Bezpieczeństwo

Psychologia i phishing: Jak łatwo nas oszukać

11 lipca 2019

Psychologia i phishing: Jak łatwo nas oszukać

Wakacje w pełni, przestępcy nieco spokojniejsi, więc i lektura na blogu nieco… inna. Pomyślałem sobie, że w zasadzie mógłbym tym z Was, którzy nie zaglądali do najnowszego Raportu CERT Orange Polska podsunąć niejako pod nos 🙂 jeden z moich tekstów z niego. Może przekonać Was do zapoznania się z treścią całego raportu (a także tych z lat wcześniejszych)? Skąd taki temat materiału? Cóż, czasami warto sięgnąć do podstaw naszego wykształcenia :), tym bardziej, że akurat phishing to ten aspekt, gdzie cyberbezpieczeństwo i psychologia spotykają się i mogą uścisnąć… hmm, dłonie?

Za dużo informacji

24 godziny. Jeśli liczyć, że na sen poświęcamy 1/3 doby, pozostaje 16 godzin, gdy funkcjonujemy na mniej lub bardziej szybkich obrotach. 960 minut, podczas których pierwsze informacje dostajemy zazwyczaj tuż po pobudce, biorąc do ręki telefon. Potem reklamy w radiu, kolejne newsy w sieci, przejrzenie mediów społecznościowych, zadania w pracy, rozmowy ze znajomymi, czasami jeszcze telewizja. Jest tego za dużo. To, że nie głupiejemy w natłoku atakujących nas zewsząd informacji to zasługa naszego mózgu. Ewolucja nauczyła go „chodzić na skróty”, co z jednej strony na co dzień przynosi nam wiele dobrego, z drugiej jednak – świadomość tego pomaga też cyberprzestępcom. Ludziom, którzy chcąc wykraść nasze loginy, hasła, czy wrażliwe dane po to, by w łatwy i szybki sposób się dorobić. I którzy są w pełni świadomi tego, jak łatwo oszukać nasz mózg.

Mózg jak… antywirus?

Jeśli przyglądaliście się dokładnie mechanizmom, jakie stoją za funkcjonowaniem oprogramowania antywirusowego, znane jest Wam pojęcie heurystyki (umiejętność wykrywania nowych faktów oraz znajdowania związków między faktami, zwłaszcza z wykorzystaniem hipotez. Na podstawie istniejącej wiedzy stawia się hipotezy, których nie trzeba udowadniać – za Wikipedią). W przypadku antywirusa błędne zakwalifikowanie pliku jako złośliwego skończy się co najwyżej false positivem, nie czyniąc nam wielkiej szkody. Z mózgiem nie jest jednak tak łatwo. Jeśli on użyje heurystyk, to w chwili, gdy zdamy sobie sprawę z tego, iż źle zakwalifikowaliśmy daną sytuację, może się okazać – i najczęściej właśnie tak będzie – że jest już za późno. Tu nie skończy się na false positivie, szkoda zapewne okaże się znacznie większa.

Dlaczego w ogóle nasz mózg wybiera „drogę na skróty”? Na wysokim poziomie po to, by uniknąć zalania informacjami (o tym wspominałem wyżej), na niższym zaś, by uniknąć czegoś, co nazywam syndromem „osiołkowi w żłoby dano”, jak w wierszu  Aleksandra Fredry o tym samym tytule. Sprowadźmy sytuację na najniższy możliwy poziom. Przychodzimy do sklepu po zakupy i wybieramy… niech będzie, że kiełbasę. Nie zdarza się przecież, że szczegółowo analizujemy skład każdej z nich, procent użytego mięsa, charakter wypełniaczy… Znaczna większość z nas, jeśli lubi podwawelską, to po prostu weźmie podwawelską! Przecież nikt się nad tym nie zastanawia. Po prostu pomaga nam w tym na poziomie podświadomości nasz mózg. Absolutnie niezależnie od nas.

