Szyfrujecie dyski, używacie mocnych haseł, śmiejecie się w ekran wirusom. I tak nie jesteście bezpieczni
Nikt nie jest na tyle sprytny, żeby nie paść ofiarą oszustów. Arogancja czyni bardziej bezbronnym, szczególnie w obliczu socjotechniki.
Szyfrujecie dyski komputerów, używacie tylko bardzo mocnych haseł, śmiejecie się w ekran wirusom. Ale, nawet jeśli wasze dane są zabezpieczone przez najlepsze systemy świata, zawsze pozostaje jeden słaby punkt, którego tak łatwo się nie pozbędziecie. Człowiek. Jedyne, co nas może uratować to zdrowy rozsądek, zimna głowa i trochę pokory.
Tajemnica przestaje być tajemnicą, kiedy zna ją więcej niż jedna osoba.
Możemy być czujni jak ważka nad stawem, ale nie mamy szans się skutecznie obronić przed oszustami, którzy na cel biorą nie nas, ale inne osoby mające dostęp do naszych danych. Nawet jeśli na bezpieczeństwie zjadłeś zęby, masz w małym palcu podręcznik do inżynierii społecznej, nazywasz się John Brennan i jesteś szefem CIA, nie możesz się czuć bezpieczny.
W kwietniu tego roku na dwa lata został skazany młody haker, który głównie korzystając z socjotechniki, zyskał dostęp do tajnych informacji i do prywatnych telefonów ludzi stojących u szczytów władzy. Kane Gamble przekonał pracowników operatorów komórkowych, że jest Johnem Brennanem, szefem CIA, a pracowników FBI, że jest zarządzającym wtedy agencją Markiem Guiliano. Chłopak zdobył w ten sposób między innymi tajne informacje dotyczące operacji w Afganistanie i Iranie, prywatne numery szefów agencji i ich rodzin, a także zhakował na podstawie zdobytych danych urządzenia w ich domach. Na telewizorze Jeha Johnsona wyświetlił „I own you”, wydzwaniał do jego żony, zostawiając jej niepokojące wiadomości na skrzynce głosowej.
Na mnie socjotechnika nie działa. Tak, jasne.
Wszyscy lubimy mieć o sobie dobre mniemanie, ale przesadne przekonanie o własnej niezniszczalności, inteligencji i sprycie można nas ugryźć w zadnią część ciała. Istnieje całą masa ludzi święcie przekonanych o tym, że na nich inżynieria społeczna nie działa. Przecież cały przekręt był grubymi nićmi szyty, wszystko wyglądało podejrzanie, na kilometr czuć, że ta sprawa śmierdziała. Oni by się nie dali oszukać. Oni są sprytniejsi od przeciętnego misia. Ci wszyscy, którzy dali dostęp złodziejom do tajnych informacji stracili swoje pieniądze czy dane, są frajerami dostającymi od życia porządną nauczkę.
Tyle że z inżynierią społeczną jest jak z reklamą. Można rechotać radośnie z głupoty reklam i z tych naiwnych firm, które wydają na nie bajońskie kwoty, płacąc między innymi celebrytom, żeby pokazali twarz przy ich produkcie. I głośno deklarować, że nawet jeśli samoopalacz zareklamuje Donald Trump, nie znaczy, że się go kupi. Można też dwa dni później sięgnąć w sklepie po markę Presidential Sun, całą mocą logiki racjonalizując ten wybór. Jasne, są osoby mniej i bardziej podatne na magiczną moc takiej, a nie innej reklamy, tak jak są osoby mniej i bardziej podatne na moc takich czy innych socjotechnik. Jednak zakładanie, że jesteśmy nieczuli na coś, czego mechanizmów nie rozumiemy, to czystej wody arogancja.
Inżynieria społeczna korzysta z podstawowych mechanizmów psychologicznych.
Jest jeszcze jedno podobieństwo. Metody stosowane w reklamach są podobne do tych stosowanych przez oszustów. Wystarczy sięgnąć choćby po klasyczne zasady wywierania wpływu na ludzi Cialdiniego, żeby zobaczyć, jak blisko strategiom socjotechnicznym do strategii reklamowych. W końcu cel końcowy jest podobny — skłonić osobę do zrobienia czegoś, czego zrobić nie planowała.
Zasada niedostępności odbija się w migających na ekranie zegarach, które pokazują, że jeśli szybko nie podejmiemy decyzji, to coś stracimy. Już za sekundę, już za momencik ten wykładany diamentami iPhone przeleci nam koło nosa, albo, co gorsza, dostanie się naszemu sąsiadowi. I nie ma znaczenia czy to oferta limitowana prawdziwego sklepu, czy oszustwo oferujące smartfona za 1 euro. Zasada działania jest ta sama.
Zasada społecznej słuszności, polegająca na tym, że jeśli dużo ludzi coś wybrało lub coś poleca, to musi być dobre, jak wykorzystywana przez magików socjotechniki w przekonaniu nas, że wiele osób przed nami coś zrobiło, więc jest to bezpieczne. Z tego korzystają choćby popularne rozszerzenia do przeglądarki zainfekowane malwarem. Liczba ściągnięć i dobra opinia mają wzbudzić w nas zaufanie. I zwykle budzą.
Fałszywe maile z banków, od operatorów czy ze skarbówki mają nas przekonać do ściągnięcia zainfekowanego załącznika, korzystają z mocy autorytetu, który ma uspokoić naszą czujność i wzbudzić zaufanie lub, jak w wypadku skarbówki, pierwotny lęk przed nadzorem finansowym.
Cierpimy też na ogromną wolę podzielenia się naszym życiem z innymi. Ogromną część informacji o sobie pokazujemy w mediach społecznościowych, oszuści mają spore szanse znaleźć w nich coś, co może służyć jako potencjalny haczyk, na który mamy się złapać. Biada nam, jeśli ten haczyk podany jest w formie zdjęcia uroczego szczeniaka i pytania „jakie jest imię twojego pierwszego zwierzaczka?” lub „na jakiej ulicy mieszkałeś, kiedy byłeś mały?” Pytania z pozoru niewinne nieprzypadkowo przypominają te, często wykorzystywane jako pytania pomocnicze służące do odzyskiwania zapomnianych haseł.
To kilka najpopularniejszych i najprostszych przykładów, ale oszuści, potrafią wykazać się dużą pomysłowością, żeby dostać informacje, których potrzebują. Nie wszystkie przekręty są szyte tak grubymi nićmi, jak stary, niedobry spam z nigeryjską księżniczką, maile od administratorów sieci, którzy potrzebują naszych loginów i haseł czy pendrive'y rozdawane na konferencji ze zręcznie ukrytym w nim programem szpiegowskim. Czasami koniem trojańskim może się okazać kiosk, tuż obok siedziby ważnego urzędu. Jak ten w Kabulu, gdzie sprzedawano nośniki danych zainfekowane rosyjskim oprogramowaniem szpiegowskim amerykańskim pracownikom NATO.
I jasne, oszukiwanie i podawanie się za kogoś, kim się nie jest, to wszystko sztuczki stare jak świat. Nie ograniczają się tylko do świata cyfrowego, ale żyjemy ponoć w erze informacji przechowywanej na serwerach i w chmurach. Informacji, której dostanie się w niepowołane ręce, może wywołać burzę godną poruszenia skrzydeł motyla z Ohio, albo paniki w największych technologicznych firmach.
Ponieważ nie da się przed tym zabezpieczyć, warto założyć, że coś takiego może się wydarzyć. Warto mieć plan B na wypadek, gdyby dzieciak z Leicestershire postanowił zadzwonić do twojego operatora.