Cyberprzestępcy są bardzo profesjonalni i stosują liczne triki. Wykorzystują przede wszystkim wiadomości phishingowe, naszpikowane psychologicznymi sztuczkami, które dobrze działają na nas – użytkowników. Niniejszy artykuł poświęcony jest właśnie takim triggerom.
Oszustwa i kradzieże są tak stare, jak sama ludzkość. W przeszłości oszuści działali na ulicach i podczas gry w trzy kubki wyciągali swoim ofiarom z kieszeni monety czy banknoty lub też „zbierali” pieniądze na rzecz nieistniejących w rzeczywistości sierot. Dziś sprawcy są bardzo aktywni również w Internecie i za pomocą spamu oraz wiadomości phishingowych próbują zwabić nas, użytkowników, w pułapkę. Codziennie mamy do czynienia z mnóstwem wiadomości elektronicznych lądujących w naszych skrzynkach pocztowych. Prognozy Radicati Group przewidują, że tylko w tym roku na całym świecie zostanie wysłanych łącznie 333,2 miliarda maili. Według szacunków spam stanowi ok. 50-60% tych wiadomości.
Poprzez psychologię do sukcesu
Oszuści wysyłają maile z apelem o pomoc dla uchodźców, uciekających przed wojną domową lub próbują nakłonić pracowników firm do dokonania szybkiego przelewu określonej kwoty na rzecz nowego partnera biznesowego. Sprawcy często przesyłają również maile z załącznikami zawierającymi pliki zainfekowane złośliwym oprogramowaniem lub linki do złośliwych stron internetowych wraz z wezwaniem do otwarcia pliku lub kliknięcia w podany link. Te i inne metody działania są bardzo skuteczne. Dlaczego to aż tak dobrze działa? Dlaczego oszuści są dzięki temu tak skuteczni?
Odpowiedź brzmi: aby osiągnąć swój cel, sprawcy wykorzystują specjalne triggery. W psychologii triggery są wyzwalaczami jakiejś reakcji emocjonalnej, jakiegoś uczucia, afektu czy działania. Określony zapach może nas przykładowo przenieść na chwilę do czasów naszego dzieciństwa, ponieważ przypomina nam niezrównaną sztukę kulinarną babci.
Triggery wyzwalają w nas różne wzorce myślenia i postępowania, które jako ludzie przyswoiliśmy z biegiem czasu. Automatycznie otwieramy otrzymaną wiadomość mailową, aby ją przeczytać. Właśnie ten mechanizm wykorzystują sprawcy. W swoich atakach celują w nasze uczucia i myśli. Za pomocą emocjonalnych tekstów apelują przykładowo do naszej gotowości niesienia pomocy ludziom, którzy rzekomo znajdują się w potrzebie i potrzebują pilnego wsparcia. Aby pomóc, należy tylko otworzyć załącznik lub zrobić coś innego.
Oszuści internetowi stawiają na takie triggery, jak chciwość, ciekawość, strach, presja, poczucie obowiązku, gotowość niesienia pomocy i przyzwyczajenia. Często triggery te są łączone, aby wzmocnić efekt.
Christian Laber
Head of E-Learning Development w G DATA CyberDefense
Chciwość
Angielski historyk Thomas Fuller (1608-1661) sformułował to w następujący sposób – „Pieniądze: najlepsza przynęta do łowienia ludzi.“ Wiele maili oszustów internetowych to wykorzystuje. My, ludzie, chcemy mieć pieniądze, a wielu chciałoby się też wzbogacić. Jakież to praktyczne, kiedy w skrzynce pocztowej ląduje mail z wiadomością o wysokim spadku idącym w miliony. Brak jest spadkobierców i dlatego poszukuje się kogoś do jego odziedziczenia. Nadawca często podaje się za prawnika, urzędnika państwowego lub urzędnika bankowego. Na pierwszy rzut oka wygląda to wiarygodnie i poważnie, ale dlaczego ktoś miałby wysyłać maile do nieznanych osób, aby podzielić spadek?
Jeśli w takim przypadku ulegniemy naszej chciwości, to niestety, nie zostanie nam wypłacona żadna milionowa kwota, lecz zostaniemy uwikłani w nielegalne transakcje związane z praniem brudnych pieniędzy, ponieważ podaliśmy dane naszego konta bankowego. Od tej pory będzie ono wykorzystywane do transferu pieniędzy zdobytych w drodze przestępstwa. Inna opcja: wypłata spadku podlega rzekomym opłatom. Po ich uiszczeniu kwota znika, a żaden spadek nie jest w zamian wypłacany.
Presja
Aby wzmocnić oddziaływanie, chciwość jest często wykorzystywana w połączeniu z presją. Sztuczny niedobór czasu jest wypróbowanym środkiem do skłonienia do podjęcia decyzji na korzyść wywierającego presję. Powróćmy do przykładu rzekomego spadku: oszuści mogą w tej sytuacji dodatkowo wywierać nacisk twierdząc, że w celu nabycia spadku odpowiedzi należy udzielić w jak najkrótszym czasie. Taka sama presja jest zresztą wywierana również podczas zakupów online lub podczas telezakupów, kiedy oferty są ważne tylko przez kilka godzin lub dostępna jest bardzo ograniczona liczba produktów.
W niektórych mailach przestępcy starają się wywołać wśród ludzi panikę. W mających miejsce w przeszłości kampaniach mailowych oszuści podawali się za śledczych Europolu, Federalnego Urzędu Śledczego (BKA) czy Krajowego Urzędu Śledczego (LKA). Istniało rzekomo pilne wezwanie w związku z czynem karalnym w Internecie lub pornografią dziecięcą. Jeśli adresat nie zareaguje, zostaną poinformowani członkowie rodziny – tak brzmiała groźba.
Strach
Oszuści internetowi chętnie bawią się ludzkimi lękami. W połączeniu ze strachem wywierają presję czasu, presję społeczną lub emocjonalną. Jeśli atakujący grożą w swoich mailach na przykład opublikowaniem osobistych informacji, jeżeli określona kwota pieniędzy nie zostanie natychmiast wpłacona, ofiary obawiają się, że tak się właśnie stanie. Obawa może się pojawić również wtedy, kiedy nie chcielibyśmy przegapić jakiejś okazji – na przykład ograniczonej czasowo lub super taniej oferty artykułu, który od dawna chcieliśmy kupić.
Strach ma swój udział również w reakcjach na maile, w których jest mowa o zhakowanym koncie bankowym lub koncie użytkownika internetowego domu sprzedaży wysyłkowej czy dostawcy usług płatniczych. Niezwłocznie należy zmienić hasło. Ponieważ nikt nie chce ponosić strat finansowych, ofiary klikają w podany link, aby rozwiązać problem. W ten sposób nieumyślnie podają swoje dane dostępowe i być może również inne osobiste informacje.
Ciekawość
Ludzie są ciekawi. Co jest dziś do jedzenia lub jakie są nowe okazje w internetowych domach sprzedaży wysyłkowej? Dajemy się chętnie i szybko skusić, aby tylko zaspokoić naszą ciekawość. Okoliczność ta czyni ten trigger szczególnie niebezpiecznym. Wielu użytkowników nie wie, że tylko oglądając mogą już znajdować się w sidłach oszustów. Atakujący wykorzystują w swoich mailach porywające tematy wiadomości, jak na przykład: „Czegoś tak szokującego jeszcze nie widziałeś” czy „Ta dieta sprawi, że kilogramy znikną”. Takie nagłówki wzbudzają ciekawość. Można to porównać z tzw. clickbaitem. W tym przypadku towary są tytułowane i opisywane w sposób wyjątkowo krzykliwy tak, aby wzbudzały naszą ciekawość. Maile zawierają załączniki z plikami lub linki do stron internetowych.
Oczywiście, jeśli już otworzyliśmy wiadomość mailową, to chcemy zobaczyć oferty czy zachwalane zdjęcia. Niestety, kliknięcie w załączony plik lub w link skutkuje natychmiastowym, niezauważalnym zainfekowaniem naszego urządzenia złośliwym oprogramowaniem. Oczywiście nie ma też żadnych zdjęć, które można by rzeczywiście obejrzeć, obietnica posłużyła za przynętę.
Poczucie obowiązku
W piątek o godz. 16:00 pan Kowalski siedzi jeszcze w biurze, aby przed weekendem załatwić ostatnie sprawy, jego koledzy już poszli do domu. Wtedy przychodzi mail z prośbą dyrektora zarządzającego o pilne przelanie jeszcze 25.000 PLN na rzecz partnera biznesowego, aby doszło do zawarcia umowy. Pan Kowalski szybko dokonuje przelewu, ponieważ jest bardzo odpowiedzialny i chciałby wszystko załatwić. W rzeczywistości ta wiadomość mailowa nie pochodziła od dyrektora, tylko od oszusta. W tym przypadku chodzi o tzw. CEO Fraud – oszustwo „na prezesa“, przy którym pracownicy firmy skłaniani są przy wykorzystaniu fałszywej tożsamości do przelania pieniędzy.
Przestępcy wykorzystują poczucie obowiązku pracowników firm i celowo wysyłają maile o różnych porach, na przykład tuż przed końcem pracy. Zwiększa to prawdopodobieństwo sukcesu oszustów. W takiej sytuacji w grę wchodzi jeszcze jeden czynnik: wiadomość przyszła rzekomo od dyrektora zarządzającego, czyli od osoby, która w hierarchii stoi wyraźnie wyżej od księgowego. Apele rzekomych współpracowników o pomoc odwołują się do poczucia obowiązku, a także do gotowości niesienia pomocy.
Gotowość niesienia pomocy
My, ludzie, jesteśmy istotami społecznymi, a to oznacza również pomaganie innym. Po mającej miejsce w ubiegłe lato powodzi w Niemczech wiele osób przekazało datki na odbudowę. Tak samo duża jest gotowość niesienia pomocy uciekającym przed wojną uchodźcom z Ukrainy. Właśnie ten fakt wykorzystują przestępcy, wyciskając u adresatów łzy z oczu i zamieszczając fikcyjne apele o datki.
Ten trigger wykorzystują przestępcy jeszcze w inny sposób: atakujący zapewniają sobie na przykład dostęp do konta klienta dużego internetowego domu sprzedaży wysyłkowej i odwołują się do pomocy działu obsługi klienta. Pracownicy są bardzo pomocni i odpowiadają na czacie na celowe i ukierunkowane pytania przestępców oraz podają inne dane osobowe, jak przykładowo numer karty kredytowej. W pierwszym etapie atakujący zweryfikowali konto za pomocą nazwiska lub adresu mailowego. Po przejęciu konta użytkownika mogą na koszt swojej ofiary składać zamówienia i wykorzystywać dane do innych przestępczych celów. W takim przypadku oszuści świadomie wykorzystali gotowość działu obsługi klienta do pomocy.
Przyzwyczajenia
Przyzwyczajenia są dla nas częścią życia, na przykład korzystanie w biurze zawsze z tej samej filiżanki do kawy czy zakupy w określonych sklepach. Jesteśmy też przyzwyczajeni do otrzymywania mali z załącznikami i linkami – przeważnie nie ma w tym nic złego. Przestępcy bardzo często kopiują jednak układ graficzny legalnych maili znanych nadawców, jak internetowe domy sprzedaży wysyłkowej czy banki. Ludzie są przyzwyczajeni do otrzymywania wiadomości mailowych w tych formatach i otwierają maile od przestępców. Klikają również w załączone pliki, w których w rzeczywistości znajduje się złośliwe oprogramowanie, otwierają linki do stron prowadzących do złośliwego oprogramowania lub do strony, na której następuje zapytanie o osobiste informacje.
Internetowi przestępcy bardzo zyskują, jeśli my, ludzie, podejmujemy spontaniczne decyzje z marszu, bez zastanowienia. Przeoczamy wówczas szybko oznaki wiadomości phishingowej i otwieramy przykładowo, jak mamy to w zwyczaju, załączony do wiadomości plik.
Christian Laber
Head of E-Learning Development bei G DATA CyberDefense
Izraelsko-amerykański psycholog, Daniel Kahneman, rozróżnia dwa systemy ludzkiego zachowania: Pierwszy opiera się na szybkich decyzjach „z marszu“ bez dłuższego zastanowienia. W przypadku drugiego systemu ludzie najpierw dokładnie się zastanawiają, zadają pytania i analizują. Na tej podstawie podejmowana jest decyzja na tak lub nie, względnie decyzja o sposobie postępowania. Internetowi oszuści i przestępcy skupiają się ogólnie w przypadku swoich ofiar na pierwszym systemie. Jeśli dłużej zastanawialibyśmy się nad otrzymanym mailem, moglibyśmy zauważyć, że jest niebezpieczny i podejrzany.
Kto zna triki, ten wie, jak się chronić
Internetowi przestępcy są bardzo zręczni w swoich działaniach, posługując się triggerami zapewniającymi im sukces. Mimo wszystko my, użytkownicy, możemy się przed nimi chronić. Oczywiście nie możemy polegać jedynie na rozwiązaniach w zakresie bezpieczeństwa, a w firmach tylko na infrastrukturze zabezpieczeń. To tylko podstawa – sami musimy przyczynić się do bezpieczeństwa cybernetycznego, zachować czujność, uważnie się przyglądać i nie podejmować żadnych pochopnych decyzji. Wiele prób oszustwa można zdemaskować dokładnie się im przyglądając. Zdrowe podejście z pewną dozą nieufności z pewnością będzie w tym pomocne.
Aby budować i pogłębiać wiedzę w zakresie bezpieczeństwa informatycznego oraz internetowych zagrożeń warto, aby firmy korzystały ze specjalnych szkoleń, jak na przykład G DATA Security Awareness Trainings. Pracownicy stają się w ten sposób częścią obrony cybernetycznej i zyskują na tej wiedzy również w życiu prywatnym.