„Takie maile już były”

Weźmy przykłady najpopularniejszych phishingów z 2018 roku:

  • „fakturę” od dostawcy usług telekomunikacyjnych
  • informację o opłaconej (sporą kwotą pieniędzy) przesyłce kurierskiej

Skoro regularnie trafiają do nas faktury od naszego dostawcy, to z jakiej racji ta ma być inna? Przypomnijcie sobie jak często faktycznie przyglądacie się mailowi, który do Was przyszedł? No bo przecież od Orange, obrazki takie same, termin podobny, co może pójść nie tak? Kojarząc podświadomie przychodzącego maila z podobnymi otrzymywanymi przez nas wiadomościami, mózg nie będzie marnował energii na zastanowienie się, czy aby na pewno jest on prawdziwy. Przesada? Pomyślcie więc zatem, co się stanie, gdy domniemanym nadawcą wiadomości, która do Was trafi, będzie firma, z której usług nigdy nie korzystaliście? Reakcja będzie zupełnie inna. Pomyślicie: „Czy oni oszaleli?”, a Wasza uwaga skupi się na wyglądzie i treści maila, co od razu pomoże wykryć oszustwo.

Efektywne radzenie sobie z phishingiem wymaga sporej samokontroli, a „sprawcą” jest heurystyka reprezentatywności, która powoduje, iż „klasyfikujemy obiekt na podstawie jego podobieństwa do typowego przypadku, który jest nam znany” (ponownie Wikipedia).

„Przecież ja nic nie płaciłam/em?”

Maile „od kurierów” to jedne z najpopularniejszych scamów ostatnich lat. Przestępcy dostosowują się jednak do rosnącej świadomości użytkowników, sięgając do coraz to bardziej wyrafinowanych psychologicznych tricków. Przyznajcie sami – sposób „na potwierdzenie wysłania przesyłki” działa już  na coraz mniej osób, a sytuacja, gdy dostajemy maila o przesyłce, której nie zamawialiśmy, wywołuje co najwyżej parsknięcie śmiechem. Co jednak, gdy trafi do nas mail o przesyłce, którą już opłaciliśmy? Co gorsza, „kosztowało” nas to kilka tysięcy złotych? Otóż to – klikniemy czym prędzej w link, bo może jeszcze da się to wycofać!

I tu wita nas heurystyka dostępności, czyli „przypisywanie większego prawdopodobieństwa zdarzeniom, które są łatwo dostępne świadomości i/lub nacechowane silnymi emocjami” (Wikipedia). Bo przecież w internecie tyle piszą, że ludzi okradli przez sieć, bo przecież znajomy znajomego też miał! Jeszcze gorzej, jeśli sytuacja kradzieży przy użyciu internetu zdarzyła się komuś z naszej rodziny, co tym bardziej uwiarygadnia w naszych oczach (czy raczej – oczywiście podświadomie – naszym mózgu) świadomość, iż musimy się czym prędzej ratować! Efekt będzie oczywiście odwrotny.

Jak sobie z tym poradzić?

Na pewno nie rezygnować z internetu i nie demonizować związanych z nim ryzyk, nie zmieniają one bowiem tego, że internet w olbrzymim stopniu ułatwia nasze codzienne życie. Kluczowym sposobem wydaje się być pozbycie się automatyzmu. Przez ostatnie kilkanaście lat do sieci przenieśliśmy istotną część siebie – co więcej, stało się to do tego stopnia automatycznie, że trzeba się chwilę zastanowić, zanim zdamy sobie sprawę, jak dużo rzeczy robimy w internecie. Uważajmy, a jeśli mamy wątpliwości, nie wstydźmy się ich skonsultować z kimś, kto lepiej ”umie w internety”. No i nie czytajmy długich informacji na szybko, albo gdy jesteśmy zmęczeni. Nic się nie stanie, gdy poczekamy nawet do rana, świat się nie skończy. Po prostu wyróbmy u siebie przyzwyczajenie, by we wszelkich potencjalnie podejrzanych sytuacjach po prostu zwolnić. Kilka minut więcej dziennie może oszczędzić wiele dni stresu.

Udostępnij: Psychologia i phishing: Jak łatwo nas oszukać

Bezpieczeństwo

Nieprawdziwa faktura i erotyczne anonse

4 lipca 2019

Nieprawdziwa faktura i erotyczne anonse

Praca w CERT Orange Polska łączy się z co najmniej kilkoma wyjątkowymi rzeczami 🙂 Jedną z nich jest bez wątpienia możliwość praktycznie bezpośredniego dostępu do informacji o tym, co przestępcy usiłują robić w sieci Orange Polska. I o ile ostatnio faktycznie ilościowo zrobiło się nieco spokojniej, o tyle warto zwrócić uwagę na dwa szczególnie popularne ostatnio wśród przestępców typu ataków.

„Faktura” wiecznie żywa

Rozpoczęta w poniedziałek nie do końca udanym mailem seria „faktura od Orange” z dnia na dzień wygląda coraz lepiej (choć na szczęście jeśli zwracacie uwagę na przychodzące do Was maile, przypominające oficjalne, powinniście się zorientować). Niezależnie od tego, jak bardzo źli ludzie się postarają, pamiętajcie o tym, że nasze faktury zawierają strefę bezpieczeństwa. Jeśli dokument, który otrzymaliście rzekomo od nas, nie zawiera Waszego imienia i nazwiska oraz numeru klienta – skasujcie go bez klikania, a najlepiej, jeśli wcześniej wyślecie go jako załącznik na adres cert.opl@orange.com. Tu akurat przestępcy mają łatwo – treść naszego dokumentu z fakturą wystarczy po prostu skopiować. Warto pamiętać, by w każdym mailu (nieważne, czy od Orange Polska), patrzeć na adres nadawcy, nazwę i rozszerzenie załącznika. Chwila uwagi może oszczędzić nam mnóstwo czasu.

Seks i zakłopotanie

Sex sells. Tak samo jak seks zazwyczaj „sprzeda” nawet najpośledniejszej jakości tfu-rczość, tak możemy być pewni, że oparcie niezbyt wyrafinowanego phishingu o obszar erotyczny może przynieść przestępcy całkiem niezły efekt. W ostatnich tygodniach dość regularnie obserwujemy kolejne ataki oparte o schemat, który można by określić mianem „hybrydowego”: najpierw informacja o zapisaniu nas do serwisu z anonsami (i drogimi SMSami Premium, wysyłanymi każdego dnia), następnie wędka w postaci możliwości wypisania się (pod warunkiem, że zrobimy to bardzo szybko), no i – na koniec – konieczność „potwierdzenia tożsamości” przelewem na drobną kwotę. Jeśli pierwszy SMS z różnych powodów wprawił nas  w zakłopotanie, zazwyczaj będziemy chcieli szybko usunąć ślady… czegoś, czego nie zrobiliśmy. W efekcie nie zauważymy, że domniemana bramka płatności, której mamy użyć, jest fałszywa. Zorientujemy się dopiero, gdy na koncie bankowym pokaże się nam okrągłe ZERO.

Co robić?

To, co zawsze. Nie robić nic na szybko, wyrobić w sobie wewnętrzną ostrożność przy tego typu mailach. Zawsze warto poświęcić nawet minutę czasu, jeśli ma nam potem oszczędzić wielo(tygo)dniowych nerwów. Tym bardziej teraz, gdy zaczęły się już wakacje i w klimatach wypoczynkowych opuszczamy naszą „mentalną gardę”. Przestępcy właśnie na to czekają.

Udostępnij: Nieprawdziwa faktura i erotyczne anonse

Bezpieczeństwo

(cyber)Bezpieczna majówka – garść porad

25 kwietnia 2019

(cyber)Bezpieczna majówka – garść porad

W sumie to dzisiaj nie ma co się przesadnie rozpisywać, nie sądzicie? Kto jedzie na majówkę, ręka do góry? A kto zaczyna już w poniedziałek? No właśnie. Komu zatem chciałoby się czytać cokolwiek – no, chyba że chodziłoby o porady co zrobić, by nasza majówka była bezpieczna? Stali czytelnicy powiedzą pewnie, że piszę to samo co roku. Zgrubnie tak – ale statystyki wskazują, że wciąż warto przypominać, bo nie jest problemem znaleźć kogoś, kto swoją niefrasobliwością sam daje przestępcom do rąk okazję.

Zapomnij o darmowym WiFi

Zastanawiam się, czy w czasach paczek po co najmniej kilka gigabajtów to jeszcze stanowi jakiś problem? Nie pamiętam kiedy ostatnio korzystałem z jakieś publicznego WiFi, jedynym wyjątkiem jest wyjazd za granicę, gdzie faktycznie warto oszczędzić na transmisji danych w roamingu.

Na co warto uważać? Przede wszystkim niezależnie od sieci WiFi nie wykonywać w niej operacji, związanych z danymi wrażliwymi. Żadnych transakcji bankowych, żadnego logowania do maila, czy serwisów społecznościowych. Jeśli hasło do sieci wisi na recepcji, to znaczy, że zna je każdy. „Przecież dane z Gmailem, czy bankiem, i tak są szyfrowane” – powiecie. Tak. Ale jaką mamy pewność, że sieć o nazwie „UroczyHotel” zapewnia rzeczony hotel, a nie przestępca, który wstawił mocniejsze urządzenia i nazwał swoją sieć tak samo? Jeśli tak, to on już może z Waszą transmisją danych zrobić wszystko. I majówka zepsuta.

Zrelaksuj się

Ale tak totalnie. Nie przejmuj się SMSami, czy mailami, grożącymi Ci karami finansowymi, każącymi coś zrobić „natychmiast”. Nie. Ty masz urlop, a przestępca liczy, że w takie informacje klikniesz „na odczepnego”. Tymczasem jeśli zrelaksujesz się naprawdę totalnie, nie będzie Cię po prostu interesować co do Ciebie piszą. Na takie maile zawsze można odpowiedzieć po powrocie z urlopu. Świat się nie zawali. W sumie to nie zaszkodzi w ogóle odciąć się od internetu, mediów społecznościowych. Niech to będzie chwila dla Ciebie i (jeśli nie jedziesz sam/a) Twoich bliskich. Kiedyś ludzie żyli bez internetu.

Ostrożnie z bankomatami…

…szczególnie w miejscowościach turystycznych. Przy wypłacie gotówki akurat się nie relaksuj. Obejrzyj dokładnie bankomat, czy nic nie wygląda nienaturalnie, nie odstaje, itp. Koniecznie zasłaniaj dłonią drugą dłoń, wpisującą PIN. Nie muszę chyba wspominać, że PINu nie naklejamy na kartę, prawda?

Bawcie się dobrze, niech ta majówka przyniesie Wam dużo wypoczynku i – tu ostatnia rada – pamiętajcie o powerbankach. To wbrew pozorom też uwaga związana z bezpieczeństwem, choć może nie do końca w wersji cyber. Na urlopie łatwo się zapomnieć, a gdy telefon „pożre” całą baterię na zdjęcia, wideo, czy słuchanie muzyki, prądu może zabraknąć, gdy trzeba będzie wezwać taksówkę, lub co gorsza – oby taka sytuacja się Wam nie zdarzyła – pomoc. Warto być zabezpieczonym.

Image by lecreusois from Pixabay

Udostępnij: (cyber)Bezpieczna majówka – garść porad

Bezpieczeństwo

Phishingowy SMS przychodzi we wtorek

4 kwietnia 2019

Phishingowy SMS przychodzi we wtorek

Coraz częściej rozbudowywane nie tylko przez nas systemy sztucznej inteligencji, przy wsparciu nieocenionych klientów nie tylko naszych usług, którzy kontaktują się z CERT Orange Polska, pomagają zapobiec skierowanej w Was aktywności cyber-przestępców. W ostatnim miesiącu nie tylko udało się zapobiec sporej liczbie SMSowych kampanii phishingowych. Mogliśmy też przyjrzeć się sposobom działania ich autorów.

