LesioPM

Cyberprzestępczość jest w dużej mierze grą psychologiczną, a atak ransomware nie jest tu wyjątkiem. Psychologia odgrywa główną rolę w prawie wszystkich aspektach ataku ransomware od momentu rozpoczęcia ataku do momentu, gdy ofiara płaci - lub odmawia zapłacenia - okupu.

Pixabay.com

Psychologia dystrybucji oprogramowania ransomware

Większość oprogramowania ransomware jest rozprowadzana za pośrednictwem wiadomości e-mail typu phishing, bezpośrednich wiadomości w komunikatorach tj. Messanger, Skype oraz wiadomości tekstowych SMS. Dystrybutorzy stosują taktyki psychologiczne mające na celu stworzenie poczucia pilności i wymuszenie szybkiej reakcji ofiary przez kliknięcia w złośliwy link lub załącznik. Głównie żerują na emocjach danej osoby, a zwłaszcza na strachu. Ofiary są informowane, że mogą stracić dostęp do konta, że dokonano nieautoryzowanej płatności lub, że świadczenia medyczne mają ulec zmianie. Stwierdzenia te przerażają ofiary przez co klikają w zainfekowane linki, a w rezultacie pobierają oprogramowanie ransomware, które powoduje blokadę urządzenia.

Dystrybutorzy oprogramowania ransomware rozumieją również pragnienia ofiary. Wiedzą, że większość ludzi naiwnie wierzy w łatwą drogę do wzbogacenia się, niemal darmowy dostęp do luksusowaych towarów, w związku czym tworzą fałszywe oferty, aby wykorzystać tę naiwność i chciwość.

Psychologia żądań okupowych

Żądania przestępców w atakach ransomware opierają się przede wszystkim na obawie ofiary przed utratą cennych danych. Infekcje ransomware są często dopiero zauważane, gdy potrzebny jest dostęp do określonych danych. Nagle, zamiast zobaczyć pliki ze zdjęciami z wakacji, wyświetlany jest komunikat o żądaniu okupu za odszyfrowanie danych na komputerze. Strach jest również wykorzystywany w wyświetlanych na ekranie komunikatach o okupie, które sugerują nielegalne lub wstydliwe zachowane ofiary. Ofiary poderzewane są o przestępstwo z powodu fałszywych oskarżeń Policji, CBŚ lub FBI, na przykład oglądania pornografii samo w sobie nie jest przępstwem, ale zasugerowanie, że ofiara oglądała ostatnio pornografię dziecięcą może wystraszyć i zniechęcić ofiarę od poszukiwań pomocy u innych. Dlaczego? Ponieważ obawiają się, że ich działania zostaną poddane ocenie przyjaciół, rodziny lub współpracowników, a nie każdy chce się wszystkim dzielić co ogląda na PornHubie.

Przestępcy stosują również taktyki, które dodatkowo budzą niepokój ofiary, takie jak ścisłe określenie terminów płatności okupu. Na przykład znany ransomware TruCrypt wymaga od ofiary zapłaty okupu w ciągu 72 godzin. Jeżeli ofiar tego nie zrobi w tym czasie to klucze do odsyfrowania danych przepadną.

Niektórzy twórcy ransomware używają zupełnie inne podejście, żeby przekonać ofiary do wpłacenia okupu. Twórcy ransomware CryptMix obiecywali przekazać otrzymany okup w Bitcoinach na cele charytatywne, jeśli ofiary zapłacą za odszyfrowania swoich danych. W obliczu trudnej decyzji, ofiara cuje się odrobinę lepiej jeśli wierzy, że wpłacany okup przeznaczony zostanie na cele charatytywne, że pomagają komuś w tym procesie. To, czy ktoś naprawdę wierzy, że twórcy przekażą pieniądze z okupu na cele charytatywne, nie ma znaczenia, ponieważ jest to pragnienie, aby wierzyć, że to naprawdę ma znaczenie - i na to właśnie liczą autorzy oprogramowania ransomware.

Dystrybutorzy oprogramowania ransomware wiedzą, jak psychologicznie oddziaływać na poencjalne ofiary. Dlatego tak ważna jest świadomość takich prób i odpowiednie przygotowanie się na wypadek, gdyby nam się coś takiego przydarzyło.

Nie czekaj na ostatnią chwilę zaplanuj, jak zareagujesz, jeśli przytrafi ci się aktak ransomware. Zdecydowanie przygotowania trzeba zacząć od regularnych backupów naszych cennych danych, można to zrobić za pomocą zewnętrznych dysków, dysków sieciowych lub narzędzi do przechowania danych w chmurze. Dzięki temu nawet, gdy padniemy ofiarą i nasze dane na komputerze zostaną zaszyfrowane to łatwo je odzyskamy.

Jeżeli otrzymamy wiadomość, która wymaga od nas szybkiej reakcji, warto poświęcić chwilę na sprawdzenie źródła, jeżeli jest to wiadomość od znajomego w mediach społecznościowych to warto sprawdzić innym kanałem komunikacji np. telefonując do niego, czy rzeczywiście przysłal nam taką wiadomość.

Miałem w pracy taki przypadek, że pewna pani otrzymała spreparowaną wiadomość rzekomo od jej szefa (nazwa użytkownika to sugerowała, adres był zupełnie inny). Pomimo tego, że została poinformowana, że to jest phising i żeby nic więcej na razie nie robiła ona usilnie próbowała otworzyć link w wiadomości, ponieważ sobie z tym nie radziła to chciała tego maila wysłać koleżance, żeby ona otworzyła, było konieczne odcięcie jej komputera od sieci, bo ona gotowa była wysłać tego maila do każdego, żeby jej pomogli otworzyć link.

W zwiażku z tym w przypadku poczty elektronicznej warto przyjrzeć się dokładnie, kto jest nadawcą wiadomości i jaki jest pełny adres nadawcy, jeżeli np. jest to wiadomość z naszego banku informująca o konieczności podjęcia jakiejś określonej akcji warto sprawdzić i porównać z poprzednimi wiadomościami z tego banku, które z reguły wysyłane są z tego samego adresu.

Wyrobienie pewnych nawyków i zachowań może uchronić nas od wielu niepotrzebnych kłopotów.