TVN 24 Biznes i Świat donosi, że po przeanalizowaniu blisko 400 tysięcy prób wyłudzenia danych wrażliwych okazało się, że statystycznie rzecz biorąc oszuści wykorzystują zaledwie 12 zwrotów, by wciągnąć ofiarę w krąg oszustwa pishingowego. Po polsku, chodzi o łowienie ofiar., które ujawnią poufne dane, albo otworzą dostęp do sfery swoich haseł dostępu do przestrzeni prywatnej.
Na czym polega problem?
Przestępcy internetowi wysyłają setki, tysiące wiadomości e-mail, które są przygotowane tak, by przypominać bezpośrednio korespondencję mailową z firmą zaufaną jaką jest bank lub nasz ubezpieczyciel, pracodawca, itp..
Zarówno tytuł, jak i treść e-maila sugeruje konieczność niezwłocznej reakcji. Któż bowiem nie zareaguje na informację o niedopłacie lub nadpłacie. Aby ułatwić rozwiązanie problemu, w wiadomości pojawia się link. Niby znany. Niby kojarzony.
Po fakcie okazuje się, że ten link zaprowadził na manowce. Bo tylko szata graficzna wiadomości była zbliżona do prawdziwej.
Większość z nas nie zdaje sobie z tego sprawy, ale metody te bazują na zasadach psychologii społecznej, co oznacza, że stosowane są metody wywierania wpływu na ludzi celem osiągnięcia efektu w postaci automatycznej reakcji na otrzymaną informację e-mailową. Reakcji bez refleksji, bo przecież grafika wiadomości jest dowodem prawdziwości. Mniejsza o to, że treść jest wątpliwa.
Jedna z firm zajmujących się bezpieczeństwem sieciowym przeanalizowała blisko 400.000 e-maili zawierających próby ataku pishingowego. Z wyników analizy wynika, że jest zaledwie 12 sformułowań, które stanowią o sukcesie cyberprzestępców.
Cóż niebezpiecznego może pojawić się w korespondencji?
- Re: i tu rzekoma odpowiedź na mail z linkiem
- Pilne lub ważne
- Żądanie lub prośba
- Płatność lub przelew
- Status płatności
- Kontynuacja lub odpowiedź lub uzupełnienie (follow up)
- Cześć lub witaj
- Faktura lub należna płatność
- Zakup
- Dział płac
- Wydatki
- Jesteś dostępny?
Specjaliści zwracają uwagę na to, że kiedyś oszustwo internetowe polegało na zablokowaniu komputera i oczekiwaniu opłaty za zwolnienie blokady. Dziś nie chodzi o to, by zablokować komputer. Postawienie nowego systemu i odtworzenie danych to kwestia kilku godzin. Dziś chodzi o to, by dostać się do kodów dostępów do źródeł pieniędzy ofiar.
Jako #adwokat wielokrotnie powtarzam tezę o nadmiernym braku zaufania do wszystkiego, co otrzymujemy w mailach. Każdą wątpliwość rozstrzygamy nie przez kliknięcie linku w wiadomości, a wejście na stronę banku, czy innej instytucji i sprawdzenie, czy jest na niej podobny komunikat.