Postęp technologiczny i dynamiczny rozwój bankowości elektronicznej, zmienił znacząco przyzwyczajenia klientów banków, którzy dla własnej wygody i oszczędności czasu, coraz częściej korzystają z bezpiecznych płatności internetowych, mobilnych lub bezgotówkowych kartą płatniczą. Należy w tym miejscu podkreślić, że banki (zobowiązane m.in. przepisami prawa UE) dochowują szczególnej staranności, aby systemy informatyczne dotyczące szeroko rozumianej bankowości elektronicznej, posiadały jak najwyższy poziom zabezpieczeń, uniemożliwiających różnego rodzaju ataki hakerskie. O skuteczności tych zabezpieczeń świadczy chociażby fakt, że po ataku na Ukrainę w lutym 2022 r., systemy te zachowały odporność na liczne próby ataków hakerów działających w interesie Rosji.
Mając powyższe na uwadze, cyberprzestępcy obrali strategię oszustw przy wykorzystaniu tzw. metod socjotechnicznych, tj. różnego sposobu wywierania wpływu na klientów banków, stosowanych przy użyciu technik komunikacji — np. perswazji czy intensyfikacji lęku. Socjotechnika bywa także określana jako sztuka wykorzystania ludzkich zachowań do złamania zabezpieczeń bez spostrzeżenia przez daną osobę, że została zmanipulowana. Celem hakera jest nakłonienie „ofiary” do wykonania określonej aktywności, np. podania hakerowi danych logowania do konta bankowego czy haseł zabezpieczających kluczowe dane użytkownika. Osoby stosujące socjotechnikę często przypisują sobie fałszywą tożsamość, podszywają się pod pracowników banków, serwisów komputerowych i innych instytucji zaufania publicznego (np. Policję, Prokuraturę, KNF, ZBP, itp). Aby dopiąć swego, wykorzystują różne kanały komunikacji i dotarcia do potencjalnej ofiary. Najczęściej są to:
- rozmowy telefoniczne,
- podstawione strony internetowe,
- komunikatory (np. WhatsApp, Messenger, itp.)
- e-maile i SMS-y,
- wiadomości na portalach społecznościowych,
- chaty internetowe.
Ataki socjotechniczne mogą przybierać różne formy. Ich wspólnym mianownikiem bywają jednak często:
- konieczność przekazania/wysłania wrażliwych danych: danych logowania do konta bankowego, haseł, numerów kart kredytowych wraz z kodem CVV. Pamiętaj, że bez względu na okoliczności nikt poza Tobą (nawet pracownik banku) nie powinien mieć do nich dostępu;
- tworzona przez rozmówcę/nadawcę maila lub SMS-a presja związana z koniecznością podjęcia natychmiastowej decyzji. Takie okoliczności sprzyjają utracie zdrowego rozsądku i podejmowaniu decyzji pod wpływem impulsu. A te mogą mieć długofalowe, wyjątkowo nieprzyjemne konsekwencje;
- niespodziewane rady, o które nikt nie prosił i propozycje pomocy. Jeśli ktoś chce pomóc Ci na siłę, możesz przypuszczać, że jego zamiary nie są do końca uczciwe.
Jak się bronić przed socjotechniką? 5 sprawdzonych sposobów
Podstawową zasadą ochrony przed atakami socjotechnicznymi jest zachowanie zdrowego rozsądku. Zwłaszcza w sytuacji, kiedy druga strona wywiera presję, naciskając na szybkie podjęcie decyzji. Co możesz zrobić w praktyce, aby skutecznie się bronić?
- Jeśli odbierzesz telefon z banku (serwisu komputerowego, wsparcia technicznego dostawcy internetu etc.), który wzbudzi Twoje podejrzenia, nie wykonuj żadnych działań, które mogłyby zagrozić Twojemu bezpieczeństwu. Nie oddawaj zdalnego dostępu do komputera, nie podawaj wrażliwych danych, nie wykonuj poleceń wskazanych przez drugą stronę. Aby sprawdzić wiarygodność rozmówcy, zapisz jego imię i nazwisko oraz nazwę firmy, jaką reprezentuje. To najlepszy sposób na zdemaskowanie oszusta.
- Nie podawaj nikomu danych logowania do bankowości internetowej oraz danych karty kredytowej. Nawet jeśli za pośrednictwem portalu społecznościowego poprosi Cię o to dobry znajomy. Aby zweryfikować czy rzeczywiście potrzebuje pomocy, skontaktuj się z nim osobiście lub przez telefon. Istnieje duże prawdopodobieństwo, że jego konto zostało zainfekowane lub dostało się w niepowołane ręce.
- Nie akceptuj ofert, o które nie prosiłeś i nie daj sobie „pomóc na siłę”. Nawet jeśli pomocnik za wszelką cenę próbuje udowodnić, że pomoc jest niezbędna, a jej brak narazi Cię na przykre konsekwencje.
- Jeśli dostaniesz podejrzany e-mail, nigdy nie klikaj w umieszczone w jego treści linki. Aby zweryfikować jego wiarygodność, skontaktuj się z instytucją, która figuruje jako nadawca.
- Aktualizuj na bieżąco system operacyjny, przeglądarkę internetową, aplikacje i program antywirusowy.
Zobacz również: