Bezpieczeństwo

Tylko i aż 0,64% ryzykantów

16 września 2021

Tylko i aż 0,64% ryzykantów

Sieciowi przestępcy potrafią nawet mnie czasami zaskoczyć. I nie chodzi o ich nowe, wyrafinowane techniki oszustw – tu akurat wszyscy w CERT Orange Polska mamy otwarte umysły i spodziewamy się wszystkiego. Ale powrót do pomysłów na phishing starych, siermiężnych i – wydawać by się mogło – do bólu ogranych?

Spójrzcie na tego maila i zastanówcie się, czy wszystko jest z nim w porządku:

Zastanowiliście się już, macie parę pomysłów? Ja już na pierwszy rzut oka widzę przynajmniej cztery elementy, wprowadzające dysonans. Nie będę zatem powoli wprowadzał Was w dramatyczną atmosferę, bo przecież – na litość! – ten mail śmi… tzn. pachnie niezbyt szlachetnym zapachem prostackiego phishingu. Tymczasem na nieco ponad 2500 takich maili, które „zapodziały” się w naszej sieci, 16 osób kliknęło w link! Na szczęście nie zobaczyło takiego ekranu:

tylko ostrzeżenie z CyberTarczy, że byli bliscy dania się oszukać przez phishing.

Tylko 16, czy aż 16?

16 na 2500. 0,64%. Tylko tyle, czy aż tyle? Faktycznie tak nikły odsetek dowodzi, że akurat ten wektor ataku faktycznie już się internautom opatrzył. Na bardziej wyrafinowane socjotechniczny phishing potrafi się złapać nawet kilkanaście procent osób! Co więcej, to wyniki badań, dotyczących ransomware. Zakładając 10 tysięcy wysłanych maili i nawet 10-procentową skuteczność, mamy 1000 osób, od których przestępcy będą chcieli załóżmy po 1000 dolarów w bitcoinach. Z tej grupy zapłaci 20% (dlaczego tyle? – przeczytajcie relację z konferencji Confidence) czyli mamy 200 tysięcy dolarów.

„Gdzie 200 tysięcy dolarów, a gdzie głupie 16 loginów i haseł?! Co to w ogóle za porównanie!”. Pewnie znajdzie się wśród Was parę osób, które tak pomyśli. I nawet się z nimi zgodzę, ale… nie do końca. Każdy sposób, który działa – jest dobry. 16 osób, które kliknęły w tego maila to 16 przejętych kont np. Mój Orange, ale też wszelkich innych, do których używacie takich samych haseł. W tej sytuacji wyjątkowa nieostrożność może doprowadzić do utraty dostępu do konta pocztowego, do serwisów społecznościowych, a nawet (błagam, nie robicie tak, prawda?) do banku.

W całej tej sytuacji zobaczyłem jednak nawet nie promyk, ale całkiem wyraźne ognisko nadziei. Z formularza na stronie CERT Orange Polska dostaliśmy co najmniej kilkanaście pytań, trochę trafiło służbowym mailem, kilka dostałem nawet ja od znajomych. Każdy wysyłał nam screenshota tego maila z pytaniem: „Ej, to chyba nie Wasze, co? Wygląda jak phishing!”. Super sprawa! I choć nie będę chwalił dnia, bo w tej materii słońce nigdy nie zajdzie, ta sytuacja natchnęła mnie sporym optymizmem. Przestajemy robić pewne rzeczy automatycznie, decydujemy się na poświęcenie chwili i nawet szybką, „po łebkach” analizę tego, co do nas dotarło. I co jeszcze lepsze – nie mając pewności, piszemy do CERTu z prośbą o potwierdzenie.

Wspaniała sprawa, jestem z Was dumny, bo widzę, że moja robota ma sens.

Wpadniecie na Safer Internet?

Macie jakieś plany na początek przyszłego tygodnia? Interesuje Was tematyka bezpieczeństwa dzieci w internecie? Możecie sobie pozwolić na przynajmniej zerkanie (i słuchanie) konferencji online przez kilka godzin w poniedziałek i wtorek? Jeśli na wszystkie te pytanie odpowiedzieliście pozytywnie, polecam Wam zarejestrowanie się na 15. międzynarodową konferencję „Bezpieczeństwo dzieci i młodzieży w internecie”, potocznie nazywaną Safer Internet, której głównym partnerem od początku jest Fundacja Orange. Sam jestem jej gościem (kilka razy z prezentacją) od przeszło dekady i za każdy razem trafiałem na sporo bardzo ciekawych i wartościowych treści. Warto „skorzystać z pandemii”, jakby to dziwnie nie zabrzmiało. W przypadku konferencji stacjonarnej liczba miejsc jest siłą rzeczy ograniczona i trafiają na nie osoby zajmujące się zawodowo edukacją, czy ogólnie sprawami młodzieży. Naprawdę warto, a ja – już tradycyjnie – za tydzień opiszę na blogu moje wrażenia.

Udostępnij: Tylko i aż 0,64% ryzykantów

Bezpieczeństwo

Fake newsy i clickbaity

15 lipca 2021

Fake newsy i clickbaity

Kiedy Wy czytacie ten tekst, ja [cokolwiek] nad pięknym polskim morzem. W miejsce [cokolwiek] wstawcie „opalam się”, bądź „moknę” – w zależności od tego, jaka akurat jest pogoda 🙂 Ale jakoś tak, gdy zastanawiałem się, co spakować, wpadł mi pomysł na tekst – szkoda byłoby go zmarnować, prawda?

Większe lub mniejsze, ale wciąż oszustwo

Przyglądaliście się ostatnio (mówimy o latach, nie dniach) mediom? I tym klasycznym i tym społecznościowym. Jak często widzicie w nich wyważone, stonowane opinie? Gdybyście mieli policzyć widziane na stronach internetowych tytuły artykułów – ile z nich po prostu informowało, a ile krzykliwie (z mniejszą lub większą subtelnością) wzbudzało emocje? Wreszcie – jak często samo łapiecie się na takie socjotechniczne „wędki”?

Zatrzymywane przez CyberTarczę regularnie setki, czy nawet tysiące domen, dowodzą, że statystycznie często. Inaczej oszustom nie opłacałoby się generować kolejnych kampanii! Wielkie zarobki, kasjerka z dyskontu odbijająca się od dna dzięki inwestycji w kryptowaluty, wielodzietna rodzina, kupująca za pieniądze z tego źródła wymarzony dom. No i wywołujące olbrzymie emocje informacje o porwaniach dzieci! W czasach pędu z newsem i ciągle brakującego czasu, często najpierw klikamy, a potem – za późno – myślimy…

A w tle czai się socjotechnika

Zaraz zaraz – w pierwszym akapicie piszesz o newsach, a w drugim o phishingu! Jaki to ma sens? Dla każdego z Was, kto tak pomyślał, wielkie brawa. To dowód na to, że nie pochłaniacie tekstu bezrefleksyjnie. A odpowiadając na pytanie: to nie był przypadek. Zastanówcie się, czy nie widzicie podobieństwa mechanizmów, używanych przy phishingu i klasycznych (niestety) dla wielu mediów clickbaitach? W obu przypadkach to socjotechnika i – co więcej – jednym i drugim zależy na pieniądzach! Ale tylko ci drudzy robią to uczci… tzn. zgodnie z prawem.

Czy zatem fake newsa należałoby stawiać na równi z clickbaitem? Na pewno nie zaszkodzi używać na co dzień tych samych mechanizmów, o które Was proszę przy rozpoznawaniu phishingów. Na pewno dlatego, by nie marnować czasu na to, co Was nie interesuje. Ale przede wszystkim ze względu na… bańki.

Im więcej lajków, tym dokładniejszy profil

Wróćmy na chwilę do pierwszego śródtytułu, tam, gdzie pisałem o stonowanych opiniach – czy raczej ich braku. Spójrzcie raz jeszcze jakiś czas wstecz i zastanówcie się, jak często widzieliście w mediach społecznościowych newsy, które Was totalnie nie interesują? Albo takie, które idą zupełnie pod prąd Waszym poglądom? Założenie „im więcej korzystam z social mediów, tym rzadziej” wcale nie jest karkołomne. Co więcej – jest dowiedzione, do czego przyznały się swego czasu również odpowiedzialne osoby ze społecznościowych mediów. Im więcej klikamy, im więcej oglądamy, im więcej „lajkujemy”, czy „serduszkujemy” – tym bardziej dokładny jest nasz profil, wygenerowany przez algorytmy. Często nie zdajemy sobie sprawy jak bardzo dokładny! Co więcej – media społecznościowe mogą nas profilować nawet, gdy nie jesteśmy zalogowani, a nawet… nie mamy na nich konta, Nie wierzycie? Obejrzyjcie choćby Dylemat Społeczny. To nie są wymysły – to fakty. Dla mnie (nawet dla mnie, przy mojej wiedzy) chwilami przerażające. Profilowanie wyborców przed kolejnymi elekcjami w ostatnich latach, w wielu krajach, to nie są bajki z mchu i paproci! Teraz wybory wygrywa się dostarczając odpowiednie informacje odpowiednio sprofilowanym „produktom”. Nam.

A skoro algorytmy dostarczają nam dokładnie dopasowane do nas treści (bo to będziemy klikać!), te coraz bardziej wpędzają nas w poczucie słuszności, pewności siebie i wiary, że to właśnie „moja racja jest najmojsza!”. Efekt? Widoczna niemal wszędzie, gdzie spojrzymy, polaryzacja nastrojów! Rozgrzane do czerwoności dyskusje, często między bliskimi przyjaciółmi, nierzadko idące „na noże”. Czy to z nami coś jest nie tak?

Skynet o krok od kontroli?

Nie. To „rozgrywające” nas algorytmy. Nie wiem jak Wy, ale ja czuję trochę analogii ze Skynetem i nieco mnie to mrozi. Nie będę Was namawiał do porzucenia mediów społecznościowych. Ja bez Facebooka żyłem przez przeszło 5 lat, musiałem z kilku powodów „kadłubowo” nań wrócić, ale przede wszystkim ciężko by mi było egzystować bez Twittera.

Staram się jednak (szczerze przyznaję, czasem mi to nie wychodzi) bym to ja decydował o tym, co czytam. Unikam krzykliwych nagłówków, a do wywołujących emocje tematów staram się podchodzić z refleksją. Myśleć samemu, a nie pozwalać, by myślały za mnie algorytmy. Nie być „produktem” – w zalewie robiącej wszystko za nas elektroniki pozostać samodzielnie myślącym człowiekiem.

Czego i Wam życzę.

„Nie daj się nie daj się ogłupić
Nie daj się nie daj się
Ten jeden chce cię sprzedać
A ten drugi chce cię kupić
(…)
I nawet kiedy nie masz na chleb codzienny
Pamiętaj! ty jesteś bezcenna
Pamiętaj!
Pamiętaj! ty jesteś bezcenny”

Brygada Kryzys „Nie daj się” (R. Brylewski/T. Lipiński)

Udostępnij: Fake newsy i clickbaity

Bezpieczeństwo

Nieufność nie zawsze szkodzi, czyli o socjotechnice słów kilka

11 czerwca 2010

Nieufność nie zawsze szkodzi, czyli o socjotechnice słów kilka

Sieciowi przestępcy potrafią nawet mnie czasami zaskoczyć. I nie chodzi o ich nowe, wyrafinowane techniki oszustw – tu akurat wszyscy w CERT Orange Polska mamy otwarte umysły i spodziewamy się wszystkiego. Ale powrót do pomysłów na phishing starych, siermiężnych i – wydawać by się mogło – do bólu ogranych?

Spójrzcie na tego maila i zastanówcie się, czy wszystko jest z nim w porządku:

Zastanowiliście się już, macie parę pomysłów? Ja już na pierwszy rzut oka widzę przynajmniej cztery elementy, wprowadzające dysonans. Nie będę zatem powoli wprowadzał Was w dramatyczną atmosferę, bo przecież – na litość! – ten mail śmi… tzn. pachnie niezbyt szlachetnym zapachem prostackiego phishingu. Tymczasem na nieco ponad 2500 takich maili, które „zapodziały” się w naszej sieci, 16 osób kliknęło w link! Na szczęście nie zobaczyło takiego ekranu:

tylko ostrzeżenie z CyberTarczy, że byli bliscy dania się oszukać przez phishing.

Tylko 16, czy aż 16?

16 na 2500. 0,64%. Tylko tyle, czy aż tyle? Faktycznie tak nikły odsetek dowodzi, że akurat ten wektor ataku faktycznie już się internautom opatrzył. Na bardziej wyrafinowane socjotechniczny phishing potrafi się złapać nawet kilkanaście procent osób! Co więcej, to wyniki badań, dotyczących ransomware. Zakładając 10 tysięcy wysłanych maili i nawet 10-procentową skuteczność, mamy 1000 osób, od których przestępcy będą chcieli załóżmy po 1000 dolarów w bitcoinach. Z tej grupy zapłaci 20% (dlaczego tyle? – przeczytajcie relację z konferencji Confidence) czyli mamy 200 tysięcy dolarów.

„Gdzie 200 tysięcy dolarów, a gdzie głupie 16 loginów i haseł?! Co to w ogóle za porównanie!”. Pewnie znajdzie się wśród Was parę osób, które tak pomyśli. I nawet się z nimi zgodzę, ale… nie do końca. Każdy sposób, który działa – jest dobry. 16 osób, które kliknęły w tego maila to 16 przejętych kont np. Mój Orange, ale też wszelkich innych, do których używacie takich samych haseł. W tej sytuacji wyjątkowa nieostrożność może doprowadzić do utraty dostępu do konta pocztowego, do serwisów społecznościowych, a nawet (błagam, nie robicie tak, prawda?) do banku.

W całej tej sytuacji zobaczyłem jednak nawet nie promyk, ale całkiem wyraźne ognisko nadziei. Z formularza na stronie CERT Orange Polska dostaliśmy co najmniej kilkanaście pytań, trochę trafiło służbowym mailem, kilka dostałem nawet ja od znajomych. Każdy wysyłał nam screenshota tego maila z pytaniem: „Ej, to chyba nie Wasze, co? Wygląda jak phishing!”. Super sprawa! I choć nie będę chwalił dnia, bo w tej materii słońce nigdy nie zajdzie, ta sytuacja natchnęła mnie sporym optymizmem. Przestajemy robić pewne rzeczy automatycznie, decydujemy się na poświęcenie chwili i nawet szybką, „po łebkach” analizę tego, co do nas dotarło. I co jeszcze lepsze – nie mając pewności, piszemy do CERTu z prośbą o potwierdzenie.

Wspaniała sprawa, jestem z Was dumny, bo widzę, że moja robota ma sens.

Wpadniecie na Safer Internet?

Macie jakieś plany na początek przyszłego tygodnia? Interesuje Was tematyka bezpieczeństwa dzieci w internecie? Możecie sobie pozwolić na przynajmniej zerkanie (i słuchanie) konferencji online przez kilka godzin w poniedziałek i wtorek? Jeśli na wszystkie te pytanie odpowiedzieliście pozytywnie, polecam Wam zarejestrowanie się na 15. międzynarodową konferencję „Bezpieczeństwo dzieci i młodzieży w internecie”, potocznie nazywaną Safer Internet, której głównym partnerem od początku jest Fundacja Orange. Sam jestem jej gościem (kilka razy z prezentacją) od przeszło dekady i za każdy razem trafiałem na sporo bardzo ciekawych i wartościowych treści. Warto „skorzystać z pandemii”, jakby to dziwnie nie zabrzmiało. W przypadku konferencji stacjonarnej liczba miejsc jest siłą rzeczy ograniczona i trafiają na nie osoby zajmujące się zawodowo edukacją, czy ogólnie sprawami młodzieży. Naprawdę warto, a ja – już tradycyjnie – za tydzień opiszę na blogu moje wrażenia.

Udostępnij: Nieufność nie zawsze szkodzi, czyli o socjotechnice słów kilka

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej