A kiberbűnözésnek csak egy része köthető technológiához, az emberi oldal, vagyis a manipuláció is kulcsfontosságú eszköz a csalók számára. Egyesek mesteri szinten verik át a kiszemelteket, így csak rendkívüli óvatossággal előzhető meg, hogy a “social engineering” áldozatai legyünk. A Norton jóvoltából cikksorozatban járjuk körül az online biztonság egyik legforróbb témakörét, amelyet videó formájában is megnézhet:
Mi az a social engineering?
A social engineering, vagyis szociális manipuláció a kiberbűnözők pszichológiai alapú “fegyvere”: manipulálják az áldozatokat, hogy bizalmas információkat kapjanak tőlük. Bizalomkeltő beszélgetések, üzenetváltások után kihasználják az emberi hibákat vagy gyengeségeket, így a csalók hozzáférést kapnak a kiszemeltek érzékeny adataihoz.
A sikeres manipuláció lépései
Rafinált bűnözési módszerről van tehát szó, de sémák alapján felismerhető. Íme a sikeres manipuláció 4 alapvető lépése:
- Felkészülés: A kiberbűnöző – vagyis a social engineer – személyes információkat gyűjt az áldozatról, illetve kideríti, hogy miként lehet vele a legkönnyebben kapcsolatba lépni (pl.: e-mail, üzneteküldő alkalmazás, közösségi média).
- Beszivárgás: Kapcsolatba lép az áldozattal, általában egy megbízható forrásnak adva ki magát, és az áldozatról gyűjtött információkat felhasználva bizalmat kelt.
- Kihasználás: Meggyőzi az áldozatot, hogy információra van szüksége, például bejelentkezési adatokra, amelyeket csalárd célokra használ fel (pl.: illegális adat- és pénzszerzés).
- Leválasztás: A támadás végrehajtása után a bűnöző hirtelen megszakítja a kommunikációt az áldozattal.
Ezeket a manipulációs támadásokat pár óra alatt is végrehajthatják a bűnözők, de egyes esetekben akár hónapokig is eltarthat. A könnyebb és bonyolultabb esetek pszichológiai alapja ugyanaz, így amíg fennáll a kommunikáció a bünözővel, az áldozat időben felismerheti a csalást.
Hogyan ismerjük fel a manipulációt?
Ha egy idegentől olyan üzenetet kapunk, amely véletlenszerűnek, túl személyesnek vagy túl szépnek tűnik ahhoz, hogy igaz legyen, az valószínűleg egy pszichológiai manipuláción alapuló támadás kezdete.
A hagyományos kibertámadásokkal ellentétben, ahol a kiberbűnözők szeretnek észrevétlenek maradni, a manipuláció során a csalók közvetlenül kommunikálnak áldozataikkal.
Íme néhány gyakori technika, amelyekre érdemes figyelni:
Furcsa üzenet: A váratlanul érkező üzenetekben a bűnöző megbízható személynek adhatja ki magát, például a barátunknak, a munkatársunknak vagy akár a bankunk nevében is felkereshet.
Érzelmi manipuláció: Üzenetében specifikus érzelmeket kelt bennünk, például félelmet, kíváncsiságot vagy jótékony szándékot.
Sürgetés: A bűnöző nem akarja, hogy kétszer is átgondoljuk azt a cselekvést, amire sarkall minket, ezért sürget, szoros határidőkkel – legyen szó nyereményjátékra való jelentkezésről, letöltésről, linkre kattintásról vagy adat megosztásáról.
„Túl szép, hogy igaz legyen” ajánlatok: Csábító lehet milliókat nyerni, vagy részt venni egy ingyenes világkörüli úton – de ha váratlanul ilyen mesés lehetőség kínálkozik, vélhetően bűnöző próbálkozik.
Kéretlen segítség: A kiberbűnöző egy cég nevében olyan problémára kínálhat megoldást, amellyel nem is rendelkezünk, vagy technikai támogatást ajánl fel.
Hamis, vagy nem bizonyított személyazonosság: A gyanút fogó áldozat kérésére a bűnöző nem tudja igazolni a személyazonosságát, például nem hajlandó videohívást kezdeményezni.
A folytatásért olvassa el cikksorozatunk következő részét is!