• Uwaga podstęp!

    tekst: Marcin Wojtasik , NUMA 02/2012

Najnowsze Artykuły

  • Społecznie w Internecie

    Pajacyk, Okruszek, "Zaproszenie do znajomych" czy "Wielkie Święta dla Najmniejszych" - to akcje społeczne, które nie miałyby szansy zaistnienia nigdzie indziej jak w Internecie. Wymagają jednak reakcji osoby po drugiej stronie monitora. Jak ją pozyskać?

    tekst: Monika Kaczmarek - Śliwińska

    czytaj
  • Prywatność w sieci

    Badania pokazują, że niemal wszyscy młodzi internauci w Polsce korzystają ze społeczności internetowych, takich jak Facebook, nk.pl czy Twitter. Pewnie was to nie dziwi, bo sami macie profil w co najmniej jednym z tych serwisów. Czy jednak w odpowiedni sposób zarządzacie tam swoją prywatnością?

    tekst: Ewa Dziemidowicz

    czytaj
  • NumaRady - Kontroluj i nie daj się

    W TYM NUMERZE RADZI Łukasz Wojtasik, inicjator pierwszej ogólnopolskiej kampanii poświęconej bezpieczeństwu w sieci - "Nigdy nie wiadomo, kto jest po drugiej stronie" oraz licznych projektów edukacyjnych, m.in. "Stop cyberprzemocy", Sieciaki.pl. Autor badań i opracowań na temat bezpieczeństwa w Internecie. Koordynator programu Dziecko w Sieci Fundacji Dzieci Niczyje.

    tekst: Łukasz Wojtasik

    czytaj

Zabezpieczamy swoje komputery hasłami dostępu, mamy loginy i hasła do konta e-mailowego czy na portalu społecznościowym. Tylko po co, skoro sami ujawniamy te poufne przecież dane oszustom?


Z reguły jesteśmy świadomi, że dane osobowe powinny być poufne i nie należy ich ujawniać byle komu. Zdajemy sobie też sprawę z tego, że pozornie niewinne działania w Internecie mogą przynieść opłakane efekty. A mimo to nie jesteśmy zupełnie bezpieczni w sieci. Ci, którzy pragną zdobyć o nas wiedzę i skłonić do określonych działań, wiedzą, że nie tak łatwo jest już nas usidlić. Dlatego coraz częściej posuwają się do podstępu.

Najsłabsze ogniwo

Oszuści Internetowi, aby wyłudzić od nas konkretne informacje albo zmusić nas do określonego działania, stosują podstępy - a więc różne formy psychologicznej manipulacji mające wzbudzić zaufanie, uśpić czujność i nas zmylić. Wykorzystują znajomość funkcjonowania ludzkiej psychiki, a konkretnie jej słabych punktów. Czegoś, co najsłynniejszy haker świata, pracujący obecnie jako konsultant do spraw bezpieczeństwa, Kevin Mitnick określił jako "bugs in human hardware" (co w swobodnym tłumaczeniu oznacza "błędy w ludzkim oprogramowaniu"). 
Czy zdarzyło wam się wpuścić kogoś do budynku, kto po prostu wszedł za wami na klatkę schodową i jeszcze podziękował za przytrzymanie drzwi? A ile razy po usłyszeniu dzwonka domofonu po prostu otworzyliście drzwi, nie sprawdzając, kto idzie (bo np. spodziewaliście się gościa)? Prawdopodobieństwo, że wciskając wszystkie guziki domofonu w dużym bloku, trafimy właśnie na kogoś, kto nam otworzy drzwi, jest duże. Ta podstawowa znajomość ludzkiej psychiki pozwala na pokonywanie zamkniętych drzwi bez używania wytrychów czy wyłamywania zamków.

Triki znane i nieznane

Ta sama reguła zachodzi w świecie wirtualnym. Wspomniany już Kevin Mitnick przyznał, że dużo łatwiej przychodziło mu uzyskiwanie od ludzi hasła dostępu i innych potrzebnych danych podstępem niż drogą mozolnego włamywania się do systemu. 
Część trików wykorzystywanych przez oszustów jest nam całkiem dobrze znana, ale część z nich to zagrożenia jeszcze mało popularne. 
Średnio doświadczony internauta wie, czym jest phishing, czyli próba nakłonienia użytkownika netu do wpisania swoich haseł i kodów na fałszywej witrynie banku albo serwisu. Mało też kto daje dziś jeszcze wiarę zapewnieniom, że został wylosowany do ostatniego etapu konkursu, gdzie czekają na niego gwarantowane nagrody (tzw. lottery scam). To powszechnie znane triki. Są jednak sztuczki, na które dają się nabrać najbardziej doświadczeni i ostrożni użytkownicy.

Wykorzystać zaufanie

Znacie pewnie programy satyryczne, w których ktoś dzwoni do osób bądź firm, podszywając się pod inną osobę i ku uciesze publiczności "wkręca" rozmówcę. Technikę tę można wykorzystać również w mniej zabawnych celach. Oszust kontaktuje się z nami telefonicznie lub za pośrednictwem Internetu, udając, że potrzebuje informacji, np. potwierdzenia tożsamości osoby, z którą rozmawia. To stanowi dla niego pretekst do zadawania pytań mających na celu zebranie kluczowych danych osobowych. By zyskać nasze zaufanie, często przedstawia się np. jako pracownik banku, operatora telefonii komórkowej, firmy windykacyjnej, a nawet jako policjant, duchowny, naukowiec albo osoba, którą znamy. Generalnie udaje kogoś, kto - naszym zdaniem, bo tak mamy już zakodowane w głowie - ma prawo tej wiedzy się od nas domagać... Policji dobrze znana jest metoda "na wnuczka", kiedy przestępca telefonuje do kogoś i podszywając się pod krewnego, prosi o pilne pożyczenie pieniędzy. W bardziej wyrafinowanych przypadkach oszust tworzy całe scenariusze obliczone na zwiększenie szans, że ofiara zacznie ujawniać dane osobowe lub wykonywać rzeczy, których w normalnych warunkach by nie zrobiła.

Znajomy z Facebooka

Myślicie, że dotyczy to tylko osób starszych? Błąd. To tylko najbardziej prymitywna forma podstępu. Zwykle wystarczy pewność siebie i brak skrupułów. Czasem jednak przestępca musi posiadać pewną wiedzę o upatrzonej ofierze. Taką, która pozwoli mu przygotować odpowiedzi na potencjalne pytania, jakie może ona zadać.
Bardzo popularną metodą na zdobycie czyjegoś zaufania jest przekonanie ofiary, że mamy wielu wspólnych znajomych na Facebooku. Wystarczy porozsyłać jej znajomym zaproszenia, a można mieć pewność, że przynajmniej część z nich przyjmie oszusta do grona swoich znajomych, bez wnikania kim on jest. W ten właśnie sposób nie tak dawno oszustom udało się zdobyć zaufanie kluczowych pracowników Google, co wykorzystali potem w ataku na serwis.

Połknąć haczyk

A teraz wyobraźcie sobie, że znajdujecie w autobusie pamięć USB albo płytę, na której jest napisane "informacje poufne". Któż powstrzyma się przed sprawdzeniem, co na niej jest? Większość osób zrobi to z czystej ciekawości. Znajdzie się też niejeden dobry Samarytanin, który w ten sposób będzie się chciał dowiedzieć, kto jest właścicielem zagubionego nośnika danych, żeby mu go oddać. Na płycie czy też pamięci USB jednak nic nie ma. Nic poza szpiegowskim oprogramowaniem. Jeśli taka "przynęta" zostanie podrzucona w firmie, to szpiegowskie oprogramowanie zainstaluje się na jej komputerach.
Jednak nawet jeśli nie pracujecie w wielkiej korporacji, której sekrety chcą poznać internetowi oszuści, to ciągle przez ciekawość możecie połknąć haczyk. W mailach, a ostatnio coraz częściej na serwisach społecznościowych, można znaleźć wiele plików zawierających złośliwe oprogramowanie lub odsyłacze do zainfekowanych stron, opatrzonych zachęcającymi informacjami i zdjęciami. Najlepszym wabikiem są, co tu kryć, treści związane z seksem, zwłaszcza w kontekście znanych osób ze świata polityki i show biznesu.

Niedoświadczony internauta nie oprze się także zdaniu: "Hej, przesyłam ci moje gorące fotki z wakacji" i otworzy załączony do tak opisanego maila zawirusowany plik.

Jak się bronić?

Przedstawione tu techniki to tylko przykłady, wszystkich nie sposób wymienić, zwłaszcza że ciągle są opracowywane nowe. Jak więc się przed nimi bronić? Przede wszystkim zachowując czujność i stosując zasadę ograniczonego zaufania. Nie można automatycznie ufać osobie, której się często nawet nie widziało, zawsze trzeba domagać się potwierdzenia tożsamości. Warto również trzymać na wodzy swoją ciekawość. Te zasady sprawdzają się też całkiem dobrze w prawdziwym życiu, nie tylko przed monitorem komputera, warto więc o nich pamiętać.