21 maja 2026 r. • Cyberbezpieczeństwo
Baiting to jedna z najstarszych i najskuteczniejszych technik inżynierii społecznej w cyberbezpieczeństwie, a jednocześnie jedna z tych, o których mówi się najmniej. Podczas gdy phishing wykorzystuje poczucie pilności, a vishing – zaufanie, baiting wykorzystuje coś jeszcze bardziej podstawowego: ciekawość. Atakujący umieszcza coś atrakcyjnego na drodze potencjalnej ofiary i czeka, aż ludzka natura zrobi resztę. Zrozumienie, czym jest baiting, jak działa w sieci i w świecie rzeczywistym oraz dlaczego wciąż działa pomimo powszechnej świadomości zagrożeń cybernetycznych, to pierwszy krok do ochrony Twojej organizacji przed tym zagrożeniem.
Czym jest przynęcanie?
„Baiting” to atak socjotechniczny, w którym osoba atakująca wykorzystuje kuszącą lub wzbudzającą ciekawość przynętę, czyli „przynętę”, aby nakłonić ofiarę do podjęcia działania, które zagraża jej bezpieczeństwu lub bezpieczeństwu jej organizacji. Przynęta może mieć formę cyfrową lub fizyczną, a cel jest zawsze ten sam: skłonić ofiarę do zrobienia czegoś, czego w innym przypadku by nie zrobiła.
Termin ten wywodzi się z wędkarstwa: chodzi o zawieszenie przynęty na haczyku i czekanie. W cyberbezpieczeństwie haczykiem jest złośliwe oprogramowanie, strona służąca do wyłudzania danych logowania albo punkt dostępu do sieci. Przynętą jest wszystko, co według atakującego okaże się dla ofiary nie do odparcia: darmowe oprogramowanie, znaleziony pendrive, „ekskluzywny” link do pobrania albo powiadomienie o wygranej.
To, co odróżnia ataki typu „baiting” od innych ataków socjotechnicznych, to fakt, że nie wymagają one bezpośredniego kontaktu między atakującym a ofiarą. Atakujący zastawia pułapkę i czeka. Dzięki temu są one łatwe do skalowania – jedna dobrze umieszczona przynęta może dotrzeć do setek osób – a także trudniejsze do zidentyfikowania niż phishing czy vishing.
Internetowe przynęty: jak działa wabienie w sieci
Wabiki internetowe przybierają różne formy. Łączy je to, że oferują coś, czego ofiara pragnie, a dostarczają coś, o co ofiara nie prosiła. Do typowych form wabików internetowych należą:
- Bezpłatne oprogramowanie lub pliki multimedialne do pobrania. Strona internetowa oferuje darmową wersję płatnego oprogramowania, filmu, gry lub narzędzia. Plik do pobrania zawiera złośliwe oprogramowanie dołączone do obiecanej treści lub zastępujące ją. Ofiara instaluje je z własnej woli.
- Powiadomienia o nagrodach lub premii. Wyskakujące okienka lub e-maile informują, że użytkownik wygrał nagrodę, kwalifikuje się do zwrotu pieniędzy lub jest tysięcznym odwiedzającym. Kliknięcie prowadzi do strony służącej do wyłudzenia danych logowania lub uruchamia pobieranie złośliwego oprogramowania.
- Fałszywe oferty pracy lub możliwości zawodowe. Te przynęty, skierowane do profesjonalistów, zwłaszcza przez LinkedIn lub e-mail, obiecują korzyści w zamian za kliknięcie w link, otwarcie załącznika lub wypełnienie formularza, co pozwala na wyłudzenie danych osobowych lub firmowych.
- Linki oparte na ciekawości. Link udostępniony przez e-mail, komunikatory lub media społecznościowe, który obiecuje coś intrygującego, ekskluzywnego lub osobiście istotnego. „Twoje zdjęcie zostało udostępnione”, „Zobacz, kto przeglądał Twój profil”, „Wyciekły dokumenty dotyczące [Twojej firmy]”. Odbiorca klika, bo ciekawość bierze górę nad ostrożnością.
- Fałszywe alerty bezpieczeństwa. Wyskakujące okienko ostrzega, że urządzenie jest zainfekowane, i nakłania użytkownika do pobrania „narzędzia naprawczego”. To narzędzie jest w rzeczywistości złośliwym oprogramowaniem.
Internetowe przynęty działają, bo docierają do odbiorców tam, gdzie już się znajdują – podczas przeglądania stron, przewijania treści czy pobierania plików – i oferują coś, co wydaje się nagrodą, a nie ryzykiem.
Fizyczne rozkładanie przynęt: metoda „USB drop” i nie tylko
Nie wszystkie ataki typu „baiting” odbywają się w sieci. Fizyczne rozstawianie pułapek, czyli pozostawianie zainfekowanych urządzeń lub nośników w miejscach, gdzie ofiary je znajdą, to dobrze znana i niezmiennie skuteczna technika ataku. Najpopularniejszą formą jest podłożenie pendrive’a.
Atakujący zostawia jedną lub więcej pamięci USB w miejscu, gdzie pracownicy atakowanej organizacji mogą je znaleźć: na parkingu, w recepcji, w sali konferencyjnej czy w toalecie. Pamięć często ma etykietę, która ma wzbudzić ciekawość, np. „Dane płacowe za III kwartał”, „Poufne” czy „Zdjęcia z imprezy”. Pracownik znajduje ją, podłącza do służbowego urządzenia, żeby sprawdzić, co na niej jest, i uruchamia złośliwy kod atakującego.
Badania wielokrotnie pokazały, że znaczna część osób, które znajdą nieznaną pamięć USB, podłącza ją do komputera. Etykieta jeszcze bardziej zwiększa to prawdopodobieństwo. Fizyczne przynęty są skuteczne właśnie dlatego, że omijają wszystkie zabezpieczenia poczty elektronicznej, filtry internetowe i mechanizmy kontroli punktów końcowych, w które zainwestowała organizacja, i opierają się wyłącznie na tym, że człowiek robi to, co ludzie robią, gdy znajdą coś, co może ich zainteresować.
Baiting, phishing i inne techniki socjotechniczne: najważniejsze różnice
| Technika | Główny czynnik wyzwalający | Wymagany kontakt | Kanał |
|---|---|---|---|
| Wabienie | Ciekawość, chciwość, egoizm | Nie, napastnik zastawia pułapkę i czeka | Online (do pobrania, link) lub na nośniku fizycznym (USB) |
| Phishing | Pilność, strach, autorytet | Pośrednio (wiadomość e-mail wysłana do odbiorcy) | E-mail, wiadomości |
| Vishing | Zaufanie, autorytet, pilność | Tak, rozmowa telefoniczna na żywo | Głos / telefon |
| Pretekst | Wiara w fałszywą tożsamość | Tak, bezpośrednia interakcja | E-mail, telefon, osobiście |
| W zamian za coś | Wzajemność, coś za coś | Tak, to atakujący wysyła ofertę | Telefon, e-mail |
Aby zapoznać się z przeglądem różnych rodzajów ataków phishingowych, zajrzyj do sekcji „Różne rodzaje ataków phishingowych”.
Jak chronić swoją organizację przed prowokacjami
Środki techniczne, takie jak wyłączenie funkcji automatycznego uruchamiania USB, blokowanie niezaufanych źródeł pobierania czy filtrowanie treści internetowych, są pomocne, ale rozwiązują tylko część problemu. Istotą ataków typu „baiting” jest ludzka decyzja: podniesienie, kliknięcie, podłączenie. Jedyną niezawodną ochroną przed podjęciem takiej decyzji jest pracownik, który przed działaniem się zastanowi.
Ta chwila zastanowienia to wyuczona umiejętność. Szkolenia z zakresu świadomości bezpieczeństwa, które obejmują scenariusze z wykorzystaniem przynęt, dają pracownikom model myślenia pozwalający rozpoznać pułapkę – zarówno w sieci, jak i w świecie rzeczywistym – i poddać ją w wątpliwość, zamiast działać pod wpływem impulsu. Kluczowe nawyki, które warto wyrobić:
- Nigdy nie podłączaj nieznanego urządzenia USB. Niezależnie od tego, gdzie je znalazłeś i jak jest oznaczone. Przekaż je działowi IT.
- Pamiętaj o ofertach internetowych, które wydają się „zbyt piękne, by były prawdziwe”. Darmowe oprogramowanie, niespodziewane powiadomienia o wygranych i ekskluzywne pliki do pobrania to typowe sygnały, że ktoś próbuje cię wciągnąć w pułapkę.
- Sprawdź przed pobraniem. Pracownicy, którzy porównują źródło pliku do pobrania z listą zaufanych stron, są znacznie mniej narażeni na zainstalowanie złośliwego oprogramowania w wyniku ataku typu „baiting”.
- Zgłaszaj, nie ignoruj. Znaleziony pendrive lub podejrzane powiadomienie o pobraniu pliku warto zgłosić. Uczynienie tego zgłaszania normą daje zespołom ds. bezpieczeństwa wczesne ostrzeżenie.
Technika „baitingu” wykorzystuje cechy, które sprawiają, że ludzie są skuteczni w innych sytuacjach: ciekawość, otwartość i chęć pomocy. Trening świadomości nie ma na celu wyeliminowania tych cech. Uczy ludzi, kiedy warto podejść do nich z odrobiną sceptycyzmu, zanim zaczną działać.