To co jest popularne w socjotechnice za oceanem? Pewnie za chwile będzie popularne w Polsce. W zeszłym roku organizacje amerykańskie straciły 1,3 miliarda dolarów na specyficzny rodzaj ataków – na kartę podarunkową.

Mechanizm jest prosty: Cel jest proszony o zakup kart upominkowych – najczęściej Google Play, portfela Steam, Amazon, Apple iTunes lub Walmart – a następnie o przesłanie kodów napastnikowi pocztą e-mail.
Forma „prośby” może być różna: od akcji charytatywnej po korespondencję korporacyjną namawiająca do składek. Zjawisko przybiera zatrważające rozmiary. Firma Agari zajmująca się bezpieczeństwem poczty e-mail w raporcie Agari Email Fraud and Identity Deception Trends analizuje konteksty ataków i twierdzi, że oszustwo związane z kartami upominkowymi stanowi obecnie dwie trzecie ataków w wiadomościach biznesowych.

Średnia kwota wymagana w tych atakach wynosi około 1500 USD, podczas gdy bardziej ambitni napastnicy mogą zażądać nawet 5000 USD. Napastnicy, żeby zwiększyć prawdopodobieństwo ataku koncentrują się na mniejszych organizacjach, takich jak prowincjonalne szkoły miejskie i okręgi szkolne, organizacje charytatywne, szpitale, kościoły i uniwersytety.

Oszustwo związane z kartami upominkowymi zapewnia atakującym pewne korzyści. Mogą powtórzyć oszustwo przeciwko setkom, a nawet tysiącom ofiar, co może zmienić płatności w wysokości kilku tysięcy dolarów na raz w znacznie większą sumę. Oszustwa związane z kartami upominkowymi zapewniają również przestępcom więcej celów, ponieważ nie ograniczają się one do działów finansowych.

Ataki zapewniają także cyberprzestępcom anonimowość, ponieważ prawie niemożliwe jest wyśledzenie nielegalnie zdobytych kart podarunkowych. Atakujący mogą albo sprzedać kody, które uzyskali za darmo, z zyskiem, a wpływy są prane poprzez wymianę na kryptowalut. Alternatywnie kody można po prostu wykorzystać do robienia zakupów.

„Ataki kartami podarunkowymi”, choć odnoszą sukcesy i są coraz popularniejsze, są zwykle prostymi kampaniami phishingowymi, które teoretycznie można łatwo przeciwdziałać.

Specjaliści z Agaria ostrzegają: „Przedsiębiorstwa powinny również podnosić świadomość, że większość dzisiejszych cyberataków niekoniecznie jest technicznie wyrafinowanych, więc obrona e-maili i szkolenia uświadamiające w zakresie bezpieczeństwa powinny koncentrować się na tego rodzaju nietechnicznych atakach z zakresu inżynierii społecznej”