Podatność społeczeńśtwa na manipulacje

Podatność na manipulacje jest wpisana w DNA istoty ludzkiej.

Publikacja: 10.06.2018 11:00

Podatność społeczeńśtwa na manipulacje

Foto: AdobeStock

Łamałem ludzi, nie hasła" – to znane powiedzenie Kevina Mitnicka, popularnego na całym świecie (byłego) hakera. Dzisiaj wiadomo, że najsłabszym ogniwem każdego systemu jest człowiek.

Najsłabszy element

Dajemy sobą manipulować, bo jesteśmy za mało asertywni lub zbyt ufni, nie mamy czasu albo boimy się własnych wyborów i łatwo ulegamy innym. Jednym słowem podatność na manipulacje jest wpisana w DNA istoty ludzkiej. Socjotechnika jest wszechobecna do tego stopnia, że niektóre jej formy, jak chociażby reklamy telewizyjne, społeczeństwo akceptuje. Przenosząc przedmiotowe rozważania na grunt cyberbezpieczeństwa, to nawet najbardziej profesjonalny, kosztujący miliony dolarów system tyle jest wart, ile najsłabsze jego ogniwo, a więc zazwyczaj użytkownik systemu. Podczas gdy maszyna działa według ścisłego algorytmu i jest „nieczuła" na wpływy z zewnątrz, ludzie kierują się zaufaniem do innych i emocjami. Dlatego codziennie setki tysięcy osób w cyberprzestrzeni zostaje zmanipulowanych przez przestępców. „Nic nie da się poradzić na głupotę, a raczej na łatwowierność ludzi", powiedział cytowany już Mitnick.

Reguły wywierania wpływu

W bestsellerowej książce pt. „Wywieranie wpływu na ludzi" psycholog Roberto B. Cialdini opisał sześć reguł wpływania na innych: wzajemności, konsekwencji, społecznego dowodu słuszności, znajomości i sympatii, autorytetu i niedostępności. W zależności od sytuacji, któraś z nich nadaje się do zastosowania. Reguły stanowią dzisiaj klasyczne kwalifikatory dla systematyzowania i opisu cyberprzestępstw popełnionych z wykorzystaniem inżynierii społecznej. Internetowi oszuści matrymonialni najczęściej stosują technikę znajomości i sympatii: ich zorganizowane grupy kreują w sieci fałszywe profile atrakcyjnych, sympatycznych mężczyzn, aby wykorzystać finansowo zauroczone internautki, niemające pojęcia, kto faktycznie siedzi po drugiej stronie ekranu. Historia taka przydarzyła się mieszkance Krakowa: kobieta poznała w sieci 56-letniego Wiliama ze Stanów Zjednoczonych, emerytowanego żołnierza piechoty morskiej, wdowca wychowującego dwójkę dzieci. Mężczyzna, po kilku tygodniach znajomości, opisywał kobietę w mejlach jako: „the most beautiful woman in the world" i planował wspólnie z nią spędzić resztę życia. Nagle jednak „żołnierza" powołano na misję do Afganistanu, potem znalazł tam walizkę pełną pieniędzy i chciał przyjechać z dolarami do Krakowa. Od tego momentu prosił pokrzywdzoną o ciągłe wpłaty na cła, prowizje i inne koszty związane z podróżą. W taki sposób zmanipulowana kobieta straciła cały, wart kilkaset tysięcy złotych, majątek, do końca przelewając pieniądze i wierząc, że lada moment będzie razem z ukochanym.

Uwaga na dziwne mejle

Podany wcześniej przykład oszustwa wiąże się często z metodą tzw. nigeryjskiego szwindlu: przestępcy wysyłają tysiące mejli opisujących ich (rzekomo) ciężką sytuację i proszą o finansowe wsparcie. Wpłata może im pomóc w odziedziczeniu spadku, wydostaniu się z więzienia czy ucieczce z ogarniętego represjami kraju. „Przynętę" stanowi często obietnica „nagrody" dla darczyńcy, np. podzielenie się odziedziczonym majątkiem lub zyskami z trafionej inwestycji. Jeden „scam" zachęcał do wpłat na galaktyczną ekspedycję i sprowadzenie na ziemię nigeryjskiego kosmonauty, który kilkanaście lat temu utknął samotnie na rosyjskiej stacji „Sojuz". Wiadomość zatytułowano: „Nigerian Astronaut Wants to Come Home", a akcję koordynowała fikcyjna Krajowa Agencja Badań Kosmosu i Rozwoju z Nigerii. Naiwny „przekręt", prawda? Ale ludzie wpłacali pieniądze...

Niekiedy przestępcy nie uganiają się za ofiarami, ale zastawiają sidła w cyberprzestrzeni i czekają na zdobycz. Wykorzystywana jest metoda „wodopoju": wejdź na naszą witrynę, a otrzymasz coś interesującego. Jednak pokrzywdzeni, zamiast oczekiwanego materiału (darmowej aplikacji, nowego teledysku, świątecznego zdjęcia) ściągają malware na swój telefon lub komputer. W taki sposób serwis internetowy Komisji Nadzoru Finansowego stał się narzędziem w ręku hakerów. Strona KNF stanowiła ważne źródło informacji dla pracowników banków, jednak 2 lutego 2017 r. okazało się, że już od października 2016 r. była „zatruta" przez umieszczenie w niej dodatkowego kodu samowykonalnego. Kod aktywował się na każdym urządzeniu zalogowanym na witrynę i niepostrzeżenie pobierał z niej złośliwe oprogramowanie. Atak pozostaje nierozwiązaną zagadką i do końca nie wiadomo, kto go przeprowadził i co zostało „wykradzione" z zainfekowanych komputerów.

Nowa technika i stara manipulacja

Cyberprzestępcy wykorzystują zaawansowane narzędzia informatyczne połączone ze sprawdzonymi metodami socjotechnicznymi. W taki sposób działał najsłynniejszy polski haker, zatrzymany przez śląską policję 16 marca 2018 r. Armagedon, bo takim pseudonimem posługiwał się w internecie, zasłynął z organizowania kampanii, tzw. meilingowych. Jego modus operandi polegał na rozsyłaniu przy użyciu botnetu spamu z wiadomością tekstową i załącznikiem. Przemyślana treść komunikatu miała zaciekawić lub przestraszyć odbiorcę mejla i skłonić do otwarcia dokumentu. Potencjalnej ofierze trudno było przejść obojętnie wobec słów typu: „W załączeniu przesyłam fakturę za usługi świadczone Państwa firmie w postaci wynajmu pojazdu", skoro nigdy nie prowadziła działalności gospodarczej i nie wynajmowała samochodu. Otwarcie załącznika skutkowało natomiast zainfekowaniem komputera pokrzywdzonego złośliwym oprogramowaniem, jego infiltracją i dodaniem do grupy urządzeń zdalnie sterowanych przez cyberprzestępcę.

Informacja jak towar

Wyrafinowane techniki informatyczne wykorzystywane są w phishingu. Mistyfikacja polega na podmianie strony bankowości mobilnej na fałszywą, łudząco przypominającą oryginał, ale kontrolowaną przez intruza. W konsekwencji osoba realizująca elektroniczny przelew nie zdaje sobie sprawy, że dane wpisywane na spreparowanej witrynie trafiają do przestępców. Dzięki temu oszuści mogą od razu zalogować się na konto pokrzywdzonego i przeprowadzić fałszywe transakcje lub poczekać, aż rachunek zostanie zasilony większą gotówką i wtedy wykonać „fraud". Trudno ustrzec się przed phishingiem, gdyż cyberprzestępcy, wykorzystując np. fałszywe strony z poświadczonym certyfikatem bezpieczeństwa, potrafią zmanipulować nawet ostrożne osoby.

Większość cyberataków wykorzystujących socjotechnikę skierowana jest na przejęcie wrażliwych danych: numerów kart płatniczych, danych osobowych, kodów autoryzacyjnych, numerów telefonów itp. Przestępcy potrzebują takich informacji do zakładania kont bankowych na tzw. słupa, zaciągania pożyczek, fałszowania dokumentów czy uwierzytelniania bezprawnych działań na platformach społecznościowych. Dlatego nie dajmy się zwieść, jeśli miły głos w słuchawce telefonu poinformuje nas, że bank wykrył atak hakerski i należy podać hasło oraz login do konta, aby udaremnić kradzież pieniędzy. Pracownicy instytucji finansowych nigdy nie wymagają podobnej autoryzacji, za to czynią tak przestępcy.

