Psychologia ataku ransomware, czyli, co sprawia, że ofiary klikają linki

Cyberprzestępczość jest w dużej mierze grą psychologiczną, a atak ransomware nie jest tu wyjątkiem. Psychologia odgrywa główną rolę w prawie wszystkich aspektach ataku ransomware od momentu rozpoczęcia ataku do momentu, gdy ofiara płaci - lub odmawia zapłacenia - okupu.

Pixabay.com

Psychologia dystrybucji oprogramowania ransomware

Większość oprogramowania ransomware jest rozprowadzana za pośrednictwem wiadomości e-mail typu phishing, bezpośrednich wiadomości w komunikatorach tj. Messanger, Skype oraz wiadomości tekstowych SMS. Dystrybutorzy stosują taktyki psychologiczne mające na celu stworzenie poczucia pilności i wymuszenie szybkiej reakcji ofiary przez kliknięcia w złośliwy link lub załącznik. Głównie żerują na emocjach danej osoby, a zwłaszcza na strachu. Ofiary są informowane, że mogą stracić dostęp do konta, że dokonano nieautoryzowanej płatności lub, że świadczenia medyczne mają ulec zmianie. Stwierdzenia te przerażają ofiary przez co klikają w zainfekowane linki, a w rezultacie pobierają oprogramowanie ransomware, które powoduje blokadę urządzenia.

Dystrybutorzy oprogramowania ransomware rozumieją również pragnienia ofiary. Wiedzą, że większość ludzi naiwnie wierzy w łatwą drogę do wzbogacenia się, niemal darmowy dostęp do luksusowaych towarów, w związku czym tworzą fałszywe oferty, aby wykorzystać tę naiwność i chciwość.

Psychologia żądań okupowych

Żądania przestępców w atakach ransomware opierają się przede wszystkim na obawie ofiary przed utratą cennych danych. Infekcje ransomware są często dopiero zauważane, gdy potrzebny jest dostęp do określonych danych. Nagle, zamiast zobaczyć pliki ze zdjęciami z wakacji, wyświetlany jest komunikat o żądaniu okupu za odszyfrowanie danych na komputerze. Strach jest również wykorzystywany w wyświetlanych na ekranie komunikatach o okupie, które sugerują nielegalne lub wstydliwe zachowane ofiary. Ofiary poderzewane są o przestępstwo z powodu fałszywych oskarżeń Policji, CBŚ lub FBI, na przykład oglądania pornografii samo w sobie nie jest przępstwem, ale zasugerowanie, że ofiara oglądała ostatnio pornografię dziecięcą może wystraszyć i zniechęcić ofiarę od poszukiwań pomocy u innych. Dlaczego? Ponieważ obawiają się, że ich działania zostaną poddane ocenie przyjaciół, rodziny lub współpracowników, a nie każdy chce się wszystkim dzielić co ogląda na PornHubie.

Przestępcy stosują również taktyki, które dodatkowo budzą niepokój ofiary, takie jak ścisłe określenie terminów płatności okupu. Na przykład znany ransomware TruCrypt wymaga od ofiary zapłaty okupu w ciągu 72 godzin. Jeżeli ofiar tego nie zrobi w tym czasie to klucze do odsyfrowania danych przepadną.

Niektórzy twórcy ransomware używają zupełnie inne podejście, żeby przekonać ofiary do wpłacenia okupu. Twórcy ransomware CryptMix obiecywali przekazać otrzymany okup w Bitcoinach na cele charytatywne, jeśli ofiary zapłacą za odszyfrowania swoich danych. W obliczu trudnej decyzji, ofiara cuje się odrobinę lepiej jeśli wierzy, że wpłacany okup przeznaczony zostanie na cele charatytywne, że pomagają komuś w tym procesie. To, czy ktoś naprawdę wierzy, że twórcy przekażą pieniądze z okupu na cele charytatywne, nie ma znaczenia, ponieważ jest to pragnienie, aby wierzyć, że to naprawdę ma znaczenie - i na to właśnie liczą autorzy oprogramowania ransomware.

Dystrybutorzy oprogramowania ransomware wiedzą, jak psychologicznie oddziaływać na poencjalne ofiary. Dlatego tak ważna jest świadomość takich prób i odpowiednie przygotowanie się na wypadek, gdyby nam się coś takiego przydarzyło.

Nie czekaj na ostatnią chwilę zaplanuj, jak zareagujesz, jeśli przytrafi ci się aktak ransomware. Zdecydowanie przygotowania trzeba zacząć od regularnych backupów naszych cennych danych, można to zrobić za pomocą zewnętrznych dysków, dysków sieciowych lub narzędzi do przechowania danych w chmurze. Dzięki temu nawet, gdy padniemy ofiarą i nasze dane na komputerze zostaną zaszyfrowane to łatwo je odzyskamy.