Uwaga na SMS z „informacjami”

Informacja – to nadawca SMS w największej liczbie analizowanych przez nas kampanii. Specyfika tego typu wiadomości powoduje, że wysyłając możemy ustawić dowolną nazwę. Począwszy od spoofowania konkretnego numeru, skończywszy zaś właśnie na tego typu tzw. „nadpisie”, mającym wywołać w nas poczucie zaufania i jednocześnie bezpieczeństwa. Bardzo popularni byli też nadawcy, mający dla odmiany wzbudzić w ofierze poczucie obowiązku, stresu, czy braku czasu. Tak bowiem zazwyczaj reagujemy, gdy przeczytamy informację o tytule „spłata”, „opłaty”, „ostrzeżenie”, czy „blokady”.

(nie) Dopłać dwa złote

Schemat kampanii phishingu SMS od początku 2019 jest niemal bliźniaczy w każdym przypadku, wielokrotnie opisywany w mediach, nie tylko bezpieczniackich. To nie są przypadkowe ataki. Przestępcy coraz częściej analizują aktywności w serwisach takich, jak Allegro, Otomoto, OLX, Gratka itp. Ten sprytny pomysł powoduje, że ofiara, widząc SMSa o konieczności dopłaty drobnej kwoty, w sytuacji, gdy kilka/naście minut wcześniej wstawiła swoją ofertę, może faktycznie złapać się na lep przestępców. A ci w kolejnym kroku podstawią jej łudząco podobny do prawdziwego panel płatności, a ta, nie martwiąc się, bo „przecież to mała kwota” wpisze swoje dane, nie zwracając uwagi na adres. A przestępcy, mając login i hasło, a niekiedy również autoryzacyjny SMS do serwisu bankowego, wyczyszczą konto do cna.

Niekoniecznie w weekend

Przestępcom zdarza się czasami spać, ale naszym systemom nie. CyberTarcza wyłapuje ruch sieciowych do podejrzanych adresów, udających serwisy płatności, blokując je dla użytkowników usług dostępu do internetu Orange Polska. Z tego typu analiz wynika, że o ile miesięczna liczba phishingowych SMSów może sięgać kilkunastu tysięcy.

O ile w przypadku klasycznego ataku phishingowego przestępcy wybierają głównie piątek po południu (tuż przed wyjściem z pracy, w weekendowej atmosferze łatwo coś przegapić lub niefrasobliwie kliknąć), w przypadku kampanii SMS najpopularniejsze są wtorek i poniedziałek. Można założyć, iż dzieje się tak dlatego, by przestępcy zdążyli jak najszybciej wykonać operacje bankowe przy użyciu wykradzionych danych i „wyprać” ukradzione pieniądze. Dlatego nieprzerwanie robimy wszystko, by zatrzymać te ataki zanim dotrą do Waszych telefonów.

Udostępnij: Phishingowy SMS przychodzi we wtorek

Bezpieczeństwo

Przestępcy wysyłają SMSy

21 marca 2019

Przestępcy wysyłają SMSy

W ostatnich dniach obserwujemy wzmożony ruch jeśli chodzi o wysyłane przez cyberprzestępców SMSy. Informacje o podejrzanych aktywnościach nie tylko trafiają do naszych automatycznych systemów – dostajemy je także, za co dziękujemy, bezpośrednio od niedoszłych ofiar. Poniżej krótki opiszę trzy najpopularniejsze ostatnio style phishingowych kampanii.

Na zadłużenie

To najświeższy przypadek, który – to ciekawostka – trafił do bezpośrednio do CERT Orange Polska, na nasz adres mailowy (bardzo dziękujemy przestępcom, prosimy o więcej).

