Oto przewodnik, który wprowadzi Cię w świat pretekstowania, omówi jego różnorodne formy, przedstawi przykłady rzeczywistych oszustw, a przede wszystkim – podpowie, jak się przed nimi chronić.
Gdyby istniał prosty sposób na osiągnięcie bogactwa, z pewnością nie byłoby na świecie osób żyjących w ubóstwie.
Niestety, rzeczywistość jest inna. Ludzie często podejmują ryzykowne działania, aby wyłudzić od innych ciężko zarobione pieniądze. Metody te przybierają różne, często zaskakujące formy – od oszustw romantycznych, poprzez podszywanie się pod inne osoby, po wykorzystanie kryptowalut, a nawet pozornie niewinnego pendrive’a.
Choć poszczególne oszustwa mają swoje specyficzne nazwy, istnieje nadrzędna kategoria obejmująca je wszystkie – pretekstowanie.
Czym właściwie jest pretekstowanie?
Mówiąc najprościej, pretekstowanie to tworzenie sytuacji, często wywołującej poczucie pilności, która skłania Cię do ujawnienia ważnych informacji, których w normalnych okolicznościach byś nie udostępnił.
Jednak to zjawisko jest bardziej złożone niż losowy SMS. Pretekstowanie, w zależności od stosowanej techniki, wykorzystuje różne strategie, które opisano poniżej.
1. Wyłudzanie informacji (phishing)
Phishing to powszechna metoda, z którą wielu z nas miało już do czynienia. Polega na otrzymywaniu wiadomości e-mail, SMS-ów lub innych komunikatów, które zachęcają do kliknięcia w link. Link ten może prowadzić do pobrania złośliwego oprogramowania lub przekierować na fałszywą stronę internetową.
Pobranie złośliwego oprogramowania może skutkować kradzieżą poufnych danych lub zablokowaniem dostępu do komputera, za którego odzyskanie konieczne będzie zapłacenie okupu.
Fałszywa strona internetowa, z kolei, może wyglądać identycznie jak oryginał i przechwytywać wszelkie wprowadzane dane, w tym hasła i loginy.
2. Wyłudzanie informacji głosowych (vishing)
Vishing to podkategoria phishingu, która wykorzystuje połączenia głosowe. Zamiast e-maili, ofiary otrzymują telefony od osób podających się za pracowników firm, z których usług korzystają, lub pracowników banku.
W takim przypadku, ofiara może być zastraszana lub manipulowana, aby podjęła natychmiastowe działanie, konieczne rzekomo do dalszego korzystania z usług. Czasami oszust proponuje możliwość uzyskania wysokiej sumy pieniędzy, której wypłata jest uzależniona od uiszczenia opłaty „manipulacyjnej”.
3. Straszenie (scareware)
Scareware jest zagrożeniem dla użytkowników internetu, którzy odwiedzają podejrzane strony lub klikają w niebezpieczne linki w e-mailach lub SMS-ach. Pojawia się wtedy wyskakujące okienko, które informuje o rzekomym zainfekowaniu systemu i nakłania do pobrania darmowego programu do „oczyszczenia” komputera.
Wirusy nie cieszą się sympatią. Pobrany „program antywirusowy” może jednak wyrządzić wiele szkód na urządzeniu, m.in. zainstalować oprogramowanie szpiegujące, ransomware i inne złośliwe oprogramowanie.
4. Przynęta (baiting)
Przynęta wykorzystuje ludzką ciekawość i chęć posiadania czegoś, czego inni nie mają, jako sposób na osiągnięcie niecnych celów.
Na przykład, pendrive pozostawiony na podłodze w firmie może wzbudzić zainteresowanie pracownika. Ktoś, chcąc skorzystać z „darmowego” nośnika, podłącza go do firmowego komputera, narażając system, a może i całą sieć, na niebezpieczeństwo.
Również w internecie możemy natknąć się na pozornie atrakcyjną ofertę, która ma zaraz wygasnąć. Niewinny klik może narazić na niebezpieczeństwo nie tylko osobisty komputer, ale i całą organizację.
Przedstawione powyżej metody to tylko niektóre z technik stosowanych w atakach pretekstujących. Zobaczmy teraz, jak te mechanizmy są wykorzystywane w realistycznych sytuacjach z życia codziennego, aby oszukać niczego nie podejrzewające osoby.
Oszustwa romantyczne
Oszustwa romantyczne to jedne z najbardziej złożonych i trudnych do wykrycia. Kto chciałby stracić miłość życia z powodu swoich podejrzeń, prawda?
Schemat tego oszustwa zaczyna się od kontaktu z nieznajomą osobą za pośrednictwem aplikacji randkowej. Może to być fałszywa strona, stworzona w celu wyłudzenia danych od niepoprawnych romantyków. Może to być także legalny serwis, gdzie oszust udaje idealnego partnera.
W każdym z tych przypadków, sprawy zazwyczaj rozwijają się bardzo szybko, a ofiara czuje, że znalazła swoją drugą połówkę.
Jednak spotkanie wideo jest odrzucane, a osobiste spotkania są niemożliwe z powodu „okoliczności”. Oszust może poprosić o przeniesienie rozmowy poza platformę randkową.
W dalszej części oszustwa, sprawca może poprosić partnera o finansowe wsparcie wyjazdu na spotkanie osobiste. Inną opcją jest zaproponowanie „okazji inwestycyjnej”, która ma przynieść gigantyczne zyski.
Mimo, że oszustwa romantyczne mogą przybierać wiele form, najczęściej ich ofiarami padają osoby łatwowierne, szukające stałego związku. Co ciekawe, wśród ofiar znajdują się też wojskowi, którzy uwikłani w internetowe relacje, zdradzają poufne informacje.
Podsumowując, jeśli Twój partner z internetu jest bardziej zainteresowany pieniędzmi lub ważnymi danymi, niż Tobą, istnieje spore prawdopodobieństwo, że padłeś ofiarą oszustwa.
Oszustwa związane z podszywaniem się pod inne osoby
Podszywanie się to nic innego jak zaawansowana inżynieria społeczna. Wielu, w tym prezesi renomowanych firm, padło jej ofiarą.
Przykładem jest dyrektor generalny Bitpay, który wyłudził 5000 bitcoinów (wówczas 1,8 miliona dolarów) za pomocą jednego e-maila.
Haker, sprytnie zdobył dostęp do danych uwierzytelniających dyrektora Bitpay. Następnie wysłał wiadomość do dyrektora generalnego z prośbą o uregulowanie płatności na rzecz klienta biznesowego, SecondMarket. Oszustwo odkryto dopiero, gdy jeden z pracowników SecondMarket został powiadomiony o transakcji.
Bitpay nie mógł ubiegać się o odszkodowanie, ponieważ nie był to atak hakerski, a jedynie zwykły phishing.
Podszywanie się może również przybrać formę zastraszania.
W takim przypadku, ofiary otrzymują telefony z groźbami od „funkcjonariuszy organów ścigania”, żądających natychmiastowego uregulowania zobowiązań lub informujących o problemach prawnych.
Tylko w Bostonie (Massachusetts, USA) oszustwa związane z podszywaniem się spowodowały straty w wysokości 3 789 407 USD, a poszkodowanych było ponad 405 osób w 2020 roku.
Podszywanie się może mieć także charakter fizyczny. Może to być np. nieoczekiwana wizyta „technika” z firmy dostarczającej internet, który rzekomo chce „naprawić jakieś usterki” lub „przeprowadzić rutynową kontrolę”. Zbyt nieśmiali, lub zbyt zajęci, by zapytać o szczegóły, pozwalamy im wejść. W rezultacie, oszuści mogą włamać się do systemów, lub, co gorsza, dokonać napadu.
Kolejnym przykładem jest oszustwo e-mailowe z udziałem prezesa firmy. Wiadomość od dyrektora generalnego zawiera prośbę o wykonanie „zadania”, najczęściej transakcji na rzecz „dostawcy”.
Kluczem do uniknięcia oszustwa jest zachowanie spokoju i unikanie pośpiechu. Wystarczy ręcznie zweryfikować szczegóły rozmowy, e-maila czy wizyty, aby zaoszczędzić sporo pieniędzy.
Oszustwa związane z kryptowalutami
Nie jest to zupełnie nowa kategoria oszustw, a jedynie nowy pretekst, wykorzystujący temat kryptowalut.
Niski poziom wiedzy o kryptowalutach sprawia, że wiele osób pada ofiarą tego typu oszustw. Najczęstszym scenariuszem jest niespodziewana okazja inwestycyjna.
Oszustwa związane z kryptowalutami mogą angażować wielu inwestorów, a do ostatecznego wyłudzenia może dojść po dłuższym czasie. Schemat może być prowadzony przez organizacje przestępcze, które próbują nakłonić inwestorów do zainwestowania oszczędności w piramidę finansową.
Gdy wartość „monety” osiągnie wysoki poziom, oszuści wyprzedają swoje aktywa, co nazywane jest „rug pull”. Inwestorzy zostają z milionami bezwartościowych kryptowalut.
Inny rodzaj oszustwa polega na nakłanianiu osób nieobeznanych z technologią, do ujawnienia swoich kluczy prywatnych. Po ich zdobyciu, oszust przenosi środki do swojego portfela. Ze względu na anonimowość kryptowalut, śledzenie skradzionych środków jest trudne, a ich odzyskanie staje się niemal niemożliwe.
W tym przypadku pomocne jest dokładne sprawdzenie informacji.
Spróbuj zweryfikować wiarygodność zespołu, który stoi za danym projektem. Nie inwestuj w nowe kryptowaluty, dopóki nie zyskają one reputacji i wartości. Kryptowaluty są niestabilne i podatne na oszustwa. Inwestuj tylko tyle, ile możesz stracić.
Chcesz wiedzieć więcej? Sprawdź przewodnik po oszustwach kryptowalutowych, stworzony przez Bybit.
Jak walczyć z pretekstowaniem?
Wykrycie pretekstowania nie jest łatwe, a edukacja w tym zakresie to proces ciągły. Oszuści ciągle ewoluują i ulepszają swoje mechanizmy.
Niemniej jednak, rdzeń oszustw pozostaje niezmienny. Możesz skorzystać z poniższych wskazówek, aby zyskać przewagę.
1. Naucz się mówić NIE!
Większość z nas odczuwa potrzebę współpracy z nadawcami dziwnych e-maili i telefonów, nawet, jeśli wewnętrznie wiemy, że coś jest nie tak.
Zaufaj swojej intuicji. Skonsultuj się z innymi, zanim podejmiesz działanie, które wiąże się z ujawnieniem poufnych danych, przelaniem pieniędzy lub kliknięciem podejrzanego linku.
2. Przeszkol swoich pracowników
Ludzie mają tendencję do zapominania. Pojedyncze ostrzeżenie podczas wdrożenia nie przyniesie oczekiwanych efektów.
Zamiast tego, możesz organizować regularne ćwiczenia symulujące ataki, aby upewnić się, że Twój zespół jest świadomy aktualnych taktyk oszustów. Nawet cotygodniowy e-mail z informacjami o najnowszych atakach, może wiele pomóc.
3. Zainwestuj w dobry antywirus
W większości przypadków pretekstowanie wiąże się z klikaniem w podejrzane linki. Program antywirusowy z najwyższej półki może ułatwić ochronę przed takimi atakami.
Dobre programy antywirusowe dysponują centralną bazą danych o zagrożeniach oraz zaawansowanymi algorytmami, które wykonują większość pracy za Ciebie.
Dodatkowo, przed kliknięciem, możesz spróbować wpisać adres linku bezpośrednio w wyszukiwarkę.
4. Podręczniki i kursy
W internecie znajdziesz wiele przydatnych (i nieprzydatnych) porad na temat unikania pretekstowania. Niektórzy preferują jednak tradycyjną naukę. Istnieje kilka pomocnych książek:
Takie źródła są szczególnie przydatne, gdy chcesz zdobyć gruntowną wiedzę we własnym tempie i nie zwiększać czasu spędzanego przed ekranem.
Inną opcją, szczególnie przydatną dla Twoich pracowników, jest kurs inżynierii społecznej na Udemy. Zaletą tego kursu jest dostępność na urządzeniach mobilnych i telewizji, a także dożywotni dostęp.
Kurs obejmuje tematykę cyfrowego i fizycznego podszywania się, manipulacji psychologicznej, technik ataku, komunikacji niewerbalnej i wielu innych, które mogą przydać się początkującym.
Posiądź tarczę wiedzy!
Oszuści stale wymyślają nowe sposoby na oszukanie przeciętnego użytkownika internetu, ale ich celem są też osoby wykształcone.
Jedynym sposobem na ochronę jest edukacja i dzielenie się swoimi doświadczeniami z innymi, za pośrednictwem mediów społecznościowych.
Oszustwa są teraz powszechne również w Metaverse. Sprawdź, jak ich unikać, oraz zapoznaj się z przewodnikiem, który wprowadzi Cię w świat Metaverse, jeśli dopiero zaczynasz swoją przygodę.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.