(autor: Francesco Pagano, radny Aidr i kierownik ds. usług IT w Ales spa i Scuderie del Quirinale) Zjawisko oszustw internetowych i kradzieży tożsamości w Internecie rośnie wykładniczo. Według danych opublikowanych przez Interpol w sierpniu ubiegłego roku wzrost liczby cyberataków zbiegł się z pandemią Covid-19 i oznacza w szczególności wzrost stosowania technik phishingowych.
Phishing to niezwykle subtelny rodzaj ataku, który wykorzystuje komunikację za pośrednictwem poczty e-mail (ale także sieci społecznościowych i platform czatowych) w celu przyciągnięcia ofiar do złośliwych witryn lub witryn mających na celu kradzież danych uwierzytelniających dostępu do usług internetowych. Strategia cyberprzestępców obejmuje wykorzystanie e-maili „spakowanych” tak, aby sprawiały wrażenie całkowicie legalnych, w których hakerzy podszywają się pod firmy, organizacje lub instytucje bankowe.
Wiadomość, często skonstruowana w niezwykle przekonujący sposób, ma na celu nakłonienie odbiorcy do kliknięcia w link przekierowujący go na kontrolowaną przez piratów stronę. Aby osiągnąć swój cel, oszuści wykorzystują techniki socjotechniki, czyli fortele wykorzystujące stan umysłu potencjalnej ofiary. Zazwyczaj strategie te wykorzystują dwa różne czynniki: entuzjazm i strach.
W pierwszym przypadku wykorzystywane są wiadomości, które obiecują prezenty, nagrody lub oferty specjalne dedykowane odbiorcy wiadomości. W drugim przypadku e-maile sugerują zamiast tego ryzyko konieczności zapłaty kar finansowych lub odnoszą się do wezwań do zapłaty, faktur lub nieuniknionych terminów.
Cel jest ten sam: wywołać u ofiary reakcję, która sprawi, że zacznie działać impulsywnie i kliknie link.
W niektórych przypadkach prowadzi to do strony internetowej zawierającej złośliwe oprogramowanie, w innych do witryny, która na pierwszy rzut oka wydaje się należeć do firmy lub organizacji, pod którą hakerzy się podają. W tym drugim przypadku celem cyberprzestępców jest nakłonienie ofiary do wprowadzenia danych uwierzytelniających dostępu do usług (na przykład danych dostępu do usługi bankowości internetowej) w celu ich kradzieży.
To nic nowego, ci, którzy regularnie korzystają z usług online, nauczyli się już rozpoznawać (i unikać) tego typu ataków. Pandemia Covid-19 wpłynęła jednak na to zjawisko na dwa sposoby. Z jednej strony udostępnił piratom komputerowym temat dotyczący koronawirusa, który szczególnie nadaje się do wzbudzania strachu lub niepokoju u osób otrzymujących wiadomości. Z drugiej strony wiosenna blokada i ograniczenia w poruszaniu się w tej drugiej fali skłoniły wiele osób do skorzystania z narzędzi cyfrowych po raz pierwszy lub do intensyfikacji ich wykorzystania w porównaniu z przeszłością.
W rezultacie cyberprzestępcy mogą teraz dotrzeć do odbiorców składających się z niezwykle bezbronnych potencjalnych ofiar, które nie mają na tyle złośliwości, aby rozpoznać podejrzane wiadomości i nie mają doświadczenia w korzystaniu z Internetu. Narzędzia ochronne, takie jak zapory ogniowe i oprogramowanie antywirusowe, mogą pomóc w powstrzymaniu tego zjawiska, ale nie mogą zagwarantować całkowitej ochrony przed tego typu atakami, które często nie wykorzystują złośliwego kodu, a jedynie podstępy mające na celu oszukanie niczego niepodejrzewających użytkowników.
Desperacko potrzebujemy raczej procesu alfabetyzacji skierowanego do całej populacji, który umożliwiłby jej zdobycie kluczowych umiejętności niezbędnych do odparcia ataków cyberpiratów. Coś, co prawdopodobnie wydarzy się naturalnie w następstwie gwałtownego wzrostu cyfryzacji, którego doświadczamy, ale bez interwencji mającej na celu stworzenie prawdziwej „kultury bezpieczeństwa” istnieje ryzyko, że będzie zbyt powolne i pozostawi po drodze niesamowitą ilość gruzu (cyfrowego).