronach internetowych. Konieczne jest również stosowanie weryfikacji dwuetapowej, dzięki której zalogowanie się do usługi z innego urządzenia wymaga dodatkowej autoryzacji, np. poprzez SMS. Do elementów zwyczajnej ostrożności należy też niepodawanie nikomu bezpośrednio swoich haseł, nawet współpracownikom.
W nazwa.pl od lat stosujemy dwuetapową weryfikację w dostępie do najważniejszych narzędzi. Możesz z niej korzystać w Panelu Klienta, w CloudHosting Panel oraz odbierając pocztę e-mail. Domeny oferowane przez nazwa.pl posiadają dodatkową ochronę przed phishingiem za pomocą DNSSEC, a certyfikat SSL nazwaSSL Premium dysponuje nowoczesnym szyfrowaniem ECDSA. W nazwa.pl dostarczamy Ci kompleksowe zabezpieczenia związane z Twoją obecnością w sieci.