Wiadomość MMS od: 48501xxxxxx@mmsemail.orange.pl
Temat:
slajd numer 1
Twoj numer zostanie wkrotce zablokowany z powodu
braku splaty zadluzenia. Prosimy o szybka wplate 2,53 zl
https://wezwanienr911.83619.eu/91XF7EamS42/hKoIKnv

Tutaj naszą uwagę powinna zwrócić przede wszystkim forma informacji – tego typu powiadomień nikt nie przesyła MMSem. W ogóle mało kto w czasach komunikatorów wysyła MMSy. Kolejna „czerwona flaga” to zaledwie kilkuzłotowa kwota. To manipulacja przestępców obliczona na uspokojenie ofiary (przecież tak małe pieniądze to można wpłacić, nic się nie stanie). Dzięki temu, że przestępcy już od dłuższego czasu używają tego tricku stał się on już na tyle popularny, że można z góry zakładać, iż nakaz wpłaty takiej kwoty to oszustwo. Ostatni znak ostrzegawczy to oczywiście adres internetowy – domena 83619.eu nie kojarzy się z niczym, co mogłoby wymagać wniesienia przez nas jakiejkolwiek opłaty. Warto jednak pamiętać, iż często na początku adresu znajduje się fragment, kojarzony z firmą, która „wymaga dopłaty”, np. orange.pl.83619.eu. Pamiętajcie o tym.

Na dopłatę do ogłoszenia

Kolejny przykład to sytuacja, która spotkała w ostatnich dniach jednego z pracowników Orange Polska, a ten podzielił się z nami sposobem działania przestępców. Zaczęło się od tego, że niedoszła ofiara postanowiła sprzedać samochód. Przygotowała ogłoszenie, umieściła je na serwisie Otomoto, by po krótkim czasie (liczonym w minutach, maksymalnie godzinach) otrzymać takiego SMSa:

Tym razem przestępcy postanowili zwiększyć szanse na oszukanie ofiary, przeglądając na bieżąco serwis ogłoszeniowy pod kątem nowych ofert. Bazując na zgłaszanych przez ostatni czas próbkach wiemy, że zainteresowaniem przestępców cieszą się najpopularniejszy witryny tego typu, wśród nich również OLX, czy Allegro. Reszta to podobny schemat, jak powyżej – mała kwota i podejrzany adres, w tym przypadku jednak starający się przypominać prawdziwy.

Na kancelarię prawną

Ostatni trick jest wyjątkowo podstępny, bo – cóż – o ile reagujemy, gdy ktoś chce nam pieniądze zabrać, to czemu mamy mieć jakikolwiek problem z tym, że ktoś nam je oddaje?

Kolejna gra na emocjach i konkretne wezwanie do działania. Kto by nie chciał dostać kilkuset złotych, tym bardziej, że potrzeba tylko kliknąć? Tylko szybko, bo po 24 godzinach oferta będzie już nieważna! A w tle oczywiście znany nam już adres łudząco przypominający znany serwis płatności online.

Co robić?

Oczywiście czytać zanim cokolwiek klikniemy. I tak jak szkoląc się na prawo jazdy uczymy się zasady ograniczonego zaufania, tak samo tutaj wszelkie wiadomości, gdzie pojawiają się jakiekolwiek kwoty pieniędzy, czytajmy wyjątkowo dokładnie.

A oczywiście my będziemy robić swoje. Opisywane w tekście domeny są już od dawna blokowane przez CyberTarczę, a nasze automatyczne systemy „uczą się” jak wyglądają przestępcze treści, by blokować takie SMSy zanim dotrą do Waszych telefonów. A póki co, jeśli trafią się jakieś, które przemknąć się przez nasze systemy – wyślijcie je do nas, na cert.opl@orange.com. Wtedy pomożecie innym.

Udostępnij: Przestępcy wysyłają SMSy

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej