Czym jest socjotechnika?

Socjotechnika to sposób wywierania wpływu na człowieka w celu uzyskania efektu, który może, ale nie musi leżeć w jego interesie. Jest narzędziem bazującym na emocjach, ciekawości, skłonności do ufania innym, a jego podstawowymi metodami są: perswazja, manipulacja i intensyfikacja lęku. W obecnych czasach socjotechnika jest orężem zbierającym krwawe żniwa w rękach hakerów.

Socjotechnika nieodłącznym towarzyszem codzienności

Choć nie zawsze zdajesz sobie z tego sprawę, socjotechnika towarzyszy Ci każdego dnia. Różnego manipulacje są stosowane podczas rozmów bezpośrednich, telefonicznych, w social mediach, w reklamach. Czy wiesz, że decyzję co do zakupu danego produktu podejmujemy w ciągu 90 sekund od momentu, kiedy go zobaczyliśmy? Może zaskoczymy Cię też danymi statystycznymi, które wskazują, że w nawet 90% o naszym wyborze decyduje logo, kolor i opakowanie. Projektanci odpowiedzialni za wygląd produktów, a także specjaliści od marketingu i brandingu doskonale o tym wiedzą, dlatego wykorzystują te informacje, aby zwiększyć sprzedaż.
Sprzedawcy zgrabnie doradzają i proponują idealnie dopasowane przedmioty, ubrania i akcesoria, po które ostatecznie sięgasz, nawet jeśli w Twoich planach zakupowych ich nie było. W centrach handlowych odtwarzana jest specjalnie dobrana muzyka, w powietrzu unosi się świeży, miły zapach, a produkty w super i hipermarketach są tak ułożone, żebyś po drodze do kasy kupił jak najwięcej rzeczy. Barmani, którzy do swoich słoiczków z napiwkami sami wkładają papierowe banknoty, by zachęcić klientów do bycia szczodrym lub kelnerzy, którzy do rachunku dołączają cukierka lub inny, drobny podarunek – oni także liczą na to, że dzięki temu ich usługa zostanie hojniej doceniona. Tak, to są również przykłady manipulacji.

Dobro kontra zło

Socjotechnika sama w sobie nie jest dobra ani zła. To narzędzie o wielu różnych zastosowaniach. Zdarza się, że odpowiednio wykorzystane zabiegi manipulacji mogą pozytywnie wpłynąć na pojedyncze osoby lub całe społeczeństwo. Przykładem może być pomysł pewnej firmy, która przed ustawieniem w parku koszy na śmieci, zamontowała w nich czujniki ruchu i urządzenia odtwarzające dźwięk. Po wrzuceniu czegoś do środka, z kosza wydobywała się znany z kreskówek dźwięk spadania w otchłań. Zastosowanie socjotechniki okazało się strzałem w dziesiątkę – park szybko stał się miejscem czystym i idealnym do wypoczynku, a władze miasta nie musiały ponosić dodatkowych kosztów na opłacenie firmy sprzątającej. Inny przykład to znalezienie sposobu, żeby nakłonić ludzi do korzystania z tradycyjnych schodów zamiast ruchomych. Ktoś wpadł na pomysł, by zrobić z tych pierwszych… klawisze fortepianowe. Nie dość, że schody rzeczywiście wyglądały jak fortepianowa klawiatura, to jeszcze każdy ze stopni, po wejściu na niego wydawał inny dźwięk. Ludzie szybko zapomnieli o wygodzie i postawili na te grające. 

Jest też druga strona medalu – są osoby oraz zorganizowane grupy, które posługują się socjotechniką, żeby Cię wykorzystać. Na przykład hakerzy używają manipulacji socjotechnicznych, by odnieść korzyści przez wpłynięcie na Twoje decyzje, kliknięcia, otwarcia załączników, logowania na fake’owych stronach internetowych, często podszywających się pod znane marki, instalacji oprogramowania do zarządzania Twoim urządzeniem. Celem jest kradzież Twoich pieniędzy lub interesujących ich danych, okup, dostęp do Twoich danych lub uprawnień, szpiegostwo, wykorzystanie Twoich urządzeń lub tożsamości do przestępczej działalności, a czasami wręcz paraliż działalności firm lub instytucji. Najczęstszym narzędziem w rękach przestępców działających w cyberprzestrzeni jest phishing i wszystkie jego odmiany np. spear phishing, BEC, CEO Fraud, sms, wiadomość z social mediów. Bezwzględnie wykorzystują nasze emocje i nieustannie ulepszają sposoby ataków wykorzystując wszystkie techniki wpływu i każdą naszą słabość.

Najsłabsze ogniwo w cyberbezpieczeństwie firm

Czy wiesz, że najsłabszym ogniwem w łańcuchu bezpieczeństwa cybernetycznego w firmach są ludzie? Dlatego aż 9 z 10 cyberataków wymierzonych jest właśnie w człowieka.  Przeprowadzenie ataku omijającego zabezpieczenia technologiczne w celu uzyskania dostępu do Twojej sieci i kradzież interesujących informacji, może zająć hakerowi dużo czasu. Kradzież tych samych danych, dzięki socjotechnice wymierzonej w pracownika trwa kilka minut.  
Cyberprzestępca będzie posługiwał się różnymi sztuczkami manipulacyjnymi, by skłonić Cię do wykonania określonej akcji – przekazania danych logowania, wykonania przelewu na podstawione konto, uruchomienia pliku, czy chociażby kliknięcia w link, który może skutkować wykorzystaniem podatności Twoich aplikacji, o których jeszcze nie wiedzą nawet ich producenci (zero day). By osiągnąć swój cel, cyberprzestępca będzie eksploatował Twoje emocje – obowiązkowość, strach, ciekawość albo współczucie lub chęć niesienia pomocy. Postara się nie dopuścić do rzeczowej analizy czy to technicznych aspektów wiadomości (np. domena nadawcy, rzeczywisty adres linku) czy szerszego kontekstu przekazu (np. dlaczego sklep internetowy, z którego korzystam pisze na mój adres firmowy). A na dodatek postara się to zrobić w białych rękawiczkach tj. żeby nawet po fakcie ofiara się nie zorientowała, że uległa manipulacji czy też zrobiła coś niewłaściwego. 

Jak zwiększyć odporność firmy na ataki hakerów?

Ataki socjotechniczne się nieustannie rozwijają i wykorzystują niskie w praktyce kompetencje security awareness pracowników. Żeby zwiększyć bezpieczeństwo trzeba ich wzmocnić. Najlepiej podjąć działania jak najszybciej i wybrać te najbardziej efektywne. Naszą misją jest promocja kultury bezpieczeństwa i zwiększanie świadomość pracowników w zakresie security awareness. Praktyczny Trening Antyphishingowy, który jest naszym autorskim narzędziem, uczy bezpiecznych zachowań już od pierwszej bezpiecznej symulacji ataku hakerskiego. Przeprowadzając go, korzystamy z tych samych metod, co hakerzy, dając Twoim pracownikom możliwość skonfrontowania się z nimi i wypracowania właściwych reakcji. W symulacjach wykorzystujemy różnorodne socjotechniki i scenariusze ataków dzięki czemu wyostrzamy ich czujność, podnosimy świadomość jednocześnie zwiększamy ich bezpieczeństwo w życiu prywatnym oraz bezpieczeństwo Twojej firmy.