Łamałem ludzi, nie hasła" – to znane powiedzenie Kevina Mitnicka, popularnego na całym świecie (byłego) hakera. Dzisiaj wiadomo, że najsłabszym ogniwem każdego systemu jest człowiek.
Najsłabszy element
Dajemy sobą manipulować, bo jesteśmy za mało asertywni lub zbyt ufni, nie mamy czasu albo boimy się własnych wyborów i łatwo ulegamy innym. Jednym słowem podatność na manipulacje jest wpisana w DNA istoty ludzkiej. Socjotechnika jest wszechobecna do tego stopnia, że niektóre jej formy, jak chociażby reklamy telewizyjne, społeczeństwo akceptuje. Przenosząc przedmiotowe rozważania na grunt cyberbezpieczeństwa, to nawet najbardziej profesjonalny, kosztujący miliony dolarów system tyle jest wart, ile najsłabsze jego ogniwo, a więc zazwyczaj użytkownik systemu. Podczas gdy maszyna działa według ścisłego algorytmu i jest „nieczuła" na wpływy z zewnątrz, ludzie kierują się zaufaniem do innych i emocjami. Dlatego codziennie setki tysięcy osób w cyberprzestrzeni zostaje zmanipulowanych przez przestępców. „Nic nie da się poradzić na głupotę, a raczej na łatwowierność ludzi", powiedział cytowany już Mitnick.
Reguły wywierania wpływu
W bestsellerowej książce pt. „Wywieranie wpływu na ludzi" psycholog Roberto B. Cialdini opisał sześć reguł wpływania na innych: wzajemności, konsekwencji, społecznego dowodu słuszności, znajomości i sympatii, autorytetu i niedostępności. W zależności od sytuacji, któraś z nich nadaje się do zastosowania. Reguły stanowią dzisiaj klasyczne kwalifikatory dla systematyzowania i opisu cyberprzestępstw popełnionych z wykorzystaniem inżynierii społecznej. Internetowi oszuści matrymonialni najczęściej stosują technikę znajomości i sympatii: ich zorganizowane grupy kreują w sieci fałszywe profile atrakcyjnych, sympatycznych mężczyzn, aby wykorzystać finansowo zauroczone internautki, niemające pojęcia, kto faktycznie siedzi po drugiej stronie ekranu. Historia taka przydarzyła się mieszkance Krakowa: kobieta poznała w sieci 56-letniego Wiliama ze Stanów Zjednoczonych, emerytowanego żołnierza piechoty morskiej, wdowca wychowującego dwójkę dzieci. Mężczyzna, po kilku tygodniach znajomości, opisywał kobietę w mejlach jako: „the most beautiful woman in the world" i planował wspólnie z nią spędzić resztę życia. Nagle jednak „żołnierza" powołano na misję do Afganistanu, potem znalazł tam walizkę pełną pieniędzy i chciał przyjechać z dolarami do Krakowa. Od tego momentu prosił pokrzywdzoną o ciągłe wpłaty na cła, prowizje i inne koszty związane z podróżą. W taki sposób zmanipulowana kobieta straciła cały, wart kilkaset tysięcy złotych, majątek, do końca przelewając pieniądze i wierząc, że lada moment będzie razem z ukochanym.
Uwaga na dziwne mejle
Podany wcześniej przykład oszustwa wiąże się często z metodą tzw. nigeryjskiego szwindlu: przestępcy wysyłają tysiące mejli opisujących ich (rzekomo) ciężką sytuację i proszą o finansowe wsparcie. Wpłata może im pomóc w odziedziczeniu spadku, wydostaniu się z więzienia czy ucieczce z ogarniętego represjami kraju. „Przynętę" stanowi często obietnica „nagrody" dla darczyńcy, np. podzielenie się odziedziczonym majątkiem lub zyskami z trafionej inwestycji. Jeden „scam" zachęcał do wpłat na galaktyczną ekspedycję i sprowadzenie na ziemię nigeryjskiego kosmonauty, który kilkanaście lat temu utknął samotnie na rosyjskiej stacji „Sojuz". Wiadomość zatytułowano: „Nigerian Astronaut Wants to Come Home", a akcję koordynowała fikcyjna Krajowa Agencja Badań Kosmosu i Rozwoju z Nigerii. Naiwny „przekręt", prawda? Ale ludzie wpłacali pieniądze...
Niekiedy przestępcy nie uganiają się za ofiarami, ale zastawiają sidła w cyberprzestrzeni i czekają na zdobycz. Wykorzystywana jest metoda „wodopoju": wejdź na naszą witrynę, a otrzymasz coś interesującego. Jednak pokrzywdzeni, zamiast oczekiwanego materiału (darmowej aplikacji, nowego teledysku, świątecznego zdjęcia) ściągają malware na swój telefon lub komputer. W taki sposób serwis internetowy Komisji Nadzoru Finansowego stał się narzędziem w ręku hakerów. Strona KNF stanowiła ważne źródło informacji dla pracowników banków, jednak 2 lutego 2017 r. okazało się, że już od października 2016 r. była „zatruta" przez umieszczenie w niej dodatkowego kodu samowykonalnego. Kod aktywował się na każdym urządzeniu zalogowanym na witrynę i niepostrzeżenie pobierał z niej złośliwe oprogramowanie. Atak pozostaje nierozwiązaną zagadką i do końca nie wiadomo, kto go przeprowadził i co zostało „wykradzione" z zainfekowanych komputerów.