Bezpieczeństwo

Psychologia i phishing: Jak łatwo nas oszukać (2)

Michał Rosiak

11 lipca 2019

Psychologia i phishing: Jak łatwo nas oszukać
2

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: Psychologia i phishing: Jak łatwo nas oszukać
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Dom. wybierz ikonę
proszę zaznaczyć zgodę

Komentarze

  • komentarz
    pablo_ck 21:09 11-07-2019
    Michał strażnik "Internetu" :)
    Odpowiedz
  • komentarz
    Mateusz 13:11 12-07-2019
    Ostatnio miałem nieprzyjemną sytuację na znanym portalu aukcyjnym. Otóż oszust zakupił ode mnie sprzęt, który wystawiłem. Przesłał do mnie podrobionego maila z informacją o płatności przez PayU. Sposób wysyłki to paczkomat. Zorientowałem się kilka godzin po zakupie, gdy przygotowywałem przesyłkę do wysyłki. W międzyczasie portal zablokował konto oszusta oraz cofnął prowizję od sprzedaży. Jednak nie zrobił najważniejszego, czyli nie poinformował mnie o oszustwie. Na szczęście wyrobiłem sobie nawyk sprawdzania wpłat na tym portalu, gdyby nie to, wysłałbym sprzęt wart niemałą kwotę. Co gorsza następnego dnia sytuacja się powtórzyła. Od razu zgłosiłem fałszywy mail o wpłacie. Po pewnym czasie dostałem informację, że mogłem paść ofiarą oszustwa. Wychodzi na to, że sam muszę zgłosić prawdopodobne oszustwo by portal faktycznie mnie przed tym ostrzegł. PARANOJA.
    Odpowiedz

Bezpieczeństwo

Nieprawdziwa faktura i erotyczne anonse (1)

Michał Rosiak

4 lipca 2019

Nieprawdziwa faktura i erotyczne anonse
1

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: Nieprawdziwa faktura i erotyczne anonse
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Serce. wybierz ikonę
proszę zaznaczyć zgodę

Komentarze

  • komentarz
    pablo_ck 21:16 04-07-2019
    Dlatego faktura papierowa miała swoje duże plusy ;p Ja mam pomysł na innowacyjną metodę płatności - klient dostaje smsa z wartością do zapłaty - idzie na pocztę, do kiosku, sklepu, wchodzi na stronę www - podaje operatora, numer telefonu, kwotę i płaci :) Bez papieru, bez emaili :)
    Odpowiedz

Bezpieczeństwo

(nie)Bezpieczna Sieć #16 – Baw się bezpiecznie! (1)

Michał Rosiak

13 czerwca 2019

(nie)Bezpieczna Sieć #16 – Baw się bezpiecznie!
1

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: (nie)Bezpieczna Sieć #16 – Baw się bezpiecznie!
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Filiżanka. wybierz ikonę
proszę zaznaczyć zgodę

Komentarze

  • komentarz
    pablo_ck 20:57 13-06-2019
    Michale jak zawsze super video :) Super wskazówki i porady :)
    Odpowiedz

Bezpieczeństwo

Confidence stał się pełnoletni (1)

Michał Rosiak

7 czerwca 2019

Confidence stał się pełnoletni
1

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: Confidence stał się pełnoletni
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Klucz. wybierz ikonę
proszę zaznaczyć zgodę

Komentarze

  • komentarz
    pablo_ck 09:35 08-06-2019
    Żyjemy w czasach w jakich żyjemy - uważam że z każdym rokiem nasze poczucie niebezpieczeństwa w sieci będzie narastać. Ale......świat zmierza ku pełnej informatyzacji i sztucznej inteligencji - wszystko super. Tylko żeby od tego wszystkiego ludzie nie "pogupieli" i kiedyś nie zgubiło to naszego pięknego świata.
    Odpowiedz

Bezpieczeństwo

Ludzie i sprzęt to nie wszystko (2)

Michał Rosiak

23 maja 2019

Ludzie i sprzęt to nie wszystko
2

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: Ludzie i sprzęt to nie wszystko
podaj nick
komentarz jest wymagany
Zweryfikuj czy jesteś człowiekiem wybierając Samolot. wybierz ikonę
proszę zaznaczyć zgodę

Komentarze

  • komentarz
    Adam 15:47 23-05-2019
    A co z usługami na telefonach Huawei? Kiedy zablokujecie?
    Odpowiedz
    • komentarz
      pablo_ck 16:46 23-05-2019
      Wierzysz że ktoś by chciał Ciebie lub mnie szpiegować??
      Odpowiedz

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej