Autor: dr Czesław Bartłomiej Martysz

adiunkt w Instytucie Finansów SGH, ekspert ds. emisji nieskarbowych papierów dłużnych w Banku Pekao SA, członek Stowarzyszenia Investhink

Gdy instynkt pokona czujność, czyli jak nie stracić pieniędzy przez socjotechnikę

W artykule skupię się na analizie ludzkich instynktów, czyli odruchowych i nieświadomych zachowań, które niestety mogą być wykorzystane przez oszustów. Zespołem narzędzi bazujących na instynktach i wykorzystywanych (choć nie tylko!) do oszukiwania ludzi jest socjotechnika. Wielu z nas nie zdaje sobie sprawy, jak często padamy ofiarą socjotechnicznych sztuczek.
Gdy instynkt pokona czujność, czyli jak nie stracić pieniędzy przez socjotechnikę

(©Envato)

Przyszła mi do głowy pewna refleksja. Ważne decyzje życiowe takie jak ślub zwykle spędzają nam sen z powiek. Takie decyzje często wiążą się ze sporymi wydatkami. Jednocześnie zdarza się nam dość lekkomyślnie wchodzić w „rewelacyjne”, ładnie opowiedziane inwestycje, kierując się wyłącznie wizją bogactwa na rajskiej wyspie wysnutą przez jakiegoś youtubera chwalącego się luksusowym samochodem. Instynktownie mu wierzymy, bo skoro jemu się udało (co przecież widać na filmie), to nam uda się tym bardziej, to przecież takie proste! Wystarczy tylko wpłacić pieniądze…

W nurcie finansów behawioralnych powstało wiele książek o nieracjonalnych inwestorach. Ich decyzje zwykle bazują na tzw. heurystykach (uproszczonym wnioskowaniu) lub błędach poznawczych (nieracjonalnym postrzeganiu rzeczywistości). Finanse behawioralne dowiodły, że koncepcja tzw. homo oeconomicus (w szczególności chodzi tu o konsumenta podejmującego racjonalne decyzje ekonomiczne w celu maksymalizacji  użyteczności) to utopia.

Mówiąc o oszustwach trzeba rozróżnić dwa bliskoznaczne, ale jednak różne pojęcia – fraud i scam. Kiedy sami podejmujemy decyzję o wejściu w pozornie atrakcyjną inwestycję, która później okazuje się być oszustwem, to jest to scam. Przykładami scamów są fałszywi brokerzy na rynku forex, schematy Ponziego lub piramidy finansowe, oszuści nigeryjscy oraz oszuści matrymonialni (love scams).

W świecie finansów nie ma darmowych obiadów

Z kolei gdy ktoś bez naszej zgody pozyska dane autoryzacyjne naszej karty płatniczej, włamie się do naszego komputera, weźmie na nas pożyczkę czy oszuka nas w inny zaskakujący sposób, to wtedy jest to fraud.

Czym jest socjotechnika? Czy to zawsze coś złego?

Socjotechnika (inaczej inżynieria społeczna) to zespół umiejętności służących do manipulowania ludźmi w taki sposób, aby pomagali manipulantowi realizować jego własne cele. Socjotechnika nie musi być czymś złym, ponieważ bazuje zarówno na wywieraniu pozytywnego wpływu (przekonywaniu oraz perswazji), jak i na manipulacji, czyli kształtowaniu poglądów, postaw, zachowań lub emocji bez wiedzy i woli adresata. Kosze w miejskim parku, które „połykając” śmieci wydają odgłosy głębokiej studni, mogą skłonić przechodniów do uporządkowania pobliskiego trawnika. Elektryczne bieżnie w miejscu publicznym mogą skłonić przechodniów do zrzucenia zbędnych kalorii i „wypracowania” darmowego biletu na przejazd komunikacją miejską. Istnieje wiele sposobów, aby popchnąć ludzi w kierunku działań, które są dla nich korzystne. Mówi o tym m.in. teoria pchnięcia (ang. nudge theory, tłumaczona także jako teoria impulsu), spopularyzowana przez Richarda Thalera i Cass R. Sunsteina.

Niestety socjotechnika służy także złym celom, takim jak wyłudzanie informacji, wyłudzanie finansowania, piramidy finansowe, schematy Ponziego czy phishing. Socjotechnika pozwala  odwrócić uwagę ofiary od podstawowych zasad bezpieczeństwa, wykorzystać łatwowierność, naiwność, naturalne zachowania i odruchy, w tym tzw. „odruchy dobrego serca” a nawet zachowania stadne.

Socjotechnika pozwala  odwrócić uwagę ofiary od podstawowych zasad bezpieczeństwa, wykorzystać łatwowierność, naiwność, naturalne zachowania i odruchy, w tym tzw. „odruchy dobrego serca” a nawet zachowania stadne.

Jedną z ciekawszych książek o socjotechnice pt. Łamałem ludzi, nie hasła. Sztuka podstępu” napisali K. D. Mitnick oraz W. L. Simon. Dowiedli w niej, że namówienie nieświadomej ofiary do współpracy jest czasem prostsze niż zwykła kradzież z włamaniem czy oszustwo z wykorzystaniem skomplikowanych technik hakerskich. Nawet informatycy żartują sobie, że częściej zawodzi nie tyle system komputerowy, co tzw. „moduł białkowy”, czyli… człowiek.

Oszuści są dobrymi aktorami

Najsłabszym ogniwem w łańcuchu bezpieczeństwa (systemie procedur ochronnych) jest więc człowiek. Socjotechnik wykorzystuje ludzkie słabości, bazując m.in. na próżności, potrzebie rywalizacji, ciekawości, chciwości, altruizmie lub strachu, często grając także na emocjach ofiary. Przykładem grania na emocjach jest udawanie osoby w trudnej sytuacji życiowej, mającej problemy osobiste, potrzebującej szybkiej pomocy w związku z chorobą bliskiej osoby, działającą pod presją czasu czy po prostu kogoś, kto się zagubił w obcym mieście.

Każdy z nas może być aktorem. Najprostszą socjotechniczną sztuczką jest wejście na teren zamkniętego osiedla mieszkaniowego. Jak to zrobić? Wystarczy wybrać na domofonie dowolny numer mieszkania i powiedzieć pewnym głosem „TO JA”, podać się za kuriera, pracownika poczty, gazowni, serwisanta kablówki, czy (w ostateczności) za policjanta. Rzadko kiedy osoba po drugiej stronie domofonu poprosi nas o okazanie legitymacji, podanie nadawcy przesyłki, czy „odprawi nas z kwitkiem” do osiedlowej ochrony.

Gdy widzę kogoś wyglądającego jak policjant, mówiącego stanowczo jak policjant i ubranego w strój policjanta, to zapewne jest to policjant. Socjotechnik, stosując regułę autorytetu, niczym sprawny aktor potrafi podszyć się za człowieka sukcesu, profesjonalistę, eksperta w jakiejś dziedzinie lub funkcjonariusza państwowych służb. Dzięki pewności siebie i prostym sztuczkom (np. podrobiony Rolex, podrobiona odznaka policyjna, uniform kuriera) ofiara socjotechnika po prostu wierzy mu na słowo i nie weryfikuje, czy jej rozmówca jest faktycznie tą osobą, za którą się podaje. Socjotechnik jest w stanie zmylić ofiarę i przekonać ją do wykonania czynności, których ta osoba raczej sama z siebie by się nie podjęła, np. do zainwestowania pieniędzy, podania hasła do systemu transakcyjnego, oddania pieniędzy w „bezpieczne miejsce” czy przekazania poufnej informacji.

Socjotechnika jako narzędzie władzy sprawcy nad ofiarą

Ofiarami ataków socjotechnicznych padają często osoby starsze, bo łatwiej zdobyć ich zaufanie. Przykładem są wyłudzenia gotówki metodą „na wnuczka” – oszust dzwoni do starszej osoby, podaje się za członka rodziny lub dalekiego krewnego i prosi o pilną pożyczkę. Z kolei metoda „na policjanta” polega na tym, że oszust wciela się w rolę funkcjonariusza policji. Następnie przestępca prosi ofiarę o wypłacenie dużej sumy jako „przynęty” na fikcyjnego złodzieja lub sam oferuje pomoc w bezpiecznym ukryciu tych pieniędzy przed tym złodziejem.

O tym, jak dobre pytania przyciągają dobre odpowiedzi

Ofiarami pewnego siebie aktora-socjotechnika padają także osoby młode. Ostatnio popularne są tzw. scamy na pracownika banku, wykorzystujące technikę phone spoofing (podszywanie się pod numer telefonu infolinii banku). Oszust, zwykle mówiący po polsku ze wschodnim akcentem, podając się za pracownika departamentu bezpieczeństwa banku ostrzega ofiarę o podejrzanych transakcjach na jej rachunku. Potem oszust oferuje pomoc w usunięciu wirusa z komórki pod warunkiem, że ofiara zainstaluje na swoim telefonie specjalną aplikację (zwykle są to programy typu Teamviewer, QuickSupport lub Anydesk). Następnie oszust przejmuje kontrolę nad telefonem i jest w stanie na przykład autoryzować transakcje płatnicze. Trudno winić w tej sytuacji bank za niedostateczne środki bezpieczeństwa, skoro klient sam udostępnił oszustowi swój telefon. Najprostszym sposobem obrony przed takim podejrzanym telefonem jest zapisanie danych naszego rozmówcy i kontakt z oficjalną infolinią banku.

Wróćmy do wspomnianego youtubera z luksusowym samochodem. Przeciętny widz uzna, że ten samochód jest własnością „człowieka sukcesu”. Tymczasem zwykle taki samochód jest… wypożyczony. Kiedy spotykamy na ulicy znanego aktora to raczej zdajemy sobie sprawę, że to tylko aktor a nie komisarz Olgierd Halski czy James Bond. A jeśli w Internecie trafimy na film kogoś podającego się za doświadczonego inwestora giełdowego? Czy uznamy jego „radosną twórczość” za równie wiarygodną co reportaż BBC? Idąc tym tropem, socjotechnicy często stosują regułę dowodu społecznego (społecznego dowodu słuszności), wykorzystującej naszą podatność na kopiowanie zachowań zauważonych u innych. Regułę tą stosuje się powszechnie w marketingu w formie poleceń influencerów lub opinii klientów. Oszuści po prostu tworzą fałszywe opinie np. w formie spreparowanych komentarzy w portalach społecznościowych czy za pomocą fikcyjnych kont, aby uwiarygodnić swoje „cudowne” umiejętności. A czasem wystarczy tylko wejść na jeden z tych profili by przekonać się, że są zbudowane z przypadkowych zdjęć ściągniętych z Internetu.

Oszust niekiedy bywa tak miły, że można się w nim… zakochać

Kiedy wchodzimy w jakimś celu w interakcję z innym człowiekiem, zawsze warto być miłym. Tę zasadę zwykle testują studenci w trakcie egzaminów ustnych. Stosujący regułę sympatii socjotechnik może odegrać rolę wesołego, acz rzekomo zagubionego kuriera lub dostawcy pizzy, żeby bez trudu przeniknąć na zamknięte osiedle. Nawet jeśli nie zna dokładnego adresu ofiary może o niego zapytać przypadkowego mieszkańca lub przeszukać kartony w altanie śmietnikowej, z których w zasadzie nigdy nie zdzieramy nalepki z adresem. A wszędzie mówi się o ochronie danych osobowych…

Jeżeli oszust jest szczególnie sympatyczny, ofiara może się w nim nawet… zakochać. Przykładem oszustwa matrymonialnego jest tzw. romance scam, zaliczany do tzw. oszustw nigeryjskich. Najpierw fałszywy oficer armii amerykańskiej wyszukuje w portalach społecznościowych samotne Amerykanki. Potem nawiązuje płomienną relację i namawia ofiarę, aby pomogła mu szybko wyjść z wojska, żeby wziąć ślub z ukochaną. Recepta jest prosta – trzeba tylko wpłacić pieniądze na specjalnej stronie internetowej. Idąc dalej miłosnym tropem, wraz ze wzrostem popularności kryptowalut nasiliły się ataki oszustek – atrakcyjnych Chinek grasujących w portalach randkowych (np. Tindera). Po przełamaniu lodów, oszustki najpierw mimochodem promują „okazje” inwestycyjne, by dać ofierze małe zyski. Następnie wpuszczają ofiarę w sidła bogatego wujka, rzekomego rekina giełdowego, który z pewnością wie, jak zarobić naprawdę duże pieniądze. Nie warto jednak ufać ludziom, których nie poznaliśmy osobiście lub których tożsamości nie jesteśmy w stanie potwierdzić.

Jak sprytnie zdobyć numer PESEL?

Aby doszło do fraudu oszust musi zdobyć cenne informacje, takie dane osobowe czy numer PESEL. Aby to zrobić, socjotechnik może umiejętnie poprowadzić rozmowę by uśpić naszą czujność. Fałszywa ankieterka o sympatycznym głosie może między ogólne i typowe pytania (np. o przedział wiekowy, wielkość miasta czy preferencje zakupowe) wpleść niewinne pytania o miesiąc urodzenia czy ulicę przy której mieszkamy. Socjotechnik, bazując na tych danych, może zaatakować ponownie i zdobyć dalsze informacje. Przykładowo, fałszywy kadrowiec dzwoni do ofiary, podaje jej datę urodzenia i od razu się uwiarygadnia. Następnie oszust dyktuje zmyślony przez siebie numer rachunku żeby upewnić się, czy to jest właśnie ten rachunek, który ofiara rzekomo zgłosiła ostatnio w kadrach. Zaskoczona ofiara naturalnie zaprzecza, więc oszust prosi ją o podanie prawidłowego numeru rachunku, żeby wszystko mu się zgadzało „w papierach”. Uspokojona ofiara bez zawahania podaje oszustowi numer swojego rachunku bankowego. Przykładowo, dzięki umiejętnie poprowadzonej rozmowie pewnemu dziennikarzowi udało się nawet wprosić na wakacje do zupełnie obcej rodziny! Socjotechnik może tak mocno zmanipulować swoją ofiarę, że ta przyjmie od niego zapłatę nie pieniędzmi, lecz… kawałkami białego papieru.

Czasem, aby uzyskać wrażliwe dane, wystarczy tylko dobrze zadać pytanie. Słynnym przykładem jest uliczna sonda dziennikarza portalu naTemat.pl. Na prośbę: „Czy mógłby mi Pan podać swój numer PESEL?” niemal wszyscy przechodnie reagowali oburzeniem i stanowczo odmawiali. Wystarczyło jednak zapytać: „Czy byłby Pan w stanie, tak na szybko z pamięci, podać mi swój nr PESEL?” I teraz większość osób instynktownie przytaknęło i natychmiast bezrefleksyjnie, wręcz w żołnierskim stylu, podało swoje dane osobowe.

Podobnie reagujemy na pytanie: „Czy wiesz, która jest godzina?”. Z punktu widzenia logiki najprostsza odpowiedź brzmi: „Tak, wiem”. Ja też czasem odpowiadam tak swojej żonie, ale potem tego żałuję. Mimo że pytania o godzinę nie zadano wprost, to podświadomie doszukujemy się intencji pytającego i po prostu podajemy mu aktualną godzinę. Zwróćmy zatem uwagę, że w pytaniu o PESEL nie chodziło wcale o to, żeby ten numer wyrecytować, lecz żeby potwierdzić, że się POTRAFI to zrobić z pamięci. A skoro się potrafi, to trzeba to udowodnić, bo to nic trudnego, prawda?

Cyberprzestępcy polują na odruchowe zachowania

Cyberprzestępcy finansowi często wykorzystują phishing, czyli wyłudzanie (łowienie) poufnych danych (np. loginy i hasła do bankowości internetowej) podszywając się w komunikacji cyfrowej pod wiarygodny podmiot lub osobę, W tym celu zwykle budują fałszywą stronę internetową banku, łudząco podobną do oryginału. Nieświadoma ofiara wpisuje swoje dane i posłusznie wpisuje otrzymany z banku SMS. Problem w tym, że ofiara zwykle nie zauważy, że SMS dotyczy np. dodania zaufanego odbiorcy przelewu (potem przelewów do tego odbiory nie trzeba już autoryzować) a nie zwykłego potwierdzenia tożsamości przy logowaniu, czego żąda fałszywa strona internetowa. Niestety ofiara zwykle działa odruchowo – czeka na SMS i po prostu go przepisuje.

Kiedy ekonomia staje się eksperymentalna

Przestępca może iść krok dalej w kierunku tzw. SIM swap fraud. Najpierw oszustw zdobywa personalia ofiary, przeważnie w drodze phishingu. Potem na bazie tych danych, ale już ze swoim zdjęciem wyrabia sobie tzw. „dowód kolekcjonerski” (od 2019 r. nie można ich już oficjalnie sprzedawać), imitujący dowód osobisty. Następnie oszust podszywa się pod ofiarę i wykorzystując nieuwagę pracownika firmy telekomunikacyjnej wnioskuje o wymianę karty SIM. Dzięki temu przestępca przejmuje komunikację z numerem ofiary, w tym wszystkie kody do autoryzacji przelewów bankowych. Inny schemat phishingu to tzw. wyłudzanie kredytów metodą „na pracę”, gdzie oszust podaje się za pracownika firmy headhunterskiej, gromadzi dane osobowe naiwnego aplikującego, po czym wykorzystuje je do wyłudzenia kredytu lub do zakupów towarów ratalnych.

Socjotechnika w agresywnych praktykach rynkowych

Kilka zakazanych i wykorzystujących socjotechnikę praktyk wskazano w artykułach 8 i 9 ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym. Są to tzw. agresywne praktyki rynkowe, które przez niedopuszczalny nacisk mogą głównie ograniczyć swobodę wyboru przeciętnego konsumenta. Przykładem agresywnej praktyki rynkowej jest wywoływanie wrażenia, że nie można opuścić pomieszczenia bez podpisania umowy, uciążliwe nakłanianie do nabycia, nakłanianie dzieci do zakupu lub „branie na litość” informując konsumenta, że jeśli ten nie kupi produktu, to sprzedawca może stracić pracę („No błagam Pana, niech Pan to kupi, bo ja nie mam czym dzieci wykarmić”).

Socjotechnicy mogą tworzyć wrażenie utraty bądź uzyskania korzyści przez konsumenta (reguła wartości). Pewne znane międzynarodowe wydawnictwo wysyłało klientom listy z ofertą książek. Do listu dołączano ulotkę z informacją o zbliżającej się kolejnej wielkiej loterii. Lektura tej ulotki miała jednak powiadomić klienta o szczególnych przywilejach, takich jak przyjęcie szansy na wygranie głównej nagrody w loterii oraz to, że już w tym momencie jest się w lepszej sytuacji od sąsiada, który takiego zaproszenia nie otrzymał: „Gdy Pana sąsiedzi na próżno zaglądają do skrzynek na listy, szukając w nich dokumentów udziału w loterii, Pan jest w tej dobrej sytuacji, bo jest Pan w drodze do finału Wielkiej Loterii”. Ja sam będąc małym chłopcem namawiałem moich rodziców, aby wzięli udział w tej loterii. Niestety, nic nie wygraliśmy…

Nieracjonalność nie taka nieracjonalna

Nieuczciwi sprzedawcy mogą tworzyć sztuczną presję czasu i stosując regułę niedostępności (rzadkości) sugerować konsumentom „rychłe zakończenie świetnej oferty”, aby zmusić ich do podjęcia szybkiej, emocjonalnej i zwykle nieprzemyślanej decyzji. Przykładem medialnej i zarazem dyskusyjnej praktyki w tym nurcie jest wprowadzanie limitów na zakup cukru w dużych marketach. Takie limity są sztuczne, bo nie wynikają z realnych obaw handlowców o braki w zaopatrzeniu, lecz mają na celu wywołać w społeczeństwie (pamiętającym jeszcze czasy PRL) stadny odruch kombinowania i kupowania „na zapas” – na członków rodziny i znajomych, aby dumnie „przechytrzyć system” i obudzić w sobie ducha konspiracji.

Nierzadko manipulanci wykorzystują także efekt strachu przed pominięciem (ang. fear of missing out, FOMO), mówiąc o niesamowitej, acz kończącej się okazji do zarobku, z której JUŻ skorzystali nasi znajomi, ale my JESZCZE NIE. Ale nawet jeśli oferta nie budzi naszych podejrzeń i faktycznie wkrótce wygasa, zawsze trzeba zapytać się o prawo bezkosztowego odstąpienia od umowy w ramach tzw. prawa do namysłu. W transakcjach internetowych czy umowach zawieranych na odległość konsument zawsze ma takie prawo.

Nie działajmy odruchowo

Istnieje wiele sytuacji, gdy odruch czy nawet chęć niesienia bezinteresownej pomocy może nas wywieźć na finansowe manowce. Poznając schematy ataków socjotechnicznych stajemy się na nie bardziej odporni. Ważne jest, aby wykształcić w sobie krytyczną postawę, zadawać jak najwięcej pytań i weryfikować informacje, które wydają się nam podejrzane lub których nie jesteśmy pewni. Powinniśmy być trochę jak studenci przed egzaminem u wymagającego profesora, wertujący liczne książki i notatki, by potwierdzić zasłyszaną na wykładzie ciekawostkę. Zanim podejmiemy istotną finansowo decyzję zawsze trzeba dać sobie czas do namysłu, bo zwykle to pośpiech jest naszym najgorszym doradcą. Wreszcie, nie warto dzielić się z obcymi choćby błahymi informacjami na nasz temat, bo ktoś może je wykorzystać przeciwko nam, aby w ten sposób, nawet po dłuższej przerwie, osłabić naszą czujność.

Dr Czesław Bartłomiej Martysz – adiunkt, kierownik Zakładu Finansów Przedsiębiorstwa w Instytucie Finansów Szkoły Głównej Handlowej.

(©Envato)

Otwarta licencja


Tagi