Oszustwo „na prezesa"

Niekiedy modus operandi polega na stopniowym wyciąganiu od ofiary coraz większej liczby informacji, aby finalnie zawładnąć jej umysłem i móc nią manipulować. Przykład stanowi uwodzenie dzieci online: sprawcy używają fałszywych tożsamości i podszywają się pod rówieśników nieletnich, dyskutują na neutralne tematy, chcą się przypodobać dziecku, aby wzbudzić jego przyjaźń i zaufanie. Z upływem czasu zaczynają coraz bardziej wykorzystywać pokrzywdzonego dla własnych celów: najpierw zachęcają do przesłania materiałów o charakterze erotycznym, potem stają się nachalni i wymuszają treści pornograficzne, spotkanie w „realu" lub pieniądze. Znane są przypadki, kiedy uzależnienie dziecka od pedofila trwało latami.

Celami cyberprzestępców są także pieniądze wielkich korporacji, a droga wiedzie do nich przez umysł ludzki. W ostatnich latach głośne były historie zmanipulowanych księgowych, którzy pod wpływem otrzymanego mejla lub telefonu przelewali dziesiątki milionów dolarów na podstawione konta. W atakach „targetowanych", bo o nich mowa, oszust miał profesjonalnie i szczegółowo rozpoznaną sytuację w firmie: kto za co odpowiada, jak się nazywa, gdzie aktualnie przebywa. Wiedzę mógł zdobyć, włamując się wcześniej do zasobów informatycznych korporacji lub na skrzynkę poczty zarządu spółki. Gdy przyszedł odpowiedni moment, dzwonił do głównego księgowego i powołując się na dyspozycję otrzymaną od prezesa firmy, polecał przelać pieniądze na wskazany rachunek bankowy. Przestępca wydawał się bardzo wiarygodny: wiedział, z kim rozmawia oraz znał szczegóły pobytu szefa na trwającej właśnie konferencji lub spotkaniu biznesowym. Powód przelewu środków także mógł brzmieć bardzo wiarygodnie i dotyczyć np. zawarcia kontraktu, którego wszyscy od dłuższego czasu spodziewali się. Niektóre historie miały tragiczny finał, gdyż oszukani księgowi popełnili samobójstwo, nie mogąc pogodzić się z chwilą naiwnej słabości.

Należy podchodzić z dużą rezerwą do nieznanych osób, które kontaktują się z nami w miejscu pracy i chcą o coś podpytać. Mogą odgrywać rolę nowego pracownika, zagubionego w gąszczu procedur lub ofiarować pomoc w przywróceniu funkcjonalności sprzętu, usunięciu szkodliwego oprogramowania, a nawet podawać się za przełożonego. Łatwo wpaść w sidła sprawnego oszusta o „niewinnej twarzy dziecka".

Nie dajmy się skusić

Manipulowanie ludźmi jest stare jak świat: po raz pierwszy w raju Szatan oszukał Ewę słowami: „Czy rzeczywiście Bóg powiedział: Nie ze wszystkich drzew ogrodu wolno wam jeść?" – prowokując wolną wolę niewiasty. Ewa wyciągnęła rękę po zakazany owoc i sprzeciwiła się Stwórcy. Od tego czasu inżynieria społeczna stała się ulubionym narzędziem w rękach osób, które chcą w sposób niezauważony wpływać na innych ludzi, aby realizowali cele manipulatora. Nie ma definitywnej ucieczki przed manipulacją, gdyż musielibyśmy całkowicie wyzbyć się zaufania do innych, na którym bazuje przecież życie społeczne i relacje międzyludzkie. W cyberprzestrzeni stosować trzeba natomiast regułę ograniczonego zaufania i nie pozwolić się zwieść przestępcom. Owidiusz rzekł: „Cokolwiek czynisz, czyń rozważnie".

Autor jest prokuratorem Prokuratury Rejonowej delegowanym do Prokuratury Krajowej

Łamałem ludzi, nie hasła" – to znane powiedzenie Kevina Mitnicka, popularnego na całym świecie (byłego) hakera. Dzisiaj wiadomo, że najsłabszym ogniwem każdego systemu jest człowiek.

Najsłabszy element

Pozostało 98% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe