Oszustwo na „nigeryjskiego księcia” - psychologia internetowych szwindli
Coraz głośniej o próbach wyłudzania pieniędzy czy danych przez różnego rodzaju e-maile lub SMS-y. Dlaczego wciąż wielu ludzi daje się podpuścić, by kliknąć link, czy otworzyć nieznany plik? Jak działają hakerzy i czym się kierują?
Cyberbezpieczeństwo stało się nieodłącznym elementem naszego codziennego życia. Coraz trudniej jest żyć bez internetu i wszelkich dogodności, które przynosi. Niestety wraz z tym "ułatwieniem życia" wiąże się bardzo duże pole dla internetowych oszustów i hakerów.
Coraz więcej naszych danych, w tym także pieniędzy, znajduje się na serwerach. Właśnie tego typu elementy są najczęstszymi celami w internetowym świecie. Dlatego warto dowiedzieć się (lub sobie przypomnieć), jakie triki psychologiczne są używane przez oszustów.
Podstawowym elementem wyłudzania, czy to pieniędzy, czy danych, jest wzbudzenie naszego zaufania i stworzenie iluzji prawdziwości danej informacji. Dlatego też oszuści internetowi/hakerzy bardzo często wykorzystują w swych atakach znaki firmowe, oficjalne linki stron, a nawet zdjęcia dyrektorów lub prezesów.
Przykładowo otrzymujemy e-mail z informacją, że nasze konto w banku wygasło i należy zalogować się poprzez otrzymany link - link ten wygląda identycznie jak ten "oficjalny", jednakże może nie być zakończony ".pl", lecz "com.pl". Takie zakończenie linku może nas już informować, że dany e-mail jest oszustwem. Ponadto banki nie wysyłają tego typu treści do swoich klientów.
Idąc dalej, oszuści chcą wykorzystać nasze poczucie "zobowiązania wobec instytucji". Tutaj chodzi o ponaglenia spłaty kredytu, gdzie w wiadomości dowiadujemy się, że numer konta do dokonania przelewu jest zmieniony, czy też uregulowania należności za paczkę, czy zapłacenie odsetek do ZUS-u. Wciąż mamy przeświadczenie, że instytucje mogą prosić nas w e-mailach o podanie swoich danych.
Innym aspektem jest wykorzystanie naszego strachu/lęku. Tutaj można podać przykład — otrzymujesz SMS lub e-mail, że zostałaś/zostałeś wezwany na komisariat w sprawie wypadku samochodowego, by otrzymać więcej informacji, kliknij link — tutaj oczywiście są wykorzystane oficjalne logo policji itp. Wiele fałszywych informacji tego typu może bazować także na braku naszej koncentracji, wywołaniu szoku i wywieraniu poczucia silnej presji, zwłaszcza czasowej. Tutaj przykład oszustwa: "Otrzymałeś mandat za złe parkowanie w wysokości 300 zł. Masz jedynie 30 minut, by anulować karę [tutaj link]".
Wywieranie presji czasowej nie pozwala nam się skupić i znacznie utrudnia nam przefiltrowanie prawdziwych informacji od tych fałszywych. Człowiek w takich momentach chce jak najszybciej uniknąć kary oraz wyjaśnić sytuację. Jednakże pośpiech i brak zastanowienia może nas słono kosztować.
Niemal wszystkie wymienione powyżej przykłady bazują również na naszej niewiedzy. Zarówno policja, instytucje, czy banki nie mają możliwości jak i prawa rozsyłać podobnych informacji poprzez e-maile, czy SMS-y.
Kolejnym aspektem oszustw jest "metoda na księcia". Chodzi o to, że na czacie, forum, czy przez wiadomości e-mailowe poznajemy np. amerykańskiego żołnierza, nigeryjskiego księcia, turystkę z Tajlandii, czy kogoś podobnego. Internetowa znajomość się rozwija, wysyłamy swoje zdjęcia (jego/jej są fałszywe). Jeśli już dana relacja jest silna, to osoba ta prosi o pieniądze, gdyż nagle znalazła się w trudnej sytuacji życiowej (np. zachorowała jego/jej siostra) - oczywiście leczenie jest bardzo drogie.
Jeśli nie wyślemy pieniędzy, wówczas może się zdarzyć, że ta osoba będzie wywierać na nas presję, wykorzystując do tego skrajne emocje. Oszust chce wywołać u nas silne poczucie winy, będzie pisać np. o złamanym sercu, zdradzie, rozczarowaniu - takie chwyty wykorzystują naturalną ludzką chęć do akceptacji. Zdecydowana większość z nas nie chce być obarczana winą, dlatego też duża część ludzi "łamie się" i wysyła pieniądze.
Wciąż wiele osób nabiera się na chwyty, które wykorzystują nasze zaufanie, przywiązanie, chęć poczucia bezpieczeństwa, relacje przyjacielskie/romantyczne. Bardzo dużo ludzi wierzy w wewnętrzne dobro człowieka, i tłumaczy sobie, że "przecież w takiej sprawie, nikt by nie kłamał".
"Łatwym łupem" są również osoby samotne, czy osoby znajdujące się w życiowym kryzysie. Osoby takie szukają wsparcia, rozmowy i relacji. Kiedy ją otrzymują, to zaczynają ufać, nawet nieznanej osobie z internetu.
Innym "klasycznym" wariantem jest także sytuacja, kiedy napisze do nas znana osoba, np. Robert Lewandowski, czy Beyoncé, którzy będą chcieli, żeby im opłacić np. bilet lotniczy do Polski, jeśli wykonamy tę czynność, to zostaniemy wynagrodzeni. Koniec końców możemy stracić wszystkie oszczędności, a nasze dane będą krążyć "po internecie". Wydawać by się mogło, że taka metoda jest zbyt abstrakcyjna, czy nierealna, by mogła zadziałać, jednakże w ten sposób tylko w 2019 roku Amerykanie stracili około 1 miliona dolarów.
Podobne elementy są wykorzystywane, kiedy otrzymujemy propozycje biznesowe i możliwość bardzo szybkiego wzbogacenia. Oszuści wykorzystują naszą chęć do poprawy naszego życia, naiwność i silną "chęć wyjścia na swoje", czy nawet chciwość.
Propozycje mogą zawierać wsparcie naszego planu/biznesu, ale najpierw musimy stworzyć swoje konto na jakiejś stronie (służącej do wyłudzania danych), lub też że najpierw musimy zainwestować, żeby w ciągu dwóch tygodni zarabiać trzy razy więcej niż obecnie.
Trzeba też szczególnie uważać na wiadomości, w których okazuje się, że jesteśmy jedynym żyjącym krewnym np. bogatego angielskiego barona, a żeby potwierdzić autentyczność, musimy wysłać "tylko" swoje dane osobowe.
Stosunkowo często hakerzy i oszuści internetowi stosują technikę open sour intelligence, która polega na gromadzeniu i pozyskiwaniu ogólnodostępnych informacji o tobie. Tutaj taka osoba może śledzić twoje media społecznościowe, analizować jakie treści publikujesz, jakie strony, filmy, seriale lubisz itp.
W ten sposób wie, na jakie elementy zwracasz uwagę i może opracować spersonalizowaną próbę oszustwa. Ponadto wiedza o preferencjach może być wykorzystana, np. stosując metodę "na księcia" - przecież wspólne zainteresowania łączą ludzi.
Taka osoba może również zbierać informacje o firmie, o jej usługach, pracownikach, w jakich bankach trzyma się kapitał, kto jest odpowiedzialny za jakie operacje, jak wygląda struktura danej firmy. Tutaj oszust może podszyć się pod współpracownika, czy nawet dyrektora i wyłudzić hasła, bazując jedynie na garstce informacji.
Trzeba uważać także, jakie śmieci wyrzuca się do kosza (normalne śmieci, nie śmieci na komputerze). Jak pisał w swoich książkach Kevin Mitnick, legenda wśród hakerów, przeszukując śmieci firmy, czy pojedynczych osób, natrafiał na bardzo wrażliwe informacje, kody dostępu, a nawet na hasła do kont (w tym bankowych).
W ten sposób z łatwością włamywał się na serwery, co pozwalało mu na swobodne penetrowanie danej sieci komputerów. Mitnick opisywał również, że "dobrym" sposobem na uzyskanie dostępu do sieci jest wyłudzenie od pracownika np. instrukcji obsługi. Często też podszywał się pod zwierzchnika podczas zwykłej rozmowy telefonicznej, przez co otrzymywał niezbędne hasła i kody.
Podsumowując, internetowi oszuści wykorzystują całą gamę metod i technik, które bazują na naszych emocjach, ufności, czy niewiedzy. Dlatego też trzeba szczególnie uważać na wszystkie wiadomości, w których znajdzie się prośba/nakaz udostępnienia naszych danych, lub "konieczność" kliknięcia linku.
