3 sposoby na to, aby nie zostać ofiarą socjotechniki

Home / Aktualności / 3 sposoby na to, aby nie zostać ofiarą socjotechniki

Ludzie, podobnie jak komputery, mogą zostać zhakowani i istnieje duża szansa, że ​​atak na Twoją organizację może rozpocząć się od próby manipulacji pracownika. Swego czasu w mediach nagłaśniany był sposób oszukiwania osób starszych, np. „na wnuczka” kiedy ktoś podszywał się pod wnuka starszej osoby i prosił telefonicznie o przekazanie pewnej kwoty „zaufanemu pośrednikowi”. Jest to chyba najbardziej rozpowszechniony w Polsce przykład socjotechniki, czy też inżynierii społecznej.

Inżynieria społeczna – social engineering – to szczególny rodzaj techniki hakerskiej, w której hakerzy manipulują ofiarami w celu uzyskania informacji o organizacji czy ofierze. Można ją zdefiniować w niezwykle prosty, jednocześnie zawierający w sobie istotę tej techniki, sposób: „Każde działanie, które wpływa na podjęcie przez daną osobę działania, które może, ale nie musi, leżeć w jej najlepszym interesie”. Warto zaznaczyć, że w Polsce bardziej rozpowszechnioną nazwą jest – socjotechnika. Ta definicja może wydawać się ogólna, ale dzieje się tak dlatego, że ataki socjotechniczne przybierają różne formy, zarówno w świecie wirtualnym , jak i fizycznym. Mając na uwadze powyższą definicję, staje się jasne, że prawie każdy incydent związany z bezpieczeństwem zaczyna się od jakiegoś rodzaju inżynierii społecznej.


Dzieje się tak właśnie dlatego, że ten zestaw technik bazuje na zasadach wpojonych głęboko w naszą podświadomość, a sformalizowanych swego czasu przez Roberta Cialdiniego:


  • Zasada wzajemności: ludzie czują się zobowiązani do spłacenia tego, co otrzymali od innych.


  • Zasada zaangażowania i spójności: ludzie zwykle trzymają się tego, co już wybrali.


  • Zasada dowodu społecznego: ludzie mają większe zaufanie do rzeczy, które są promowane przez ludzi, którym ufają.


  • Zasada lubienia: ludzie są bardziej skłonni do spełniania żądań osób, które lubią.


  • Zasada autorytetu: ludzie podążają za innymi, którzy wydają się wiedzieć, co robią.


  • Zasada rzadkości: Ludzi zawsze przyciągają rzeczy, które są postrzegane jako ekskluzywne.


Cialdini podkreślił siłę tej „broni wpływu” w kontekście sprzedaży i marketingu, ale są one równie przydatne w kontekście bezpieczeństwa, w którym cyberprzestępcy często używają ich do ominięcia cyberobrony.


Na przykład hakerzy często starają się wykorzystać zasadę wzajemności, stosując taktykę „odrzucenie i wycofanie”. Otwierając rozmowę, oszust prosi o coś ekstremalnego np. „Prosiłbym o wylogowanie się z komputera i pozostawienie go do jutra celem aktualizacji wszystkich systemów”.  Kiedy cel powie „nie” oszust „wycofa się” i zaoferuje mu drugą, bardziej „rozsądną” prośbę np. „To może poda mi Pan dane dostępu a ja wykonam tą operację poza godzinami Pana pracy”. Odrzucając wstępną propozycję, cel poczuje się zmuszony do odwzajemnienia się, poddając się drugiej, bardziej tolerowalnej prośbie oszusta. Hakerzy wykorzystują również zasadę autorytetu, wytwarzając wiadomości phishingowe tak, aby wyglądały tak, jakby zostały wysłane przez autorytatywne organy. I wszyscy powinniśmy uważać na „prośby znajomych” ze strony nieznanych, ale atrakcyjnych członków płci przeciwnej, ponieważ jest bardzo prawdopodobne, że jest to próba cyberprzestępcy w celu wykorzystania zasady lubienia w celu narażenia naszych danych osobowych.


Inne przykłady to:

  • Ataki phishingowe mające na celu skłonienie niczego niepodejrzewających użytkowników do kliknięcia łącza, pobrania pliku lub podania danych osobowych.


  • Podszywanie się pod telefon lub „vishing” – oszust nawiązuje połączenie w celu uzyskania informacji umożliwiających identyfikację osoby lub zresetowania hasła.


  • Ataki z przynętą obejmujące wykorzystanie czyjejś ciekawości, aby nakłonić ich do wykonania czynności pożądanej przez napastnika, na przykład podłączenie znalezionej pamięci USB, która następnie wprowadza złośliwe oprogramowanie do sieci.

  • Podszywanie w SMS-ach może być również wykorzystywane do przekonywania posiadaczy smartfonów do dzwonienia pod numery specjalnie skonfigurowane w celu zbierania danych, kradzieży informacji o koncie bankowym itp.



Każdy może paść ofiarą socjotechniki. Wszyscy mamy własne uprzedzenia poznawcze i przez większość czasu nie jesteśmy ich świadomi. Niektóre grupy są szczególnie wrażliwe na ich działanie, na przykład osoby starsze, którym brakuje wiedzy technologicznej, często cierpiące na brak interakcji międzyludzkich. Ale musimy pamiętać, że sam wiek i wiedza technologiczna, nie jest w stanie uchronić nas przed taką manipulacją psychologiczną, nawet w biznesie.


Masz się czego obawiać, jeśli:

  • Masz dostęp do zabezbezpieczonego systemu, przechowującego dane wrażliwe.

  • Jesteś osobą publiczną, Twoje imię i nazwisko jest znane, a informacje kontaktowe są łatwe do znalezienia.

  • Masz jakiekolwiek relatywnie cenne zasoby zabezpieczone hasłem w Internecie.


  • Pracujesz w infolinii, helpdesk lub w call center.


  • Jesteś osobą zamożną.


Podsumowując, każdy z nas może stać się celem ataku. Niezależnie od wielu, wykształcenia, stanowiska czy statusu społecznego. Jeżeli jesteś częścią naszego nowoczesnego, połączonego z Internetem świata, musisz uważać.


Ataki socjotechniczne mają tak wiele form, że nie ma ogólnie sprecyzowanych dobrych praktyk dotyczących ochrony przed nimi. Osoby i organizacje muszą stosować różnorodne metody i ciągle je ulepszać, aby móc stanowić wyzwanie dla osób posługujących się socjotechniką. Warto podkreślić – NIC nie daje stuprocentowej pewności. No może pozbycie się dóbr materialnych i zamieszkanie w izolacji od reszty społeczeństwa (ale co, jeśli komuś spodoba się Twoja jaskinia?).


3 polecane sposoby obrony

  1. Miej świadomość, jakie informacje udostępniasz

Wiele ataków socjotechnicznych polega na tym, aby wiedzieć coś o zamierzonym celu i gdzie lepiej niż w mediach społecznościowych zebrać te informacje.

Coś tak pozornie nieszkodliwego, jak opublikowanie zdjęcia z przyjęcia urodzinowego Twojego dziecka, daje inżynierowi społecznemu kilka prób dla zadawania pytań zabezpieczających, podania kodu PIN i zgadywania hasła. Wybierasz się na wakacje, rozmawiasz o ulubionych książkach i filmach, dyskutujesz o tym, gdzie spotkałeś partnera – wszystkie te rzeczy to informacje, które swobodnie udostępniasz napastnikom, przy ich publikacji w Internecie.


Aby się zabezpieczyć, upewnij się, że na swoim profilu nie udostępniasz do wglądu publicznego tego rodzaju informacji. Jeżeli takowe się na nim znajdują zablokuj je aby obcy nie widzieli tego, czego nie chcesz.


2. Dbaj o wiedzę i świadomość swoich użytkowników.

Działy IT powinny mieć pewność, że istnieją filtry poczty e-mail, aby blokować spam i próby phishingu, a wszyscy pracownicy powinni zostać przeszkoleni w zakresie rozpoznawania phishingu i innych form inżynierii społecznej. Upewnij się, że ludzie wiedzą, na jakie sygnały należy uważać.


Użytkownicy powinni być przeszkoleni w zadawaniu pytań każdemu, kogo nie rozpoznają, oraz w zadawaniu ich za każdym razem, jeżeli znajdują się w obszarze, do którego zwykle się nie udają. Zadawanie pytań lub bycie przesłuchiwanym może być niewygodne, ale lepiej jest żądać odpowiedzi i poznawać współpracowników niż być odpowiedzialnym za wpuszczenie hakera przez drzwi wejściowych.


3. Polityki i Procedury

Wprowadź zasady, które utrudnią włamanie zarówno cyfrowe jak i fizyczne, z użyciem socjotechniki. Upewnij się, że: hasła są długie i skomplikowane, użytkownicy regularnie zmieniają hasła, wymagasz uwierzytelniania dwuskładnikowego, blokujesz użytkownikom wykonywanie pewnych czynności poza biurem oraz, że zapewniasz ścisłą kontrolę narzędzi dostępu fizycznego, takich jak karty RFID i kody dostępu.


Może się to wydawać nie do pokonania w obliczu potencjalnych fałszywych telefonów, e-maili phishingowych, gładkich rozmówców i przebranych napastników, ale tak nie jest: wystarczy wiedzieć, jakie są poufne informacje, kontrolować sposób ich udostępniania i być świadomym, gdy czegoś nie ma.

Powyższe sposoby nie wyeliminują w stu procentach Twoich szans na bycie ofiarą socjotechniki – jak wspominaliśmy jest ich zbyt wiele i wciąż powstają nowe. Jednak stawiając każdą możliwą barierę wejścia, możesz znacznie zmniejszyć swoje ryzyko na zostanie ofiarą. Myśl o walce z socjotechniką mniej jak o zatykaniu każdej możliwej dziury, a bardziej jak o uczynienie ataku bardziej kłopotliwym niż wartym.


Socjotechnika działa w dwie strony – Twoi użytkownicy również mogą zaskoczyć atakującego swoim przygotowaniem i świadomością!
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.