Jeżeli otrzymamy wiadomość, która wymaga od nas szybkiej reakcji, warto poświęcić chwilę na sprawdzenie źródła, jeżeli jest to wiadomość od znajomego w mediach społecznościowych to warto sprawdzić innym kanałem komunikacji np. telefonując do niego, czy rzeczywiście przysłal nam taką wiadomość.

Miałem w pracy taki przypadek, że pewna pani otrzymała spreparowaną wiadomość rzekomo od jej szefa (nazwa użytkownika to sugerowała, adres był zupełnie inny). Pomimo tego, że została poinformowana, że to jest phising i żeby nic więcej na razie nie robiła ona usilnie próbowała otworzyć link w wiadomości, ponieważ sobie z tym nie radziła to chciała tego maila wysłać koleżance, żeby ona otworzyła, było konieczne odcięcie jej komputera od sieci, bo ona gotowa była wysłać tego maila do każdego, żeby jej pomogli otworzyć link.

W zwiażku z tym w przypadku poczty elektronicznej warto przyjrzeć się dokładnie, kto jest nadawcą wiadomości i jaki jest pełny adres nadawcy, jeżeli np. jest to wiadomość z naszego banku informująca o konieczności podjęcia jakiejś określonej akcji warto sprawdzić i porównać z poprzednimi wiadomościami z tego banku, które z reguły wysyłane są z tego samego adresu.

Wyrobienie pewnych nawyków i zachowań może uchronić nas od wielu niepotrzebnych kłopotów.

^{Pierwotnie opublikowano na LesioPM. Blog na Hive napędzany przez dBlog.}

Odwalasz świetną robotę pisząc o tematach związanych z cyberbezpieczeństwem. Mamy już XXI wiek, większość ludzi nie pamięta świata bez internetu a mimo to ogólnospołeczna świadomość zagrożeń związanych z tym medium jest bliska zeru.

Dorzucę coś od siebie.

W sprawie Ransomware'u. Najważniejsze to mieć kopie zapasowe. Poczytajcie o tym i zaplanujcie jak to robić - zdarzały się przypadki, gdy przez nieprzemyślane procedury tworzenia kopii bezpieczeństwa, podczas ataku one również zostały zaszyfrowane. Kiedy to się już zdarzy, nie panikujcie. Szukajcie informacji - zdarzało się, że badacze bezpieczeństwa jakiś czas po ataku nowego ransomeware'u publikowali darmowe oprogramowanie dzięki, któremu można było odzyskać zaszyfrowane dane bez płacenia okupu. Ale wymagało to by przestępcy podczas tworzenia oprogramowania szyfrującego popełnili błędy (kryptografia to nie jest łatwy temat :-) ). Nie liczyłbym jednak na to za bardzo - to będzie się to zdarzać coraz rzadziej. Nie tylko dlatego, że się uczą na błędach (i często podkradają sobie nawzajem pomysły i kody źródłowe) ale przede wszystkim dlatego, że istnieją gotowe platformy stworzone przez najzdolniejszych z nich, w których można wynająć gotową infrastrukturę z gotowym i sprawdzonym oprogramowaniem każdemu, kto nie ma pojęcia jak samemu coś takiego stworzyć. To oznacza dwie rzeczy: oprogramowanie ransomware'we będzie coraz bardziej zaawansowane i niezawodne oraz będzie więcej ataków z jego użyciem.
Co do ataków phishingowych za pomocą maili. Warto spojrzeć na nadawcę ale to nie wystarczy. Przez niewiedzę lub błędną konfigurację dostawców usług poczty elektronicznej (albo wewnętrznej infrastruktury firmowej) ciągle zdarza się, że konfiguracja ta umożliwia przestępcom podszycie pod dowolnego maila (z zewnątrz). Fałszywy mail może więc w niektórych przypadkach mieć dokładnie takie same pole nadawcy jak prawdziwy. Trzeba więc zwracać uwagę również na inne rzeczy - błędy ortograficzne i gramatyczne, literówki, brak polskich liter, błędy stylistyczne (wynikające z korzystania z translatorów) inna szata graficzna itp. itd. Jeśli Twój klient pocztowy umożliwia podgląd nagłówków wiadomości, porównaj je ze starymi wiadomościami od tej samej osoby co do których masz pewność, że są autentyczne. Ale nawet i taka weryfikacja może nie wystarczyć - przecież na skrzynkę pocztową szefa czy kuzyna też się można włamać a potem rozsyłać do wszystkich osób z książki adresowej oryginalne maile (w sensie niczym nie różniące się od tych wysyłanych przez prawdziwego właściciela skrzynki) z linkiem do podstawionej strony albo złośliwym oprogramowaniem. Zawsze warto mieć antywirusa ale i (szczególnie w przypadkach związanych z pieniędzmi) rozważyć kontakt z nadawcą wiadomości poprzez inny kanał.