Boimy się konsekwencji, nawet jeśli są absurdem

Nawet nie wiesz, że ktoś może Tobą manipulować jak mu się podoba, od dawna. Działać na Twoich emocjach, zaufaniu, naiwności. Twój komputer od miesięcy może być regularnie przeglądany, cenne dane wykradane, a Ty nawet o tym nie wiesz.

Boimy się konsekwencji, nawet jeśli są absurdem
  • Monika Świetlińska
  • /
  • 9 października 2022

Trwa Europejski Miesiąc Cyberbezpieczeństwa. Z tej okazji redakcja "Security Magazine" przygotowała specjalne wydanie poświęcone właśnie temu, jak radzić sobie w tak kryzysowej sytuacji jak atak na nas, na nasze dane, nasze pieniądze.

Zbyt często zdarza się, że nie mamy świadomości, że byliśmy ofiarami ataków hackerskich i ile razy cyberprzestępcy podejmowali próby, by nas atakować. Nas - zwykłego Kowalskiego, pracownika firmy, na którą docelowo planowany jest atak, członka rodziny, by zbliżyć się do docelowej ofiary i wyciągnąć na jej temat np. kompromitujące informacje. 

Nie zawsze może chodzić o Ciebie

Ty możesz stać się jedynie naiwnym pionkiem w grze, który wpadł w sidła obcego człowieka. Możesz nieświadomie stać się pośrednikiem ataku hakerskiego. Taki rodzaj cyberprzestępstwa, kiedy ktoś podszywa się pod osobę, firmę, instytucję — to phishing. Nie bez powodu nazywany jest atakiem socjotechnicznym.

I to właśnie o nim rozmawia na łamach "Security Magazine" Michał Rosiak z CERT Orange Polska.

Będzie ustawa o ochronie małoletnich w internecie?Będzie ustawa o ochronie małoletnich w internecie?Martyna Kowalska

- Emocje, które wywoła sprawny socjotechnik, dzieją się na poziomie podświadomości. „Szybko”, „natychmiast”, „niedopłata”, „kara”, „konsekwencje” – to hasła, które powodują, że serce nam szybciej bije, nawet jeśli wiemy, że to absurd — zaznacza.

Zaznaczył, że niezmiennie mamy do czynienia z „niedopłatami rachunków”, „dopłatami do paczek”. I choć tyle się mówi o tych rodzajach manipulacjach, to one wciąż są bardzo skuteczne.

Dlaczego? — Bo taką mamy psychikę (...) Dlatego głównym hasłem edukacji świadomościowej cyberbezpieczeństwa powinno być: „Zwolnij”, albo „Pomyśl”. Na szkoleniach, które prowadzę, mówię: „Wiem, że masz mało czasu, a terminy siedzą i dyszą Ci w kark. Ale ile dostajesz dziennie maili, czy SMS-ów, które budzą Twoje wątpliwości? Pięć? Poświęć każdemu minutę. To jest tylko PIĘĆ MINUT. A jeśli zrobisz błąd, będzie Cię to kosztowało znacznie więcej” — mówi Michał Rosiak.

I znów wracamy do tematu nieświadomego uczestnictwa w atakach phishingowych. 

- Żeby wykraść tajne dane firmy, nie trzeba phishować prezesa! Gdy w 2013 w efekcie ataku na amerykańską sieć marketów o nazwie – nomen omen – Target, wyciekły dane 43 milionów klientów, zaczęło się od przejęcia konta pracownika firmy serwisującej klimatyzację w jednym ze stanów! Jemu wykradziono dane logowania do VPN-a Targetu, a potem, krok po kroku, przestępcy dostali się na serwery, rozsyłając uaktualnienia oprogramowania do kas, gdzie wrzucili swoją wersję softu, z „niespodzianką” - opowiada Michał Rosiak z CERT Orange Polska.

Socjotechniki - skuteczność niemal 100%

Uważa on, że jeśli chcemy trafić w konkretną osobę, czy raczej pracownika konkretnej firmy, skuteczność dobrego socjotechnika będzie bliska 100 procent. 

„Znikający podatnik” i seria lewych faktur. Tym razem na 7,9 mln złotych„Znikający podatnik” i seria lewych faktur. Tym razem na 7,9 mln złotychMikołaj Frączak

- Same informacje w mediach społecznościowych, pozwolą atakującemu najpierw znaleźć x pracowników firmy Y, a w kolejnych krokach trafić na takiego, który udostępnia o sobie zbyt dużo. Jeśli napastnikowi  bardzo  zależy,  może  zebrać  dane  niczym w szpiegowskich filmach, bywając w miejscach, gdzie np. pracownicy firmy Y spotykają się na lunch (i posłuchać, co mówią, o kim i o czym), znaleźć gdzieś wzór identyfikatora firmowego, skopiować, po czym wejść komuś „na plecach” na teren firmy, by zebrać więcej informacji… Powiedziałbym wręcz, że jeśli ktoś bardzo chce dostać się do sieci właśnie firmy Y, to szansa, że się dostanie jest bliska 100%. Pytanie brzmi, ile jest takich „firm Y”? - wyjaśnia ekspert cyberbezpieczeństwa w Orange Polska.

Pytanie, co zrobić, by nie paść ofiarą takiego cyberprzestępcy.

Odpowiedź na to pytanie znajdziesz w bezpłatnym wydaniu "SECURITY MAGAZINE" dostępnym TUTAJ

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Tagi: przestępstwa pracownik Terminy Bezpieczeństwo pracy

Powiązane posty

Popularne Tagi

Prawo w praktyce

REKLAMA / WSPÓŁPRACA

Sprawdź się

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!